К ОЦЕНКЕ ЭФФЕКТИВНОСТИ СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ НА ОСНОВЕ МАТРИЧНЫХ ИГР И НЕЧЕТКИХ МНОЖЕСТВ Текст научной статьи по специальности «Компьютерные и информационные науки»

К оценке эффективности системы обнаружения вторжений на основе матричных игр и нечетких множеств

к.ф.-м.н. В. Б. Вилков Военная академия материально-технического обеспечения имени генерала армии А. В. Хрулева Министерства обороны Российской Федерации Санкт-Петербург, Россия атц-шЬа@гатЪ1ег. ги

к.т.н. А. К. Черных Санкт-Петербургский военный ордена Жукова институт войск национальной гвардии Российской Федерации Санкт-Петербург, Россия па1аИасИегпукЬ@таП. ги

к.воен.н. А. И. Дергачёв, к.т.н. О. Н. Куранова Петербургский государственный университет путей сообщения Императора Александра I Санкт-Петербург, Россия d_ader@mai1.ru о^а_кигапоуа@таП.ги

Аннотация. Рассматривается задача, сформулированная как матричная игра, в которой выигрышем должностных лиц, использующих конкретную систему обнаружения вторжений (преступных действий) злоумышленников (игрок 1), является вероятность своевременного обнаружения этих преступных действий (игрок 2). Как правило, однозначно задать вероятность своевременного обнаружения преступных действий не представляется возможным, поэтому для ее оценки предлагается использовать аппарат теории нечетких множеств. Рассмотрены и раскрыты основные понятия теории нечетких множеств, а также приведен пример практического применения данной теории для оценки эффективности использования системы обнаружения преступных действий злоумышленников. Применение теории нечетких множеств в части оценки возможных действий злоумышленника позволяет обнаружить имеющиеся уязвимости в информационной безопасности автоматизированной системы, и далее провести совершенствование систем обнаружения преступных действий злоумышленников (хакеров), предотвращающих возможность нанесения экономического и иного ущерба компании.

Ключевые слова: система обнаружения вторжений злоумышленников, матричная игра, нечеткие множества, решение матричной игры.

Введение

Оценка эффективности применения систем обнаружения вторжений и преступных действий злоумышленников в современных автоматизированных системах в настоящее время является весьма актуальной задачей.

В настоящей статье рассматривается задача, сформулированная как матричная игра [1], в которой выигрышем должностных лиц, использующих конкретную систему обнаружения вторжений (преступных действий) злоумышленников (игрок 1), является вероятность своевременного обнаружения этих преступных действий (игрок 2). Как правило, однозначно задать вероятность своевременного обнаружения преступных действий не представляется возможным, поэтому для её оценки предлагается использовать аппарат теории нечетких множеств.

Рассмотрены и раскрыты основные понятия теории нечетких множеств, а также приведен пример практического применения данной теории для оценки эффективности использования системы обнаружения преступных действий злоумышленников.

Применение теории нечетких множеств [2-7] в части оценки возможных действий злоумышленника позволяет обнаружить имеющиеся уязвимости в информационной безопасности автоматизированной системы, и далее провести совершенствование систем обнаружения преступных действий злоумышленников (хакеров), предотвращающих возможность нанесения экономического и иного ущерба компании.

Основные понятия и определения Под матричной игрой будем понимать игру двух участников, в которой каждый из них имеет определенное число вариантов своего действия (стратегий) [1-7]. Игроки одновременно и независимо один от другого выбирают свою стратегию. Такой выбор стратегий однозначно определяет выигрыши игроков, которые в сумме равны нулю.

Предположим, что а1, а2,..., ат — стратегии первого игрока, а Ь1( Ъ2,..., Ъп — стратегии второго игрока. Выбор игроками своих стратегий назовем ситуацией. Под ситуацией (1, ]) будем понимать ситуацию, в которой первый игрок выбрал стратегию , второй — Ъу. Для игры g определены функции выигрыша Н^,] и — Н^] соответственно первого и второго игроков, соотносящие каждой возможной в игре ситуации их выигрыши; при этом каждый игрок стремится максимизировать свой выигрыш.

