CC BY
71
объектов критической информационной инфраструктуры Российской Федерации и их значений. Постановление Правительства РФ от 08.02ю2018 № 127. URL : http://publication.pravo.gov.ru/Document/View/0001201802130006 (дата обращения: 10.03.2019).
3. Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации. Приказ ФСТЭК России от 25.12.2017 г. № 239. URL : https://minjust.consultant.ru/docu-ments/38914 (дата обращения: 10.03.2019).
4. Об утверждении требований по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. Приказ ФСТЭК России от 11 февраля 2013 г. № 17. URL : https://fstec.ru/mrmotvor-cheskaya/akty/53-prikazy/702 (дата обращения: 10.03.2019).
5. ГОСТ Р ИСО/МЭК 15408-1-2012. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. URL: http://docs.cntd.ru/document/1200101777 (дата обращения: 10.03.2019).
6. ГОСТ Р ИСО/МЭК 15408-2-2013. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности. URL: http://docs.cntd.ru/document/1200105710 (дата обращения: 10.03.2019).
7. ГОСТ Р ИСО/МЭК 15408-3-2013. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности. URL: http://docs.cntd.ru/document/1200105711 (дата обращения: 10.03.2019).
8. Профиль защиты операционных систем типа «А». Методический документ ФСТЭК России. URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumen^-po-sertifikatsii/120-normativnye-dokumen^/1251-metodicheskie-dokumenty-utverzhdeny-fstek-rassii-8-fevralya-2017-g (дата обращения: 10.03.2019).
9. Барабанов А. В., Гришин М. И., Марков А. С., Цирлов В. Л., Формирование требований по безопасности информации к DLP-системам // Вопросы радиоэлектроники. 2013. № 2. С. 67-76.
10. ГОСТ Р ИСО/МЭК 18045-2013. Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий. URL: http://docs.cntd.ru/ document/1200105309 (дата обращения: 10.03.2019).
11. Барабанов А. В., Гришин М. И., Марков А. С. Формальный базис и метабазис оценки соответствия средств защиты информации объектов информатизации // Известия института инженерной физики. 2011. № 3. С. 82-88.
12. Марков А. С., Цирлов В. Л., Барабанов А. В. Методы оценки несоответствия средств защиты информации / Под. ред. А. С. Маркова. М.: Радио и связь, 2012. 192 с.
УДК 004.056, 004.942
МАРКОВСКАЯ МОДЕЛЬ ОПТИМИЗАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ A MARKOV MODEL FOR OPTIMIZATION OF INFORMATION SECURITY REMEDIES
А. А. Касенов, Е. Ф. Кустов, А. А. Магазев, В. Ф. Цырульник
Омский государственный технический университет, г. Омск, Россия
A. A. Kasenov, E. F. Kustov, A. A. Magazev, V. F. Tsyrulnik
Omsk State Technical University, Omsk, Russia
Аннотация. Большой ассортимент различных решений для обеспечения кибербезопасности, существующий на современном IT-рынке, делает актуальной задачу оптимального выбора набора средств защиты от заданного множества киберугроз. Целью работы является формулировка задачи оптимизации выбора средств защиты информации с применением одной марковской модели угроз, а также анализ возможности ее решения методом последовательного анализа вариантов. В отличие от общепринятых подходов, где множество решений ограничивается допустимыми показателями экономического ущерба, мы задаем соответствующее ограничение с помощью функционально-временной характеристики системы, называемой средним временем жизни. В работе получена явная аналитическая формула для среднего времени жизни системы, выраженная через входные параметры модели - вероятности реализации угроз и вероятности их отражения средствами защиты. Также в работе проанализирована возможность анализа вариантов. Для этого была разработана программа на языке C/C++, позволяющая экспериментально сравнить эффективность выбранного метода с методом полного перебора.
Ключевые слова: оптимизация, средство защиты информации, марковская модель угроз, метод последовательного анализа вариантов.
