Формализация модели внутреннего нарушителя информационной безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

УДК 681.326

ФОРМАЛИЗАЦИЯ МОДЕЛИ ВНУТРЕННЕГО НАРУШИТЕЛЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В.М. Сычев

МГТУ им. Н.Э. Баумана, Москва, Российская Федерация e-mail: dviu@mail.ru

Рассмотрена задача построения формализованной модели внутреннего нарушителя (инсайдера), которая может применяться как в государственных, так и в коммерческих организациях. Показано, что угрозы характеризуются интегральным набором векторных показателей, как количественных, так и качественных, для формализации которых требуется применение дискретной математики и теории нечетких множеств. Построена формализованная модель внутреннего нарушителя, основанная на многокритериальном ранжировании с применением рейтингового метода. Формализация нечеткой информации проведена на основе лингвистического подхода с переходом к единой количественной шкале. Рассмотрен пример определения уровня инсайдерской угрозы для группы IT-специалистов с построением семантических моделей. Показана невозможность применения традиционных методов экспертных оценок к оценке большинства показателей. Проведен анализ байесовского подхода, показана необходимость анализа большого числа статистических данных. Предложено использовать модель Шортлифа и Бьюкенена, которая позволяет делать выводы на основе неполных сведений об анализируемом объекте.

Ключевые слова: модель внутреннего нарушителя, инсайдер, количественная оценка уровней угроз, рейтинговый метод.

FORMALIZATION OF INFORMATION SECURITY INSIDER MODEL V.M. Sychev

Bauman Moscow State Technical University, Moscow, Russian Federation e-mail: dviu@mail.ru

The problem is considered to create an insider's formalized model which can be used in the state and commercial organizations. It is shown that the threats are characterized by integral set of both quantitative as qualitative vector indices. To formalize the indices, discrete mathematics and a fuzzy set theory are needed to be used. An insider's formalized model based on multicriterion ranking and applying a rating system, is built. Formalization of fuzzy information is carried out by means of linguistic approach and transfer to an unified quantitative scale. An example of defining an insider's threat level is presented for a group of IT-specialists with building the semantic models. It is shown that traditional methods of expert analysis cannot be applied for assessment of the majority of indices. Analysis of Bayesian approach is performed. Necessity to analyze a great deal of statistical data is demonstrated. It is proposed to use the models of Shortliffe and Buchanan to draw the conclusions based on incomplete data of the object under consideration.

Keywords: insider model, threat level quantitative assessment, rating method.

Повышение требований к обеспечению информационной безопасности (ИБ) различных государственных и коммерческих организаций требует формализации процесса универсальной модели внутренних нарушителей (инсайдеров), позволяющей оценивать их поведение с помощью комплексных показателей. Эти показатели, безусловно, являются интегральными, что позволит выполнять процедуру ранжирования сотрудников.

Учитывая тот факт, что отдельные составляющие показателей имеют нечисловую природу, можно утверждать, что для их формализации требуется применение математического аппарата дискретной математики и теории нечетких множеств.

Цель настоящей статьи — построение формализованной модели внутреннего нарушителя (инсайдера), входящего в коллектив сотрудников организации. Эта модель, учитывающая поведение сотрудников, основана на обработке непротиворечивой структурированной информации об изучаемой предметной области и взаимодействии между ее компонентами.

Постановка задачи. Проведенный в [1] анализ предметной области позволил предложить неформализованную информационную модель внутреннего нарушителя (инсайдера) ИБ организации. Эта модель может быть применена для оценки возможности реализации инсайдерских угроз, ассоциированных с сотрудниками организации. Здесь под возможностью реализации угрозы понимается комплексный показатель, характеризующий:

— объективно существующие условия реализации угрозы, обусловленные уязвимостью занимаемых сотрудниками должностей;

— "инсайдерский потенциал" сотрудников (индивидуальные профессиональные знания, умения, квалификация и опыт, которые могут быть использованы сотрудниками при реализации угрозы);

— личностные особенности сотрудников, влияющие на наличие устремлений (намерений) нарушения ИБ организации или потенциально возможное их возникновение.

