CC BY
162
№ 1 (49) 2014
А. А. Микрюков, канд. техн. наук, доцент Московского государственного университета экономики, статистики и информатики, [email protected]
В. Н. Усцелемов, аспирант Московского государственного университета экономики, статистики и информатики, [email protected]
Гибридная модель оценки рисков в информационных системах
В статье рассмотрен один из подходов к построению адаптивной подсистемы защиты информационных систем на основе гибридной модели оценки уровня риска преодоления подсистемы защиты информационной системы нарушителем, включающей процедуры прецедентного и нейро-нечеткого выводов .
Ключевые слова: информационная безопасность, оценка информационных рисков, прецедент, система защиты, угроза, нейро-нечеткий вывод
введение
Уровень защищенности информационных ресурсов является одним из основных показателей эффективного функционирования предприятия. В настоящее время предприятия вынуждены тратить большие средства на построение систем защиты своих информационных ресурсов. Это обусловлено тем, что ежедневно по всему миру осуществляется огромное число атак на информационные системы с целью нанесения максимального ущерба их владельцам. Исследования, проведенные в области построения систем информационной безопасности, показали, что широкое применение нашли методики, основанные на концепции приемлемых рисков [1]. Это вызвано тем, что, во-первых, абсолютно непреодолимую систему защиты построить невозможно, а, во-вторых, многие руководители предприятий не имеют возможности тратить избыточные финансовые и вычислительные ресурсы на совершенствование систем защиты и готовы идти на приемлемые риски. Управление информационными рисками позволяет компаниям найти баланс между затратами на построение защиты ин-
формационной системы и получаемым эффектом.
В настоящее время в России при построении подсистем защиты на основе концепции приемлемых рисков руководствуются стандартами ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью» и ГОСТ Р ИСО/МЭК 270012006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». Среди методик оценки информационных рисков широкое применение нашли такие методики, как CRAMM, FRAP, OCTAVE, Risk Watch, ГРИФ, методика Microsoft и др. [2, 3]. Проведенный анализ алгоритмов их применения выявил ряд значимых недостатков: отсутствие адаптивной реакции на возникающие угрозы, ограниченный набор шаблонов, существенная погрешность проводимых оценок и др.
Одним из возможных подходов, позволяющих устранить указанные недостатки, является построение гибридной модели подсистемы защиты информационной системы на основе оценки степени риска преодоления ее нарушителем.
№ 1 (49) 2014
Построение модели оценки информационных рисков
Анализ статистики показал, что многие типовые атаки и их вариации выполняются по стандартным сценариям, при этом изменение параметров информационной системы в период деструктивных воздействий носит типовой (шаблонный) характер.
С учетом указанных закономерностей авторами была разработана модель, обобщенная структура которой представлена на рис. 1. Ключевым компонентом модели является модуль гибридной оценки уровня риска, состоящего из блока прецедентного вывода (БПВ) и блока нейро-нечеткого вывода (БНВ). Модуль гибридной оценки уровня риска позволяет вычислить значение уровня риска преодоления подсистемы защиты информационной системы (ПЗИС) на основе текущих значений ее параметров. Это дает возможность выработать обоснованные рекомендации для администратора безопасности по настройке ПЗИС.
Определение уровня риска преодоления подсистемы защиты информационной системы нарушителем производится на основе распределения вероятных угроз на классы, которые включают совокупность прецедентов, настроек подсистемы защиты для данного типа угроз. Классы подразделяются на две группы: классы из набора разрешенных состояний системы, при которых изменения параметров системы происходят по заведомо известному сценарию (нет
воздействия угроз), и классы неразрешенных состояний (угрозы воздействуют на систему).
Модель вывода на основе прецедентов
БПВ построен на основе модернизированного СВЯ-цикла [4] и аккумулирует имеющуюся статистику об угрозах, предпринимаемых защитных мерах и поведении системы во время деструктивных воздействий нарушителя. В соответствии с разработанной моделью указанный блок обеспечивает принятие решений по настройке ПЗИС за время не больше заданного при достаточно небольших затратах вычислительного ресурса.
Математическая модель БПВ может быть представлена следующим образом [5]. Пусть задан набор прецедентов. Формально определим базу данных прецедентов:
ВР = {< К, К
К,
, Кт >},
где < К1, К2, ... К(, сов угроз.
, Кгп > — множество клас-
Математическая модель класса угроз может быть представлена в следующем виде:
К = {< р Р2,... Р.....Рп >, do},
гдеК1, ( е [1,т] — наименование класса (-й угрозы;
р, I е [1,п] — множество прецедентов; do — совокупность настроек подсистемы защиты.