Б01: 10.25206/2310-9793-7-4-77-84
I. Введение
Для эффективного решения задач информационной безопасности необходим постоянный тщательный анализ актуальных киберугроз и уязвимостей. Подобный анализ необходим для своевременной реакции существующих систем защиты информации, которые нередко функционируют именно в заданном пространстве угроз. Как правило, при анализе угроз оценивают вероятности их появления (за некоторый период времени), а также ущерб, который они наносят информации [1].
На современном 1Т-рынке имеется немалое количество различных решений для обеспечения кибербез-опасности. При этом для противодействия одной и той же угрозе обычно может использоваться несколько различных средств или механизмов защиты, выпускаемых различными производителями. Обычно эти средства и механизмы весьма различаются по стоимости и имеют различные возможности по предотвращению киберу-гроз. Таким образом, на практике часто возникает задача выбора некоторого оптимального набора средств защиты.
Математически постановка задачи выбора оптимального набора из заданного множества средств защиты может формулироваться в рамках различных моделей. Обзор современных популярных подходов к подобным формулировкам можно найти в работе [2]. Среди наиболее часто используемых следует выделить группу подходов, основанных на теоретических моделях оценки инвестиций в информационную безопасность [3, 4, 5], а также серию подходов, основанную на теории игр [6, 7, 8].
В статье [9] авторами сформулированы две проблемы оптимального выбора средств защиты информации, относящиеся к классу проблем нелинейного дискретного программирования. Авторы отмечают, что классические методы линейного программирования для решения этих задач не применимы и, кроме того, имеются трудности явного аналитического задания целевой функции и ограничений задачи. В настоящей работе мы формулируем альтернативную оптимизационную задачу, опираясь на марковскую модель угроз кибербезопас-ности, предложенную в работе [10] и подробно исследованную в статьях [11, 12]. В отличие от подхода, принятого авторами в работе [9], мы определяем допустимое множество решений не через показатели экономического ущерба, а через функционально-временные характеристики модели. В настоящей статье также анализируется возможность решения поставленной оптимизационной проблемы с помощью метода последовательного анализа вариантов, который учитывает имеющуюся специфику задачи и позволяет достигнуть существенного выигрыша по сравнению с методом полного перебора вариантов.
II. Постановка задачи
Рассмотрим модель, в соответствии с которой на информационную систему воздействует п независи-
Еп
< 1. Для упрощения расчетов примем во
внимание следующие допущения.
1. Ситуацию с одновременным воздействием нескольких угроз будем считать невозможной.
2. Очередная угроза может произойти только в случае успешного парирования предыдущей.
Кроме того, будем считать, что в системе действует дискретное время: t = 0,1,2,.... В соответствии с этими допущениями в каждый момент времени t система находится в одном из следующих возможных состояний: 5о, 51, .••, яп, Я/ . В состоянии 50, называемом безопасным, ни одна из угроз не реализуется. Состояние я , где / = 1,..., п, характеризуется воздействием I -ой угрозы. При этом в последующий момент времени имеется две альтернативы: либо данная угроза будет успешно отражена с вероятностью гг и система вернется в состояние , либо с вероятностью Г = 1_ Г - эта угроза приведет к выводу системы из строя. В последнем случае мы будем считать, что система переходит в состояние Я/ . Граф состояний системы приведен на рис. 1.
Всюду далее мы будем считать, что в начальный момент времени t = 0 система находится в безопасном состоянии .
Для анализа функционально-временных характеристик моделируемой системы удобно ввести следующий параметр. Временем жизни Т системы назовем число переходов, за которое она перейдет в конечное состояние 5и+1. В силу того, что переходы между состояниями носят стохастический характер, ясно, что Т - это
дискретная случайная величина, подчиненная некоторому закону распределения. Обозначим Т математическое
ожидание случайной величины Т (среднее время жизни). Очевидно, что среднее время жизни является некоторой функцией от набора исходных параметров модели, то есть
Т = Т (я, г),
где ц = (я..яп), г = (г1..гп). Далее нами будет получено явное аналитическое выражение для этой функции.
О-
Рис. 1. Граф состояний системы.