Обозначим S = {si}(i = 1 , n) — множество сотрудников организации, имеющих возможность реализации инсайдерской угрозы в силу уязвимости занимаемых должностей, инсайдерского потенциала и индивидуальных социально-психологических качеств (нелояльности), и C = {cj}(j = 1, m) — множество показателей, используемых в модели нарушителя для характеристики Vs». При этом

с = сo у сk у C1,

где Co — подмножество показателей, характеризующих объективно (objective) существующую уязвимость, ассоциируемую с должностью

сотрудника согласно штатному расписанию, например, осведомленность об обрабатываемых ИС-данных или о системе ИБ; Ck — подмножество показателей, характеризующих профессиональные знания, умения, квалификацию (known), используемые при нарушении ИБ, сведения о значениях этой группы показателей содержатся в персональных данных сотрудников, как правило, предоставляемых работодателю; C1 — подмножество субъективных скрытых (латентных, latent) показателей, характеризующих лояльность (социальные, психологические и другие факторы) или, иными словами, инсайдерский потенциал сотрудников.

Нетрудно увидеть, что множество показателей C характеризуют ситуативные предпосылки, условия реализации инсайдерской угрозы. Также можно полагать, что набор показателей, по которым выполняется оценка сотрудников Vs,t, может быть представлен некоторым вектором, который в [2] именуют "информационным":

c = (ci , • • • , cj, ■ ■ ■ ,ci ),

где cj — j-я компонента (j = 1,m) информационного вектора Sj-го сотрудника, или иначе: S» ^ c.

Информационный вектор c является интегральной характеристикой (описанием) текущего состояния s» сотрудника, которое определяет уровень, ассоциированной с ним инсайдерской угрозы t(si), т.е. c ^ t(si). (Существует множество определений этого понятия, например, "Уровень угрозы представляет собой степень ее актуализации или способности наносить ущерб целостности и нормальному функционированию объекта" [3]).

Количественная оценка уровней угроз, ассоциируемых с сотрудниками, позволяет провести их ранжирование по этому показателю, т.е. определить их инсайдерский рейтинг. Другими словами, уровень инсайдерской угрозы характеризует степень соответствия сотрудника понятию "инсайдер".

В общем случае процесс ранжирования (рейтинговой оценки) включает в себя: выбор признака сравнения (в данной задаче — уровень ассоциированной с сотрудником инсайдерской угрозы; определение критериев и показателей, используемых для сравнения (набор показателей модели нарушителя, множество C); разработку методов оценки значений отдельных показателей каждого сотрудника (Vcj) и общего результата; выработку принципов ранжирования сотрудников в рейтинговой таблице.

Как следует из модели нарушителя [1], в общем случае расчет рейтинга основан на сравнении сотрудников по множеству показателей C, опосредованно характеризующих возможность реализации инсайдерской угрозы, по сравнению с условным эталонным сотрудником, имеющим оптимальные значения по сравниваемым показателям.

Применение рейтингового метода. Таким образом, задача ранжирования сотрудников сводится к сравнению и установлению отношений предпочтения векторов, например,

С1, <Сг, < ... ,С2, < ... ,

что и означает упорядочение, многокритериальное ранжирование элементов множества Б, соответственно,

^1, > вг,... , > 82, ... , >, . . . ,

в порядке снижения уровня инсайдерской угрозы по значениям параметров множества С. (Наиболее простым является метод доминирующих характеристик, предполагающий оценку по одному из наиболее значимых показателей оцениваемого объекта. Однако ограничением на применение этого метода в данной задаче является невозможность игнорирования остальных показателей модели нарушителя, т.е. невозможность сведения задачи к однокритериальной.)

Многокритериальное ранжирование, кроме линейного ранжирования сотрудников (присвоения каждому сотруднику рейтинга), предполагает также групповое ранжирование (кластеризацию или классификацию), т.е. отнесение сотрудников в упорядоченные группы (на основе линейного ранжирования).

Главное достоинство рейтингового метода — это комплексный характер оценки уровня инсайдерской угрозы. Однако данный метод также имеет и существенные недостатки.

1. В связи с тем, что модель внутреннего нарушителя содержит большое число показателей, влияющих на уровень инсайдерской угрозы, возникают реальные трудности в комплексной оценке уровня инсайдерских угроз по каждому сотруднику 8 € Б. Очевидно, что некоторые из показателей имеют перекрестные корреляционные связи, которые свидетельствуют об избыточности системы параметров. Например, может существовать взаимосвязь такого показателя, как "вредные привычки" (увлечение азартными играми) и показателя "материальные затруднения". Для разрешения подобных проблемных ситуаций часто используется факторный анализ, который служит для выделения ограниченного числа важнейших скрытых факторов путем обработки большого числа показателей. Однако в настоящей задаче этот метод не применим, поскольку значительная часть параметров модели нарушителя имеет нечисловую природу.