Матрица выигрышей первого игрока (А^ однозначно задает игру g и имеет вид

Ag =

/ Hg(1,1) Hg(1,2) ... Hg(1, n)\ Hg(2,1) Hg(2,2) ... Hg(2, n)

\Hg(m, 1) Hg(m, 2) ... Hg(m,n)/

(1)

Игроки могут гарантировать себе выигрыши, равные соответственно max min Hg(i, j) и min max Hg (i,j)

1<i<m 1<j<n e 1<j<n 1<i<m e

В матричной игре g ситуация (i0,j0) называется равновесной, или седловой, точкой, если

Hg(i,jo) < Hg(io,jo) < Hg(io,j)

(2)

при 1 <1<ш и 1 <У<П.

Ценой игры называется выигрыш первого игрока в ситуации равновесия, а стратегии, образующие седловую

точку, называются оптимальными. Следует отметить, что далеко не всякая игра имеет седловую точку, что придает предлагаемому в статье подходу актуальность.

При решении разных задач мы далеко не всегда можем однозначно утверждать, что данный объект полностью обладает (не обладает) свойствами, присущими элементам данного множества. Например, рассмотрим множество возможных значений вероятностей обнаружения злоумышленников «вероятность обнаружения злоумышленника большая». Про вероятность обнаружения злоумышленника 0,8 мы однозначно сказать, является или не является она элементом этого множества, не можем. Это вызвало необходимость создания теории нечетких множеств. Дадим некоторые определения.

Нечеткие множества задаются на некотором обычном множестве и, называемом универсальным. Это может быть множество автоматизированных систем, множество преступных действий злоумышленников, множество матричных игр и т. п. Нечетким множеством А на универсальном множестве и называется совокупность пар (), и), и Е и, где ^л(и) — функция принадлежности, выражающая степень принадлежности элемента и Е и к нечеткому множеству А Как правило, предполагается, что функция принадлежности принимает значения из отрезка [0, 1].

Пересечением нечетких множеств Л и В заданных на и, называется нечеткое множество С = А П В с функцией принадлежности

№(и) = т1п[^л(и), (и)}, и Еи, (3)

их объединением — нечеткое множество О = А и В с функцией принадлежности

(и) = шах{^^(и),(и)}, и Е и . (4)

Нечеткие множества в случае, когда универсальным множеством является числовая ось и функции, принадлежности которых непрерывны и имеют единственный максимум, называются нечеткими числами. Часто при решении практических задач используются треугольные нечеткие числа. Треугольным нечетким числом £> называется такая тройка (с, й, /), с < й < f действительных чисел, что

, если и Е [с, й],

, если иЕ [й, /], (5)

0, иначе.

Второе число тройки (с, й, [) обычно называют модой, или четким значением, нечеткого треугольного числа £>, = 1.

Следуя публикациям [4, 5, 8], введем некоторые понятия нечеткой логики. Степень истинности нечеткого высказывания принимает значения из замкнутого промежутка [0;1].

Степень истинности нечеткого высказывания Р обозначим ^(Р).

Конъюнкцией нечетких высказываний Р и Т называется логическая операция, результатом которой является нечеткое высказывание Р А Т, для которого

^(РАТ) = тт{ц(Р), ц(Т)} , (6)

дизъюнкцией РУТ — логическая операция, для которой

р(Р V Т) = тах{^(Р),р(Т)}. (7)

Рассмотрим постановку задачи для нечеткой матричной игры.