0
1
I
со §
!
Модуль гибридной оценки уровня риска
Блок прецедентного вывода (БПВ)
Блок нейро-нечеткого вывода (БНВ )
Уровень риска п реодоления ПЗИС
Рис. 1. Модель настройки ПзИС с использованием гибридного модуля оценки уровня риска
51
№ 1 (49) 2014
1
е
и
0
И
1
!
со
со §
л
I
0
¡§
л
€
¡5 §
1
Каждый из прецедентов в базе данных описывается в следующем виде:
р = {х1, х2.....х1.....хг, г, б, с},
где Р! — прецедент из базы данных прецедентов;
х1, I е[1^] — значение /-го параметра информационной системы, описывающего ее состояние на момент сохранения прецедента;
г — уровень риска преодоления подсистемы защиты нарушителем для указанных в прецеденте значений параметров информационной системы;
б — рекомендации по настройке подсистемы защиты;
с — затраты на реализацию указанных рекомендаций.
Модель вывода с использованием рассуждений на основе прецедентов имеет следующий вид:
PS = < ВР, А(р), 1Р > ,
где ВР — база прецедентов; А (р) — алгоритм определения похожести прецедентов р;
1р — интерпретатор прецедентов.
Интерпретатор Iр, используя алгоритм А(р), обрабатывает информацию, хранящуюся в базе прецедентов ВР, и представляет совокупность процессов:
1Р = < |Р1 |Р2 |Р3 |р4 >
где 1р1 — обнаружение; 1р2 — адаптация; 1р3 — пересмотр; 1р4 — сохранение.
Для решения задачи оценки рисков возмущающих воздействий на информационные системы определяется степень близости прецедента в соответствии с [5] на основе модифицированного метода ближайшего соседа по всем признакам, которые учитывает вектор предпочтений ЛПР, по следующей формуле:
S =
£ ^ х SIM(х1,; хк) X Ц) / Xw(,
VI=1 У I=1
где w¡ — весовое значение значимости /-го параметра;
SM(x'j; х]) — функция схожести; х\, хк — значения 1-го параметра в текущем I и прошлом к прецедентах, соответственно; L¡ — предпочтение лица, принимающего решение по /-му показателю прецедента.
Степень сходства прецедентов х!п хк вычисляется по метрике Евклида:
SIM( х1; хк ) = ^ £ (х1 - хк )2,
где х'п хк — параметры образцов; N — общее число параметров.
Модель вывода на основе нечеткой нейросети
Блок нейро-нечеткого вывода построен на основе нечеткой нейросети Сугено [6]. Применение дополнительного блока обусловлено необходимостью определения уровня риска в ситуациях, не имеющих описания в базе прецедентов, что позволяет обеспечить более точную настройку механизмов защиты. Результаты функционирования БНВ участвуют в формировании нового прецедента для пополнения базы данных БПВ.
Процесс формирования классов угроз, позволяющих оценить риск текущего состояния системы, требует задать ряд векторов на множестве параметров, представляемых в виде классов параметров, которые позволят эффективно провести идентификацию воздействующей угрозы на систему в соответствии с текущими значениями ее параметров [7]:
т = {т1, т2
т
о = {о1, о2.....с',
, тМ}, т/ е [0,1]; оМ}, о/ е [0,1];
е = К е2.....е/.....еМ}, е/ е [0,1],
52
№ 1 (49) 2014
где т/ — математическое ожидание значения (-го параметра ]-го состояния системы; о( — среднеквадратическое отклонение значения (-го параметра ]-го состояния системы;
е| — вес (-го параметра 1-го состояния системы;
в — количество анализируемых параметров системы;
М — количество состояний системы.
Зададим класс угроз в следующем виде: К, = < тI, о], е|, г >,
где К1 — наименование класса 1-й угрозы; г — уровень риска преодоления подсистемы защиты нарушителем для указанных в классе текущих значений параметров информационной системы.
Для реализации процесса поиска сформирована база нечетких правил, а также выполнено ее обучение с использованием генетического алгоритма [6].
База нечетких правил состоит из набора правил, ставящих в соответствие значения текущих параметров системы типу вероятных угроз и риску преодоления подсистемы информационной безопасности. Результатом применения правил являются рекомендации по обеспечению настроек подсистемы защиты.
Представим ]-е правило в следующем виде:
Я1 : если х1 есть А| И ... И х(
есть АI И ... И х3 есть А]
3 _
ТО у есть , ] е 1,М,
По указанной выше базе нечетких правил выполняется поиск соответствия входной переменной х1 из набора переменных, правилу ] и значению ее функции принадлежности ЦА1 (х1).