2. Из модели внутреннего нарушителя следует, что значения показателей измеряются как в количественных, так и качественных шкалах. Так, значения параметра "Заработная плата" измеряются по шкале отношений (количественная шкала), параметра "Осведомленность" измеряются по шкале порядка ("высокая", "средняя", "низкая"), параметра "Вредные привычки" — по шкале наименований ("азартные

игры", "злоупотребление алкоголем"). Как известно, к результатам таких измерений нельзя применять одни и те же операции, в частности, арифметические операции, например, к значениям параметра "Вредные привычки", хотя данные параметра "Заработная плата" допускают использование таких операций.

3. Использованный в неформализованной модели естественный язык хорошо передает семантику предметной области и понятен аналитику, но практически не позволяет точно и однозначно описать сущности и их взаимосвязи, представленные в модели. При этом уровень инсайдерской угрозы определяется значениями преимущественно качественных показателей, составляющих неформализованную модель внутреннего нарушителя ИБ организации. При оценивании по этим показателям обычно используются слова естественного языка, например, "конфликтность" сотрудника может быть "пониженная", "обычная", "повышенная". Использование нечетких понятий позволяет провести качественные описания, учесть неопределенность, но при этом вносит нечеткость в характеристику сотрудника и усложняет обработку данных.

4. Отсутствует формализованная процедура определения значений показателей. Поэтому представляется логичной необходимость формализации предложенной в [1] естественно-языковой модели в целях выработки непротиворечивой структурированной интерпретации полученной информации об изучаемой предметной области и взаимодействии между ее компонентами.

Формализация нечеткой информации. На основе лингвистического подхода, в рамках которого в качестве значений переменных допускаются как числа, так и слова и предложения естественного языка, может быть проведена формализация нечеткой информации, а ее аппаратом является теория нечетких множеств.

Следует отметить, что несмотря на имеющиеся исследования по данной тематике, остается недостаточно изученной проблема формализованного описания множества значений качественных признаков. При этом применение аппарата теории нечетких множеств получило наибольшее распространение в области финансов, медицины, психологии. Однако для решения сложной слабоструктурированной задачи профилактики инсайдерской угрозы данная теория еще не применялась.

Будем интерпретировать любой показатель с) как лингвистическую переменную с фиксированным терм-множеством, т.е. множеством названий лингвистических значений переменной с) (например, высокая, средняя, низкая).

Необходимо определить синтаксическое правило О, интерпретирующее значения лингвистической переменной с) в значения лингвистической переменной "уровень инсайдерской угрозы" (по показателю

С), и семантическое правило М, которое ставит в соответствие каждой нечеткой переменной терм-множества лингвистической переменной № нечеткое подмножество универсального множества и = [0; 1].

В качестве синтаксического правила С предлагается использовать конструкцию "если-то". Пример применения правила С приведен в табл. 1.

Таблица 1

Правило соответствия характеристики сотрудника еР и уровня ассоциированной с ним инсайдерской угрозы Р

Характеристика сотрудника (лингвистическая переменная ср ) Терм-множество лингвистической переменной сР Правило О Уровень угрозы (лингвистическая переменная )

Высокий Средний Низкий

Вредные привычки, с1 Отсутствуют Если с1 отсутствуют, то Ь1 — низкий +

Неизвестны Присутствуют Если с1 не известны, то Ь1 — средний Если с1 присутствуют, то Ь1 — высокий + + -

Материальные затруднения, сР Отсутствуют Если сР отсутствуют, то ЬР — низкий +

Нет данных Большие Если сР не известны, то ЬР — средний Если сР большие, то р — высокий + + -

Как было отмечено ранее, большая часть сведений о потенциальных инсайдерах измеряется в качественных шкалах и лишь некоторые данные — в количественных. Поэтому для сопоставимости данных и их численного представления перейдем от значений разнотипных параметров к их нечетким оценкам, измеряемым в одной и той же количественной шкале.

Для этого можно использовать так называемые вербально-числовые шкалы, позволяющие измерить степень интенсивности какого-либо свойства, имеющего субъективный характер. Вербально-числовые шкалы отображают (правило М) содержательное (вербальное) описание значения показателей уровня угроз в соответствующие им числовые значения. Для этих целей часто используется таблица Хар-рингтона [4] (табл. 2).