Во многих практических задачах, связанных с проектированием и эксплуатацией систем защиты информации, возникает задача оптимального выбора необходимого поднабора средств защиты из некоторого заданного набора. Сформулируем одну из таких оптимизационных задач, используя рассматриваемую нами математическую модель.
Предположим, что имеется т различных средств или механизмов защиты, отражающих действующие угрозы информационной безопасности. Для описания возможных конфигураций сопоставим каждому а -му средству защиты соответствующую булеву переменную ха, принимающую значение 1, если а -ое средство задействовано, и 0 - в обратном случае. Таким образом каждую конкретную конфигурацию мы можем изобразить т - мерным булевым вектором х = (х хт) е {0,1} т. Очевидно, что всего имеется 2т возможных конфигураций.
Обозначим через гаа вероятность г -ой угрозы а -ым средством защиты. В силу того, что сразу несколько средств защиты могут отражать данную угрозу, в соответствие с известной формулой для вероятности суммы нескольких совместных событий будем иметь [13]:
Гг (х) = X (_ 1)Ь X (Г'а1 хга1 )гга2 ха2 ). (ггаЬ хга„ ). (1)
Ь=1 а1<а2 <...<аь
Таким образом, параметры гг, отражающие способность системы противостоять заданным информационным угрозам, оказываются функциями от булевых переменных ха .
Зададим некоторый фиксированный момент времени Т 0 > 0 и потребуем, чтобы среднее время жизни было не меньшим, чем заданное значение: Т > Т0. При этом мы можем быть заинтересованы поиском такой конфигурации системы защиты, при которой ее суммарная стоимость будет минимально возможной:
С(х) =Х саха^ (2)
а=1
Т (ц, г(х))> Т о. (3)
Здесь са - стоимость а -го средства защиты (в условных денежных единицах).
Так как в общем случае вероятности r (х) являются нелинейными полиномами от булевых переменных ха, оптимизационная задача (2), (3) относится к классу задач нелинейного дискретного программирования. Как известно, не существует универсальных эффективных алгоритмов решения данной задачи. Среди низкоэффективных методов в первую очередь используется метод прямого перебора, сводящийся к перечислению всех m -мерных булевых векторов x , удовлетворяющих условию (3), а затем к выбору тех из них, которые приводят
к минимуму целевой функции C(x). Ясно, что вычислительная сложность такого подхода будет порядка o(2m j
Основной целью настоящей работы является исследование возможности решения оптимизационной задачи (2), (3) методом последовательного анализа вариантов [15]. Основываясь на последовательном построении, анализе и отборе возможных решений, данный метод демонстрирует неплохую эффективность на определенных классах оптимизационных задач. Речь идет о классах задач с дополнительными свойствами, позволяющими отбрасывать определенные подмножества потенциальных решений. В настоящей работе нами будет экспериментально проанализирована эффективность данного метода, применительно к оптимизационной задаче (2), (3).
III. Теория
1. Вывод формулы для среднего времени жизни.
Описанная в предыдущем разделе математическая модель информационной системы допускает естественную интерпретацию на языке марковских цепей. В соответствие с графом состояний, показанном на рис. 1, эволюция системы представляет собой последовательность состояний, вероятности которых в произвольный момент времени t определяются рекуррентными уравнениями:
p* (t)=!>, Pj (t-1)-
Здесь p(t) - вероятность нахождения системы в состоянии st в момент времени t, - вероятность перехода цепи из состояния s j в состояние s . Совокупность всех вероятностей п^ образует матрицу переходных вероятностей, которая в нашем случае имеет вид
П =
qo qi q2 ••• qn 0
r1 0 0 •••• 0 r1
r 00 •••• 0 r2
r 0 0 0 r 0 0 0 ••• 0 1
(4)
Здесь введено обозначение находится в безопасном состоянии 50 мы можем записать так:
1 - ^ д . Тот факт, что в начальный момент времени t = 0 система
P0(t) = 1, Pi(t) = P2(t) = •••= Pn (t) = 0, Pn+i(t) = 0 .