Постановка задачи для нечеткой матричной игры

Пусть в есть множество всех матричных игр с т стратегиями у первого игрока и п стратегиями у второго игрока. Будем рассматривать в как универсальное множество, на котором заданы нечеткие множества — нечеткие матричные игры § , то есть игры, в которых выигрыши задаются нечеткими треугольными числами

6Ч(§) =

Функцию принадлежности нечеткой игры § обозначим ^(ё),ё Е . В силу того, что матричная игра однозначно определяется матрицей выигрышей, будем считать, что § = ^ и, следовательно, ^ (§) =

Пусть § — нечеткая игра, заданная на в, и выигрыши первого игрока являются нечеткими числами

6Ч(§) = (сц(§),^(§),адМ = 1,2.....т ,) = 1,2.....п

с функциями принадлежности ^ .

В соответствии с определением конъюнкции в нечеткой логике имеем:

^(А(§)) = гтт щ (Нч(§)). (8)

Рассмотрим нечеткую матричную игру § с нечеткой матрицей выигрышей Ag = || 0^(1)11™^ и множество игр,

для которых ситуация (1, ]) является седловой точкой. Через Р^ (§) обозначим множество матриц выигрышей таких игр.

Пусть А0(§) Е Р« (§) и ^ (А0(§)) = тзх ^ (А).

^ ' AЕF1l(g)

Величину ^ (А0 (§)) будем рассматривать как степень

надежности того, что ситуация (1, ]) в игре § является седловой точкой. Решением игры § будем считать ситуацию 0,0, для которой надежность того, что она является седло-вой точкой, максимальна.

Задача по отысканию описанного решения игры сводится к решению ряда задач математического программирования. Приведем для содержательного примера графический подход к решению этой задачи.

Пример использования графического подхода

к решению игровой задачи

В рамках совершенствования автоматизированной системы управления транспортными процессами ОАО «РЖД», необходимо эффективно использовать систему обнаружения преступных действий злоумышленников в части, касающейся нарушения управления транспортными процессами, предотвращающую четыре варианта преступных действий хакеров. Хакеры имеют четыре стратегии вредоносных действий. В качестве вредоносных действий хакеров, направленных на нарушение информационной безопасности указанной автоматизированной системы, будем рассматривать: анализ сетевого трафика (в дальнейшем — Ъг), DDOS атаки (в дальнейшем — Ъ2), вирусное

заражение данных (в дальнейшем — Ь3) и перехват пароля (в дальнейшем — Ь4). Должностные лица, использующие систему обнаружения преступных действий хакеров (первый игрок), также имеют четыре стратегии предотвращения этих действий (стратегии защиты), соответственно: шифрование трафика (в дальнейшем — аД межсетевое экранирование (в дальнейшем — а2), антивирусная защита (в дальнейшем — аз), однократное паролирование (шифрование канала связи) (в дальнейшем — а4). Под их выигрышем предлагается рассматривать вероятности своевременного обнаружения действий хакеров (второго игрока). Предполагаем, что имеющейся информации об этих вероятностях недостаточно, и она носит нечеткий характер и задается с помощью нечетких чисел (су,^у,/у) (их моды указаны в таблице 1).

Таблица 1

Моды нечетких выигрышей первого игрока

Стратегии защиты Стратегии хакеров

Ъ1 Ъ2 Ъз Ъ4

а1 0,95 0,60 0,50 0,65

а2 0,60 0,90 0,60 0,55

аз 0,50 0,65 0,95 0,70

а4 0,50 0,60 0,65 0,95

Отметим существующую особенность решения приведенного примера, заключающуюся в том, что, задавая выигрыши нечетким числами, мы можем получить в качестве ответа ситуацию с нулевым значением функции принадлежности.

В качестве иллюстрации сказанного рассмотрим несколько случаев.

1. В случае, если Су = ^у — 0,05 и /у = ^у +0,05, надежность того, что ситуация является седловой точкой, равна нулю, что требует дополнительных пояснений.

2. Если Су = тах{Уу — 0,2,0} и /у = тт{^у + 0,3,1), то ситуации становятся седловыми точками с максимальными надежностями, указанными в таблице 2.