Таблица 2

Таблица Харрингтона

Значения показателей лингвистической переменной Ь1 Числовое значение (из множества V)

Очень высокий 0,8-1,0

Высокий 0,64-0,8

Средний 0,37-0,64

Низкий 0,2-037

Очень низкий 0-0,2

Из табл. 2 следует, что шкала измерения определена интервалом вещественных чисел [0,1], на котором для каждого сотрудника в, по лингвистическому значению каждого параметра (с3) можно установить числовую оценку и3(в,,) Е [0,1], которая характеризует уровень инсайдерской угрозы этого сотрудника по ] -му параметру.

В результате каждый сотрудник в, формализуется не множеством лингвистических значений параметров С, а множеством {и1 (в,),..., и3 (в,),... , ит(в,)} соответствующих им числовых оценок. При этом все они измеряются по одной и той же числовой шкале (интервал [0,1]) и, следовательно, могут быть использованы в численных расчетах.

Также для каждого показателя с3 Е С имеется множество функций подмножества {и3(в-\),и3(в2),... , и3(вп)}, каждый элемент которого определяет уровень инсайдерской угрозы сотрудника в, по этому параметру (табл. 3).

Таблица 3

Числовые оценки степени соответствия сотрудника понятию "инсайдер"

Сотрудники Показатели

c1 cj cm

S1 uj (si)

Si u1(Si) uj(Si) um(Si)

sn uj (Sn)

Таким образом, последовательно отображается значение нечеткой переменной (например, "отсутствует") лингвистической переменной с3 (в1) в значение нечеткой переменной (например, "большой") лингвистической переменной ¿3 (в1) [правило О] и числовое значение и3 (в1) из диапазона [0,1] [правило М].

Следовательно, понятие инсайдер (состояние сотрудника) можно представить нечетким множеством, заданным на универсальном множестве сотрудников Б,

Л3 = {и3 (в1 )/в1, и3 (в2)/в2, . . .,и3 (вп)/вп}

с функцией принадлежности и3 (вг), характеризующей соответствие любого сотрудника вг Е Б данному понятию.

При введении в модель показателя важности параметров ранжирование сотрудников можно провести на основе следующего выражения:

т

ис(вг) = Ь3и3 (вг), 3 = 1

т

где Ь1, Ь2,..., Ьт — неотрицательные числа ^^^ Ь3 = 1 ^, характеризу-

3 = 1

ющие относительную важность параметров с1, с3,... ,ст или их удельный вес в модели нарушителя; и3 (вг) — значение функции принадлежности из [0,1] для каждого сотрудника вг Е Б по значению каждого параметра с3 (] = 1 ,т), которая характеризует, насколько этот сотрудник соответствует понятию "инсайдер по ^'-му параметру".

Тогда, наибольшую инсайдерскую угрозу для организации представляет сотрудник, имеющий максимальное значение функции принадлежности

ис(в*) = тах ис(вг).

Пример определения уровня инсайдерской угрозы. Для примера рассмотрим задачу определения уровня инсайдерской угрозы для группы 1Т-специалистов: з1 — системный администратор; в2 — администратор одной из подсистем; з3 — оператор баз данных, составляющих универсальное множество Б. Упрощенные семантические модели внутреннего нарушителя для сотрудников этой группы приведены в табл.4.

Таблица 4

Параметры модели внутреннего нарушителя информационной безопасности

Параметр Значения

Осведомленность, с1 Низкая Средняя Высокая

Компрометирующий круг общения, с2 Криминальная среда, наркоманы и т.д.

Заинтересованность в результатах труда, с3 Низкая Средняя Высокая

Заработная плата, с4 (0,го), руб

Вредные привычки, с5 Азартные игры, злоупотребление алкогольными напитками, наркотики

Еще раз отметим, что для решения задачи используются данные, измеряемые в различных шкалах:

— количественной шкале отношений ("Заработная плата");

— качественной шкале порядка ("Осведомленность", "Заинтересованность результатах труда");

— качественной шкале наименований ("Компрометирующий круг общения", "Вредные привычки").

Возможные значения параметров для 1Т-специалистов приведены в табл.5.