(5)
Марковская цепь с матрицей переходных вероятностей (4) и начальными условиями (5) подробно анализировались в статьях [11, 12]. В частности, в этих работах были получены явные аналитические формулы для вероятностей р (Г). В настоящем исследовании нам понадобится только вероятность безопасного состояния, поэтому ее выписыванием мы и ограничимся:
P0(t)=-1 i^Y41 - -1
w ^ 2 ) w
Nt+1
q0- w i
(6)
2 2 л
Здесь положительный параметр w определяется как ^ = до + 4 / дг.
Используя формулу (6), мы можем найти закон распределения для времени жизни системы Т. Обозначим через Р(Т) вероятность перехода системы в конечное состояние ^ за Т шагов: Т = 2,3,____Из рис. 1 вид-
2
но, что система может оказаться в состоянии я ^ за Т шагов только в том случае, если в момент времени Т - 2 она находилась в безопасном состоянии 50. Так как вероятность этого события равна р0 (Т - 2) для вероятности Р(Т) имеем: Р(Т) = ро(Т- 2)Т_1 Ч-Г;. Здесь выражение ТщЧ'(1 -Г) определяет вероятность перехода из состояния 50 в состояние ^. С учетом (6) получаем, что распределение вероятностей случайной величины Т имеет вид:
Р(Т) = - Тч (1 - Г)
ЛЛ)
% + ™ 2
Т-1
Чо - ™ 2
Т-1
(7)
По определению, среднее время жизни системы - это величина Т = Т,, 2 Р(Т)Т. Подставляя сюда выражение (7), получаем
Т(д, г) = V-1 Т Ч (1 - Г)
г=1
Тг=1 Ч
да / ч Т-1 да
Чо + ^
= V
Чо + ^
ТТ
Т=2 00
Т>
Т=0
ТТ
Т=2
Чо + ™ 2
Чо'
Чо - ^ 2
;Тт
Т=о
Т-1
Чо'
В силу того что Чо ±^/2 < 1, ряды в правой части полученного выражения сходятся [14]. После небольших вычислений получаем следующее аналитическое выражение:
Т = -
1 + ТП=1 Ч'
Ей
'=1Ч -Т=1
(8)
Полученная формула выражает среднее время жизни системы через ее параметры - вероятности угроз д = (ч1, ..., д„) и параметры защиты г = (г1,..., гп).
2. Метод последовательного анализа вариантов.
Рассмотрим оптимизационную задачу (2), (3). С учетом полученной нами формулы (8) данная оптимизационная задача формулируется следующим образом:
С(х) = Тсаха ^ т^П,
а-\
( 1 ^ п 1 гдехе{о,1Г :ТП-х^* 1 ТЧ
v То; г=1 Т
(9)
(10)
Причем Г' (х) даются формулой (1).
Как мы уже отмечали, наиболее прямой способ решить данную оптимизационную задачу - прямой перебор. Количество итераций при этом будет ровняться 2т, где т - число рассматриваемых средств защиты. Чтобы снизить количество итераций и ускорить вычисления, применим для решения (9), (10) метод последовательного анализа вариантов [15].
Напомним некоторую терминологию. Всякий т -мерный булев вектор х = (х1,..., хт) называется решением оптимизационной задачи (9), (10), а вектор вида х(р) = (х^...,Хр), р <т , называется ее частичным решением. Решение х называется допустимым, если оно удовлетворяет неравенству (10). Если частичное решение х( р) может быть достроено до допустимого решения, его называют допустимым частичным решением.
Основная идея метода последовательного анализа вариантов состоит в пошаговом конструировании частичных решений и отсеве в процессе такого конструирования тех, которые не могут быть достроены до оптимальных. Решение задачи можно представить в виде продвижения по дереву решений, где узлами будут являться частичные решения. А висячими узлами являются полные решения.
Отсев частичных решений, которые не могут быть достроены ни до допустимых, ни до оптимальных, осуществляется набором элиминирующих тестов и = согласно обобщенному правилу
п
2
Т
Т
2
2
о(к) = к(к+1,
где
ки) = к°-1)\^-1(к°-1)), ] = 0,1,..., к + 1, к(0) = к.