Таблица 2 Надежности седловых точек (случай 2)

Стратегии защиты Стратегии хакеров

Ъ1 Ъ2 Ъз Ъ4

а1 0,1 0,2 0,1 0,1

а2 0,2 0,3 0,2 0,2

аз 0,1 0,2 0,1 0,1

а4 0,1 0,2 0,1 0,1

Решением является ситуация (2,2), в этой ситуации с надежностью 0,3 первый игрок выигрывает 0,76 (с надежностью 0,3 вероятность обнаружения преступных действий равна 0,76).

3. Рассмотрим несколько случаев, когда [су, /у] одинаковы и равны [с, /] при любых / и]. В этом случае в качестве решения любой такой игры мы получим некоторую ситуацию с надежностью большей нуля.

3.1. В случае 1 минимальное значение для Су равно 0,45, максимальное для /у равно единице. Если в качестве [с, /] использовать интервал [0,45,1] что, на наш взгляд, не

лишено смысла, то ситуации становятся седловыми точками с максимальными надежностями, указанными в таблице 3.

Таблица 3

Надежности седловых точек (случай 3.1)

Стратегии защиты Стратегии хакеров

Ъ1 Ъ2 Ъз Ъ4

а1 0,55 0,579 0,55 0,55

а2 0,579 0,611 0,579 0,579

аз 0,55 0,579 0,55 0,55

а4 0,55 0,579 0,55 0,55

Решением является ситуация (2,2), в ней с надежностью 0,611 первый игрок выигрывает 0,725.

3.2. Если реализовывать схему случая 2, то в качестве [с, /] можно было бы использовать интервал [0,3,1]. Тогда ситуации становятся седловыми точками с максимальными надежностями, указанными в таблице 4.

Таблица 4

Надежности седловых точек (случай 3.2)

Стратегии защиты Стратегии хакеров

Ъ1 Ъ2 Ъз Ъ4

а1 0,608 0,636 0,608 0,608

а2 0,636 0,666 0,636 0,636

аз 0,608 0,636 0,608 0,608

а4 0,608 0,636 0,608 0,608

Решением является ситуация (2,2), в ней с надежностью 0,666 первый игрок выигрывает 0,70.

4. В качестве выигрышей первого игрока рассматривать не вероятности, а полезности ситуаций для него. Если опираться на использованный Д. фон Нейманом и О. Морген-штерном вероятностный подход к определению полезности, то полезность лежит в интервале [0,1], и у нас тогда, может быть, больше оснований считать, что [с, /] = [0,1].

Представление графического подхода

к решению задачи

Представим графический подход решения задачи, рассматривая случай 3.2) и ситуацию (2,2).

Для решения надо, во-первых, для каждой ситуации (¿,у) , I = 1,2,3,4 ,у = 1,2,3,4 найти игру, для которой значение функции принадлежности максимально среди всех таких игр, для которых рассматриваемая ситуация является седловой точкой. Ну и, во-вторых, выбрать ситуацию, для которой найденное значение функции принадлежности максимально.

Обозначим:

1 и — си

^Ч (и) = и — г , СЧ - и - ^ О- ¿7 ^ ¿7

и (9)

/ ■ —и

(И) = —- , йИ — Ж — Л; .

Напомним, что для того, чтобы ситуация (¿0, у0) была равновесной, надо, чтобы выигрыш в этой ситуации не превосходил выигрышей в ситуациях (¿0,у),у = 1,2,3,4 (по строке) и был бы не меньше выигрышей в ситуациях (¿, у0), I = 1,2,3,4 (по столбцу).

Рассмотрим ситуацию (2,2). Чтобы получить из игры с матрицей выигрышей, заданной таблицей 1, игру, в которой ситуация (2,2) является ситуацией равновесия, надо изменить в сторону неуменьшения выигрыши в третьей строке и в сторону неувеличения — выигрыши из четвертого столбца. Выигрыш же в ситуации (2,2), может быть,

0,30 0,35 0,40 0,45 0,50 0,55 0,60 0,65 0,70 0,75 0,80 0,85 0,90 0,35 1,00 «

Рис. 1. Функции принадлежности 2(и) и ^Ди)

надо оставить без изменения, может быть, увеличить, а может быть уменьшить.