Таблица 5

Характеристики ^-специалистов

Параметр IT-специалист

Наименование bj ßj 31 32 33

Осведомленность, с1 7 0,23 Высокая (0,9) Средняя (0,65) Средняя (0,65)

Компрометирующий круг общения, с2 6 0,2 Неизвестен (0,1) Неизвестен (0,1) Неизвестен (0,1)

Заинтересованность в результатах труда, с3 3 0,1 Средняя (0,65) Низкая (0,3) Высокая (0,85)

Заработная плата, с4 8 0,27 40000 (0,8) 30000 (0,6) 20000 (0,25)

Вредные (опасные) при- 5 вычки, с5 6 0,2 Отсутствуют (0) Игра в карты на деньги (0,8) Неизвестны (0,1)

«с(3 ) 0,508 0,52 0,342

Далее каждому 1Т-специалисту поставим в соответствие число из интервала [0,1], которое отражает уровень угрозы (степень соответствия понятию "инсайдер").

Кроме этого, можно оценить важность каждого параметра в числовых значениях Ь1,... ,Ьт из интервала [0,10] и вычислить по этим

т

данным значения коэффициентов важности в3 = Ь3у/ ^^ Ьк, удовле-

к=1

т

творяющие условию ^^ в = 1. Полученные результаты также пред-

3 = 1

ставлены в табл. 5.

Итоговые значения и3 (в^) функции принадлежности из [0,1] для каждого сотрудника вг Е Б характеризуют степень его соответствия понятию "инсайдер по ]-му параметру".

Ранее при определении уровня инсайдерской угрозы персонала организации по умолчанию предполагалось, что построение функции принадлежности не связано с какими-либо трудностями. Однако в силу различных причин решение этой задачи нетривиально как в научном, так и в прикладном плане. Основные методы ее решения, а также

возможные подходы к их совершенствованию рассмотрены в работе [5]: балльные шкалы, опрос единственного эксперта, опрос группы экспертов и др.

Особенностью данной прикладной задачи является невозможность применения к большинству показателей традиционных методов экспертных оценок. Основные причины заключаются в следующем.

1. Оценки сотрудников (как в явном, так и неявном виде) по множеству параметров С содержатся в массиве вербальных и документальных источников информации.

2. Для большинства сотрудников значения различных показателей с3 отсутствуют и не могут быть получены, следовательно, значения и3 не могут быть определены. Задача решается на множествах С°, Ск, С1, состав которых и значения элементов есть функции времени.

3. Приведенные ранее особенности создают затруднения в распределении значений коэффициентов УЬ3, характеризующих относительную важность параметров с1, с3,...,ст (удельный вес в модели нарушителя).

Из описанных особенностей следует вывод, что рейтинговый подход можно применить к "объективной" части модели, которая описывается набором показателей уязвимости С°, и для каждого показателя можно определить значение уровня инсайдерской угрозы ("степень уязвимости" для конкретных должностей).

Видимо, можно определить значения уровня инсайдерской угрозы ("инсайдерский потенциал") и по показателям Ск. Данные для их расчета относительно стабильны во времени и могут быть получены из официальных источников ("степень квалификации или профессионализма").

Однако для показателей С1 какая-либо предопределенность отсутствует как в части набора показателей, так и в части наличия их значений. Поэтому в целом классический рейтинговый подход нельзя использовать для комплексной оценки возможности нарушения ИБ конкретным сотрудником, поскольку нарушается идея рейтинга — оценка по одинаковому и некорелированному набору показателей.

Байесовский подход. Теоретической базой преодоления рассмотренных проблем рейтинговой оценки возможности реализации инсайдерской угрозы может служить известный байесовский подход. Пусть существуют две гипотезы:

• К, — возможность реализации инсайдерской угрозы, ассоциированной с в,-сотрудником;

• К, — невозможность реализации инсайдерской угрозы, ассоциированной с в,-сотрудником. Гипотезы К, и К, несовместны и образуют полную группу событий Н. Будем полагать, что известны априорные вероятности гипотез р(К,) и р(К,), тогда р(К,) + р(К,) = 1.

В общем случае в качестве вероятности р(Ы) можно использовать имеющиеся статистические данные об инсайдерских нарушениях ИБ различными категориями сотрудников. Однако более достоверными и доступными для конкретной организации представляются данные оценки возможности реализации инсайдерской угрозы, определенные на множестве показателей С. Здесь вероятность рассматривается как мера возможности появления события, выражаемая действительным числом из интервала от 0 до 1, где нуль соответствует невозможному, а единица — достоверному событию [6].