Здесь к - некоторый набор частичных решений, а через ^ (к) обозначено множество частичных решений, отсеиваемых тестом ^ . При этом в наборе о всегда присутствуют два теста:
• - проверяет допустимость решения;
• ^ - сравнивает допустимые решения по значению целевой функции.
Исходя из некоторой специфики задачи (9), (10) мы можем построить еще два элиминирующих теста. Тест использует свойство неубывания целевой функции С(х) на вычислении оценки частичных решений вида
а{х(р))= С(xl,.,хр,0,.,0).
Обозначим С* верхнюю границу для минимума задачи (9), (10). На первых итерациях полагаем С* = , а далее делаем его равным наилучшему значению целевой функции на множестве построенных допустимых решений. Элиминирующий тест для произвольного множества частичных решений задается соотношением:
*
^2(к) = {х(р) е к : «(х(р)) > С
Еще один элиминирующий тест осуществляет анализ допустимости частичных решений. Возможность его использования связана со специфической структурой неравенства (10). Действительно, как легко видно из формулы (2), данное неравенство можно представить в виде
gl(x) - g2(x) < 0, (11)
где g1(x) и g2(x) - неубывающие функции. Вводя оценку:
Ах( р)) = gl( x1, . , хр,0, . ,0) - g2(x1, . , хр,1, .••,1),
мы можем записать в виде:
£з(к) = х( р)е к: Ах( р)) > 0.
IV. Результаты экспериментов
С использованием описанной в предыдущем разделе теории была разработана программа на языке С/С++, решающая оптимизационную задачу (9), (10) как методом прямого перебора, так и последовательного анализа вариантов. Входными данными программы являлись следующие параметры На вход программы подавались следующие данные:
• т - исходное число имеющихся средств защиты;
• п - количество рассматриваемых угроз безопасности информационной системы;
• Ч = (д1,дп) - вектор вероятностей реализации угроз;
• Т0 - верхняя граница среднего времени жизни системы;
• |И«1| - матрица вероятностей отражения угроз средствами защиты;
• с = (с:,..., ст) - вектор стоимостей средств защиты.
Результатом работы программы является вектор х *, изображающий оптимальную конфигурацию средств защиты, а также соответствующее значение минимальной стоимости С^п = С(х*).
ТАБЛИЦА
РЕЗУЛЬТАТЫ ЧИСЛЕННОГО ЭКСПЕРИМЕНТА
Число средств защиты т Кол-во итераций, N
методом прямого перебора методом посл. анализа вариантов
5 32 38
6 64 61
7 128 218
8 256 263
9 512 409
10 1024 703
11 2048 632
12 4096 1811
13 8192 1116
14 16 384 1166
15 32 768 4626
16 65 536 2303
С помощью разработанной программы нами была проведена серия численных экспериментов с целью сравнения эффективности метода последовательного анализа вариантов по сравнению с методом полного перебора. Эксперименты сводились к запуску программы с различными значениями параметра т из диапазона от 5 до 16 и измерению числа N итераций, требуемых для отыскания оптимального решения. Все остальные входные параметры формировались случайно. В целях получения более объективных результатов для каждого т были вычислены средние значения измеряемой величины N. Полученные результаты приведены в таблице. Для иллюстрации на рис. 2 мы также приводим соответствующие графики зависимости от т числа итераций при полном переборе и среднего числа итераций при методе последовательного анализа вариантов.
Рис. 2. Сравнение числа итераций при прямом переборе и с использованием метода последовательного анализа вариантов
Как видно из приведенного на рис. 2 графика число итераций, требуемое для решения оптимизационной задачи (9), (10) методом последовательного анализа вариантов, является меньшим, чем при методе полного перебора, причем данная зависимость становится более выраженной с ростом т . Исходя из этого можно предположить, что метод последовательного анализа вариантов более эффективен для поиска оптимальной конфигурации средств защиты информации, в особенности, при большом наборе исходных средств защиты.