В качестве функции принадлежности цА1 (х1) обоснован выбор функции Гаусса, следовательно:
/ \ ,-(X - т] )2 Ц А| (X) = ехр(- ( ( ^
] \2
2(о
где тI — математическое ожидание; о] — среднеквадратичное отклонение.
Степень истинности условия для ]-го правила определена по следующей формуле:
3 _
ЦI(х) = П ЩЦ А1(X), 1 е1,М,
(=1 '
где щ е {0,1} — весовые коэффициенты.
Расчет четкого значения выходной переменной для каждого ]-го правила представлен в следующем виде:
^ = 2е]Х, ] е 1,М.
,=1
где А/ — значение входной переменной в виде числового значения одного из параметров, отражающих состояние системы; х1 — входная переменная; у — выходная переменная (номер класса угроз);
е] — весовые коэффициенты.
,=1
Номер класса состояния информационной системы рассчитан по формуле:
М
2 ZIЦ а1 (X)
у = i=м-.
2ц А.] (х)
I=1
Алгоритм взаимодействия функциональных блоков модуля гибридной оценки уровня риска преодоления ПЗИС нарушителем представлен на рис. 2.
Результаты вычислительных экспериментов
На основе представленной модели был разработан программный комплекс, с помощью которого проведен вычислительный эксперимент, его результаты представлены на рис. 3 и 4. Они позволили сделать вывод
0
1
I
со §
!
53
№ 1 (49) 2014
1
Й §
и
0
И
1
I
со
со §
л
I
0
л
§
¡5 §
1
да
Фиксация прецедента
Настройка ПЗИС
1
Конец
Рис. 2. Алгоритм взаимодействия блоков модуля гибридной оценки уровня риска преодоления
ПзИС нарушителем
о том, что применение разработанной модели уменьшает время выработки управляющего воздействия по настройке ПЗИС
на 15-20%, а также снижает затраты вычислительного ресурса на его выработку на 10-15%.
54
№ 1 (49) 2014
I Без учета разработанной модели
I С учетом разработанной модели
0 20 40 60 80 100
Относительные временные затраты на определение угрозы, %
Рис. 3. Сравнительная диаграмма временных затрат на обнаружение угрозы
I Без учета разработанной модели
I С учетом разработанной модели
0 20 40 60 80 100
Относительные вычислительные затраты вычислительного ресурса,%
Рис. 4. Сравнительная диаграмма затрат вычислительных ресурсов на выработку мер противодействия воздействующим угрозам.
Заключение
В статье рассмотрена гибридная модель оценки уровня риска преодоления подсистемы защиты информационной системы нарушителем. Показано, что применение сочетания аппарата нейро-нечеткого вывода и аппарата теории прецедентов позволило решить задачу совершенствования функ-
ционирования ПЗИС в условиях деструктивных воздействий атак нарушителей.
Список литературы
1. Беркетов Г. А., Микрюков А. А., Федосеев С. В. Оптимизация системы обеспечения безопасности информации в автоматизированных информационных системах // Сб. тр. Международной научно-практической конференции «Инновации на основе информационных и коммуникационных технологий». Сочи, 2010. С. 329-332.
2. ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью».
3. ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
4. Варшавский П. Р., Еремеев А. П. Методы правдоподобных рассуждений на основе аналогий и прецедентов для интеллектуальных систем поддержки принятия решений // Новости искусственного интеллекта. 2006. № 3. С. 39-62.
5. Микрюков А. А., Усцелемов В. Н. Построение подсистемы информационной безопасности на основе прецедентного подхода // Научное обозрение. 2013. № 12. С. 227-230.
6. Матвеев М. Г., Свиридов А. С., Алейникова Н. А. Модели и методы искусственного интеллекта. М.: Финансы и статистика; ИНФРА-М, 2008. — 448 с.
7. Микрюков А. А., Усцелемов В. Н. Модель оценки степени риска информационных угроз в инфо-коммуникационных системах на основе нейро-нечеткого вывода // Научное обозрение. 2013. № 12. С. 219-222.
«
0
1 I
«
Si !
A. Mikryukov, Ph. D. (Eng.), Associate Professor, Moscow State University of Economics, Statistics and Informatics, [email protected]
V. Ustselemov, Post-Graduate Student, Moscow State University of Economics, Statistics and Informatics, [email protected]
The hybrid model of risk assessment in information systems
One of the approaches to building adaptive subsystem protection of information systems based on a hybrid model to overcome the risk level of the information system security subsystem infringer, including the procedure of case and neuro-fuzzy inference.
Keywords: information security, information security risk assessment, case, the protection system, threat, neuro-fuzzy inference.