Отметим, что значения показателей множества С, определяющие должностную уязвимость, инсайдерский потенциал и лояльность вг-го сотрудника — события условно независимые. Тогда справедливо выражение

Р(кг)= р°(кг) * Рк(Ы) * Р1 (Ы),

где р°(Ы) — вероятность реализации инсайдерской угрозы, ассоциируемая с уязвимостью ]-й должности, определяется на подмножестве С° показателей; рк (Ы) — вероятность реализации инсайдерской угрозы, обусловленная инсайдерским потенциалом вг-го сотрудника, определяется на подмножестве показателей Ск; р1(Ы) — вероятность возникновения (проявления) инсайдерской угрозы, обусловленная личными социально-психологическими характеристиками (нелояльностью) в -го сотрудника, определяется на подмножестве С1 показателей.

Для количественной оценки вероятности (возможности) реализации инсайдерской угрозы можно применить рассмотренный ранее подход оценки уровня угроз (см. табл. 1 и 2) и считать р°(Ь,г) и рк (Ы) численно равным уровням угроз, определяемым на множествах С° и Ск соответственно.

Таким образом, значения р°(Ы) и рк (Ыг) могут быть определены на основе метода рейтинговых оценок. Однако, как уже указывалось, оценки рейтинга р1(кг) и рейтингов иных сотрудников по множеству показателей С1 не дают сопоставимых результатов.

В этом случае можно рассматривать р(Ы) = р°(Ь,г)рк (Ы) в качестве априорной вероятности реализации инсайдерской угрозы ^; значения социально-психологических показателей (показателей нелояльности) Ус3 для вг-го сотрудника — как свидетельства, которые могут подтвердить истинность гипотезы Ы .

Тогда в соответствии с теоремой Байеса имеем

р(Ыг/е1) =_р(е1/Ы )р(Ы I__, (1)

г р(е1/Ы )р(Ы)+ р(е1 /Ы )р(Ы)'

где р(Ы ) — априорная вероятность (возможность) реализации инсайдерской угрозы; р(Ыг/е11) — апостериорная вероятность (возможность) реализации инсайдерской угрозы при наличии свидетельства е1 Е Е

(Е = {ет} — множество всех свидетельств, характеризующих нелояльность сотрудников в комплексной модели внутреннего нарушителя); ^(е1 /К,) — вероятность поступления свидетельства е1 при условии истинности гипотезы К,; р(е1/К,) — вероятность поступления свидетельства е1 при условии истинности гипотезы К,.

При наличии т независимых свидетельств апостериорная вероятность гипотезы К, оценивается следующим образом {байес04}:

р(Кг/е\е2,...,ет) =

=_р(е1/К,)р(е2/К,).. . р(ет/К,)р(К,)_

р(е1/К,)р(е2/К,)... р(ет/К,)р(К,)+р(е1 /Кг)р(е2/Кг)... р(ет/Кг)р(Кг).

Данное равенство связывает гипотезу К, с множеством подкрепляющих ее свидетельств Е. Интерпретация равенства предполагает знание априорной вероятности р(К,) как вероятности, приписываемой К, до появления каких-либо свидетельств, а также вероятности свидетельств из Е при наличии гипотезы К,.

Отметим, что при низких априорных вероятностях любое положительное свидетельство значительно увеличивает вероятность гипотезы. Если же априорная вероятность относительно велика, то положительное свидетельство лишь незначительно увеличивает ее.

Выражение для условной вероятности с точки зрения теории принятия решений можно рассматривать как выражение правила принятия решения и интерпретировать выражение р(К,/ек) = а как утверждение: если характеристика с3 сотрудника в, принимает значение ек, то можно полагать, что с вероятностью а справедлива гипотеза К,.

Формула Байеса теоретически бесспорна, однако в исследуемой задаче ее применение ограничено отсутствием данных, необходимых для оценки условных вероятностей.

Следует отметить, что в общем случае байесовский подход требует значительного числа статистических данных не просто для каждого

кк значения ек, но также для описания взаимосвязей ек с каждой гипотезой. Поэтому практически непреодолимая в исследуемой задаче трудность заключается в установлении непосредственной связи гипотез и соответствующих им признаков. Кроме того, в исследуемой задаче характер таких взаимосвязей является функцией времени.