Построим необходимые графики функций ^¡2(и), I = 1,2, 3,4 и ^ (и),] = 1,2, 3,4 (рис. 1).

На рисунке 1 цифрами обозначены следующие графики функций: 1 — у = ^ ("); 2 — У = м«^); 3 — У = ^(и); 4 — У = ^22(и); 5 — у = ^(и); 6 — у = ^(и); 7 — у = ^{и); 8 — у = р2,2(и).

Если ситуация (2,2) является равновесной при выигрыше в ней, равном Ъ, то на оси абсцисс существует точка с абсциссой (выигрышем в ситуации (2,2) при надежности 0), большей выигрышей (при надежности 0) по столбцу и меньшей выигрышей (при надежности 0) по строке. На оси абсцисс находим отрезок, для точек которого выполняются указанные неравенства. На рисунке 1 это точки оси абсцисс от 0,3 до 1.

Над этим отрезком находим точку, являющуюся точкой пересечения возрастающего и убывающего графиков. Если таких точек несколько, выбираем из них точку с минимальной ординатой. Абсцисса этой точки дает искомый выигрыш в рассматриваемой ситуации, а ее ордината равна максимальной надежности того, что эта ситуация является равновесной.

На рисунке искомая точка лежит на пересечении графиков четвертой и пятой функций. Их уравнения соответственно имеют вид:

Решая эту систему, находим

у = 0,67, х = 0,70 ,

следовательно, надежность того, что ситуация (2,2) (DDOS атака хакеров — стратегия защиты — межсетевое экранирование) является седловой точкой, равна 0,67, с этой надежностью равновесное значение вероятности обнаружения и предотвращения преступных действий равно 0,70.

Заключение

В качестве заключения отметим, что достоинством предлагаемого подхода является то, что любая игра имеет

решение в чистых стратегиях, чего нельзя сказать о классическом подходе.

Литература

1. Петросян Л. А. Теория игр: учеб. пособие для ун-тов / Л. А. Петросян, Н. А. Зенкевич, Е. А. Семина. — М.: Высшая школа: Книжный дом «Университет», 1998. — 304 с.

2. Andreev V. P. Information Security of Automated Working Places in Case of Emergencies / V. P. Andreev, A. I. Derga-chev, A. K. Chernykh // Интеллектуальные технологии на транспорте. 2019. № 1 (17). С. 27-32.

3. Гладких В. П. Особенности моделирования системы информационной безопасности в органах военного управления / В. П. Гладких, В. Г. Швед, А. И. Дергачёв // Национальные приоритеты России. Серия 1 : Наука и военная безопасность. 2015. № 1 (1). С. 47-49.

4. Кофман А. Введение в теорию нечетких множеств = Introduction a la théorie des sous-ensembles flous. А l'usage des ingénieurs (Fuzzy Sets Theoiy) / Пер. с фр. В. Б. Кузьмина; под ред. С. И. Травкина. — М. : Радио и связь. Редакция литературы по кибернетике и вычислительной технике, 1982. — 432 с.

5. Штовба С. Д Введение в теорию нечетких множеств и нечеткую логику. — Винница: УНИВЕРСУМ-Винница, 2001. — 756 с.

6. Заде Л. A. Понятие лингвистической переменной и его применение к принятию приближенных решений = The concept of a linguistic variable and its application to approximate reasoning / Пер. с англ. Н. И. Ринго; под ред. Н. Н. Моисеева и С. А. Орловского. — М.: Мир, 1976. — 165 с. — (Математика. Новое в зарубежной науке. Вып. 3).

7. Орловский С. А. Проблемы принятия решений при нечеткой исходной информации. — М. : Наука. Главная редакция физико-математической литературы, 1981. — 208 с. — (Оптимизация и исследование операций).

8. Нечеткие множества в моделях управления и искусственного интеллекта / А. Н. Аверкин, И. З. Батыршин, А. Ф. Блишун [и др.]; под ред. Д. А. Поспелова. — М.: Наука. Главная редакция физико-математической литературы, 1986. — 312 с. — (Проблемы искусственного интеллекта).