V. Выводы и заключение
В настоящей статье мы рассмотрели одну из возможных формулировок задачи оптимального выбора средств защиты информации, основанную на марковской модели киберугроз. В отличие от общепринятых подходов [2, 9], где множество решений ограничивается допустимыми показателями экономического ущерба, мы задаем соответствующее ограничение с помощью функционально-временной характеристики системы, называемой нами средним временем ее жизни. В силу того что поставленная нами задача принадлежит к классу задач нелинейного целочисленного программирования, не существует универсальных методов для ее эффективного решения. Тем не менее имеющаяся специфика задачи (линейность целевой функции (9) и представление ограничивающего неравенства (10) в виде (11)) позволяет применить метод последовательного анализа вариантов. С помощью разработанной нами программы мы провели серию вычислительных экспериментов, подтверждающих эффективность этого метода по сравнению с методом полного перебора. В дальнейшем мы планируем подтвердить полученные экспериментальные результаты более строгими теоретическими оценками.
Список литературы
1. Хоффман Л. Дж. Современные методы защиты информации: пер. с англ. / под ред. В. А. Герасименко. М.: Сов. Радио, 1980, 264 с.
2. Shirtz D., Elovici Y. Optimizing investment decisions in selecting information security remedies // Information Management & Computer Security. 2011. Vol. 19, no. 2. P. 95-112.
3. Cavusoglu H., Mishra B., Raghunathan S. A model for evaluating IT security investments // Communications of the ACM. 2004. Vol. 47, no. 7. P. 87-92.
4. Qiu Q. R., Zhang Y. F., Han L. An optimization model of product selection in information security technology system // 2008 International Conference on Machine Learning and Cybernetics. 2008. Vol. 2. P. 1141-1146.
5. Wang Z., Song H. Towards an optimal information security investment strategy // 2008 IEEE International Conference on Networking, Sensing and Control. 2008. P. 756-761.
6. Shi J., Lu Y., Xie L. Game theory based optimization of security configuration // 2007 Internationakl Conference on Computational Intelligence and Security (CIS 2007). 2007. P. 799-803.
7. Fielder A., Panaousis E., Malacaria P., Hankin C., Smeraldi F. Game theory meets information security management // IFIP International Information Security Conference. Springer, Berlin, Heidelberg. 2014. P 15-29.
8. Шматова Е. С. Выбор стратегии ложной информационной системы на основе модели теории игр // Вопросы кибербезопасности. 2015. № 5 (13). С. 36-39.
9. Овчинников А. И., Журавлев А. М., Медведев Н. В., Быков А. Ю. Математическая модель оптимального выбора средств защиты от угроз безопасности вычислительной сети предприятия // Вестник Московского государственного технического университета им. Н. Э. Баумана. Серия: Приборостроение. 2007. № 3. С. 115-121.
10. Росенко А. П. Математическое моделирование влияния внутренних угроз на безопасность конфиденциальной информации, циркулирующей в автоматизированной информационной системе // Известия Южного федерального университета. Технические науки. 2008. Т. 85, № 8. С.71-81.
11. Магазев А. А., Цырульник В. Ф. Исследование одной марковской модели угроз безопасности компьютерных систем // Моделирование и анализ информационных систем. 2017. Т. 24, № 4. С. 445-458.
12. Magazev A. A., Tsyrulnik V. F. Optimizing the selection of information security remedies in terms of a Markov security model // Journal of Physics: Conference Series. 2018. Vol. 1096, no. 1. P. 012160. DOI: 10.1088/1742-6596/1096/1/012160.
13. Феллер В. Введение в теорию вероятностей и ее приложения. В 2-х томах Т.1: пер. с англ. М.: Мир, 1984. 528 с.
14. Прудников А. П., Брычков Ю. А., Маричев О. И. Интегралы и ряды. В 3 т. Т. 1. Элементарные функции / под ред. А. П. Прудников. М.: Физматлит, 2002. 632 с.
15. Ковалев М. М. Дискретная оптимизация (целочисленное программирование). Изд. 2-е, стереотипное. М.: Едиториал УРСС, 2003. 192 с.