Практическая уникальность оценок возможности реализации инсайдерской угрозы для каждого сотрудника в,, исключающая наличие генеральной совокупности или представительности выборки показателей С1, обусловила актуальность замены понятия вероятности иными, доступными оценками.

Модель Шортлифа и Бьюкенена. Приведенные ограничения байесовского подхода к определению возможности реализации инсайдерской угрозы обусловливают необходимость рассмотрения альтер-

нативных решений, одним из которых может быть подход, предложенный Шортлифом (Shortliffe) и Бьюкененом (Buchanan) [7].

В модели Шортлифа и Бьюкенена введены понятия: мера уверенности (Measure Believe, MB), мера неуверенности (Measure Distrust, MD) и фактор уверенности (Certainty Factors, CF), предназначенные для оценки весомости свидетельств. (К недостаткам данного метода можно отнести тот факт, что коэффициенты уверенности не являются вероятностями и для работы с ними предложены уникальные формулы, не встречающиеся в какой-либо математической теории. Как отмечается в работе [8], слабая теоретическая обоснованность — самый серьезный недостаток этого метода.)

Так, MB [h,e] = а означает, что степень (мера) уверенности в гипотезе h, основанная на свидетельстве e, есть а, а MD [h,e] = в — степень неуверенности в гипотезе h, основанная на свидетельстве e, равна в.

В нашем случае мера уверенности MD [hi, ek] равна нулю, так как

по определению уменьшение уверенности в h не может быть прове-

k

дено на основании ek, поскольку семантически модель внутреннего нарушителя сконструирована так, что содержит только показатели, свидетельствующие о возможности реализации инсайдерской угрозы (не содержит данных подтверждающих лояльность сотрудника).

При этом одно и то же свидетельство не может выступать как в пользу, так и против гипотезы, т.е. при MB[h, e] > 0, MD[h, e] = 0.

Отсюда следует, что в исследуемой задаче CF = MB [0,1]. CFek = 0,

k

если свидетельство ek отсутствует.

Для описания вероятностных характеристик истинности гипотез можно применять коэффициент уверенности в истинности гипотезы, который будем трактовать как вероятность того, что выдвинутая в качестве решения гипотеза истинна.

Следует отметить, что свидетельства ek £ E (k = 1,m) с вероятностью а могут быть не только наблюдаемыми событиями, но и гипотезами, т.е. предположениями о значениях характеристик сотрудника C1. Таким образом, можно записать MB [hi, h2], чтобы указать на меру увеличения уверенности в гипотезе h1 при условии, что гипотеза h2 является истинной.

В общем случае модель Шортлифа и Бьюкенена позволяет делать выводы на основе неполных сведений об анализируемом объекте; по существу аппроксимирует условные вероятности; предполагает оценку экспертами данных с точки зрения подтверждения или отрицания гипотезы.

В процессе накопления данных по каждому сотруднику si будут постепенно появляться данные по подмножеству показателей C1, свидетельства, с той или иной степенью уверенности подтверждающие гипотезу hi о возможности реализации инсайдерской угрозы ti.

Это означает, что для обобщенного суждения об истинности данной гипотезы может быть использовано несколько итераций. Применение каждого из них — отдельная гипотеза — характеризуется некоторым значением коэффициента уверенности. Например, из одного правила следует, что сотрудник в, — нелояльный, причем коэффициент уверенности этой гипотезы СЕек равен 0,8. Другое правило, принимая во внимание другие характеристики анализируемого субъекта (гипотеза ек+1), приводит к заключению, что этот же сотрудник — нелояльный с СЕек+1 = 0,2.

Пусть СЕек и СЕек+1 — коэффициенты уверенности одинаковых свидетельств, полученные при применении разных правил. Тогда результирующий коэффициент уверенности

СЕ(ек, СЕек+1) = СЕек + СЕек+1 - СЕекСЕек+1 (2)

при СЕек, СЕек+1 > 0.

При наличии нескольких гипотез итоговое значение СЕ может быть получено в результате последовательного применения правила (2), которое имеет свойство коммутативности, т.е. порядок, в котором обрабатываются гипотезы, значения не имеет.

Заключение. Таким образом, разработана универсальная формализованная модель внутреннего нарушителя информационной безопасности, которая может применяться как в государственных, так и в коммерческих организациях. Угроза характеризуется интегральным набором векторных показателей.