Evaluation of the Effectiveness of an Intrusion Detection System Based on Matrix Games and Fuzzy Sets

PhD V. B. Vilkov Military Educational Institution of Logistics named after General of the Army A. V. Khrulyov of the Ministry of Defense of the Russian Federation St. Petersburg, Russia amirusha@rambler.ru

PhD A. K. Chemykh Saint Petersburg Military Order of Zhukov Institute of the National Guard Troops of the Russian Federation

St. Petersburg, Russia nataliachernykh@mail. ru

PhD A. I. Dergachev, PhD O. N. Kuranova Emperor Alexander I Petersburg State Transport University St. Petersburg, Russia d_ader@mail.ru olga_kuranova@mail.ru

Abstract. The article considers a problem formulated as a matrix game, in which the gain of officials using a specific system for detecting criminal actions of intruders (player 1) is the probability of timely detection of these criminal actions of intruders (player 2). As a rule, it is not possible to set unambiguously the probability of timely detection of criminal acts, so it is proposed to use the apparatus of fuzzy set theory for its evaluation. The article discusses and reveals the basic concepts of the theory of fuzzy sets, as well as an example of the practical application of this theory to assess the effectiveness of the system of detection of criminal acts of intruders. The use of fuzzy sets theory in the evaluation of possible actions of an attacker will allow to detect existing vulnerabilities in the information security of an automated system, and subsequently to improve the detection systems of criminal actions of intruders (hackers), preventing the possibility of causing economic and other damage to the company.

Keywords: system of detection of criminal actions of intruders, matrix game, fuzzy sets, matrix game solution.

References

1. Petrosyan L. A., Zenkevich N. A., Semina E. A. Games theory: Study guide [Teoriya igr: Uchebnoe posobie dlya uni-versitetov], Moscow, 1998, 304 p.

2. Andreev V. P., Dergachev A. I., Chernykh A. K. Information Security of Automated Working Places in Case of Emergencies, Intellectual Technologies on Transport [Intellektual'nye tekhnologii na transporte], 2019. № 1(17). Pp. 27-32.

3. Gladkih V. P., Shved V. G., Dergachev A. I. Features of Modelling of Information Security System in Bodies of Military Administration [Osobennosti modelirovaniya sistemy in-formatsionnoy bezopasnosti v organakh voennogo uprav-leniya], National Priorities of Russia. Series 1: Science and Military Security [Natsional'nye prioritety Rossii. Seriya 1: Nauka i voennaya bezopasnost], 2015, No. 1 (1), Pp. 47-49.

4. Kaufmann A. Introduction a la théorie des sous-ensembles flous. A l'usage des ingénieurs (Fuzzy Sets Theory) [Vvedenie v teoriyu nechetkikh mnozhestv], Moscow, Radio and Communication Publishing House, 1982, 432 p.

5. Shtovba S. D. Introduction to fuzzy set theory and fuzzy logic [Vvedenie v teoriyu nechetkikh mnozhestv I nechetkuyu logiku], Vinnytsia, UNIVERSUM-Vinnytsia Publisher, 2001, 756 p.

6. Zadeh L. A. The concept of a linguistic variable and its application to approximate reasoning [Ponyatie lingvistich-eskoy peremennoy i ego primenenie k prinyatiyu priblizhennykh resheniy], Moscow, Mir Publishers, 1976, 165 p.

7. Orlovsky S. A. Decision problems in case of fuzzy input information [Problemy prinyatiya resheniy pri nechetkoy is-khodnoy informatsii], Moscow, Nauka Publihers, 1981, 208 p.

8. Averkin A. N., Batyrshin I. Z., Blishun A. F., et al. Fuzzy sets in management models and artificial intelligence [Nechetkie mnozhestva v modelyakh upravleniya i iskusstven-nogo intellekta], Moscow, Nauka Publishers, 1986, 312 p.