Модель предполагает групповое ранжирование и содержит большое число показателей, имеющих кластеризационные связи. Значения показателей оцениваются как в количественных, так и в качественных шкалах. Предложены способы формализации информации с помощью теории нечетких множеств. При рассмотрении байесовского подхода отмечено, что в данном случае потребуется значительный объем статистических данных.

ЛИТЕРАТУРА

1. Карпычев В.Ю., Сычев В.М., Минин Ю.В. Новые подходы к моделированию внутреннего нарушителя информационной безопасности // Приборы и системы. Управление, контроль, диагностика. 2013. № 7. С. 32-39.

2. Гараев Я.Г., Рязанцева М.В. Оценка интеллектуальной собственности и нематериальных активов сравнительным подходом с применением экспертно-математических методов // НПЖ "Современные научные исследования и инновации". http://web.snauka.ru/issues/2012/10/17777 (дата обращения 21.08.2013).

3. Распоряжение Правительства Москвы от 16 апреля 2010 г. № 707-РП "Об утверждении Концепции комплексной безопасности города Москвы".

4. Литвак Б.Г. Экспертные технологии в управлении. М.: Дело, 2004. 400 с.

5. Полещук О.М. Методы формализации и обработки нечеткой экспертной информации: Дис. ... д-ра техн. наук. М., 2004. 278 с.

6. ГОСТ Р 51897. Менеджмент риска. Термины и определения. М.: Стандартин-форм, 2012.

7. Buchanan B.G. and ShortUffe E.H. ed. Rule-Based Expert Systems: The MYCIN Experiments of the Stanford Heuristic Programming Project. Reading, MA: Addison-Wesley, 1984.

8. Бакаев А.А., Гриценко В.И., КозловД.Н. Интервальный вероятностный подход к работе с неопределенностью в базах знаний // Управляющие системы и машины. № 4. 1990. С. 40-48.

REFERENCES

[1] Karpychev V.Yu., Sychev V.M., Minin Yu.V. New approaches to modeling an insider of information security. Pribory i sistemy. Upravlenie, kontrol', diagnostika [Instruments and Systems: Monitoring, Control, and Diagnostics], 2013, no. 7, pp. 3239 (in Russ.).

[2] Garaev Ya.G., Ryazantseva M.V. Assessment of intellectual property and intangible assets by means of comparative approach using expert and mathematical methods. Nauchn.-praktich. zhurnal "Sovremennye nauchnye issledovaniya i innovatsii" [Scientific & practical journal "Modern scientific researches and innovations"]. Available at: http://web.snauka.ru/issues/2012/10/17777 (accessed 21.08.2013).

[3] Moscow City Government Executive Order dated April 16, 2010 no. 707-РП "On approval of the Concept of comprehensive security in the city of Moscow".

[4] Litvak B.G. Ekspertnye tekhnologii v upravlenii [The expert technology in management]. Moscow, Delo Publ., 2004. 400 p.

[5] Poleshchuk O. M. Metody formalizatsii i obrabotki nechetkoy ekspertnoy informatsii: Diss. Dokt. tekhn. nauk [Methods of formalization and processing fuzzy expert information. Dr. eng. sci. diss.]. Moscow, 2004. 278 p.

[6] Standard RF GOST R 51897. Menedzhment riska. Terminy i opredeleniya [State Standard R 51897 Risk management. Terms and Definitions]. Moscow, Standartinform Publ., 2012.

[7] Buchanan В. G., Shortliffe E.H. ed. Rule-Based Expert Systems: The MYCIN Experiments of the Stanford Heuristic Programming Project. Reading, MA: Addison-Wesley, 1984.

[8] Bakaev A.A., Gritsenko V.I., Kozlov D.N. Interval probabilistic approach to dealing with uncertainty in knowledge databases. Upravlyayushchie sistemy i mashiny [Control systems and machines], 1990, no. 4, pp. 40-48 (in Russ.).

Статья поступила в редакцию 4.12.2014

Сычев Владимир Михайлович — ассистент кафедры "Защита информации" МГТУ им. Н.Э. Баумана. Автор пяти научных работ в области информационной безопасности.

МГТУ им. Н.Э. Баумана, Российская Федерация, 105005, Москва, 2-я Бауманская ул., д. 5.

Sychev V.M. — assistant lecturer of "Information Security" department of the Bauman Moscow State Technical University. Author of 5 publication in the field of cybercrime defenses.

Bauman Moscow State Technical University, 2-ya Baumanskaya ul. 5, Moscow, 105005 Russian Federation.