CC BY
31
-►
Математическое моделирование: методы, алгоритмы, технологии
УДК 004.942
А.П. Росенко, Е.С. Клименко
МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ БЕЗОПАСНОСТИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ С УЧЁТОМ ВОЗДЕЙСТВИЯ НА АВТОМАТИЗИРОВАННУЮ ИНФОРМАЦИОННУЮ СИСТЕМУ ЗАВИСИМЫХ ВНУТРЕННИХ УГРОЗ
Марковские случайные процессы с дискретными и непрерывными состояниями широко применяются для исследования влияния внутренних угроз (ВУ) на безопасность конфиденциальной информации (КИ) [1—3]. Как показывает анализ статистической информации, существенный ущерб, наносимый собственнику КИ, связан с воздействием на автоматизированную информационную систему (АИС) и реализацией злоумышленником не только независимых, но и зависимых ВУ [4, 5].
Зависимость внутренних угроз можно показать на следующем примере: ошибка программиста по созданию программного продукта не зависит от несанкционированного съёма КИ посредством внедрения программной закладки, но порождает её, и наоборот, когда несанкционированный съём КИ, осуществляемый с помощью программной закладки, возникает независимо от ошибочных действий программиста, но порождает её.
В статье предлагается математическая модель, методика применения марковских случайных процессов с дискретным параметром для оценки безопасности конфиденциальной информации с учётом воздействия на АИС зависимых ВУ.
Математическая модель рассматриваемого процесса
Пусть на АИС воздействует п зависимых ВУ, которые могут взаимно порождаться с вероятностями ги.....как это показано на
рис. 1.
Примем следующие обозначения: дт.....
..., (?0/, — вероятность возникновения /-Й ВУ; Л10, ..., .....— вероятности парирования возникшей ¡-й внутренней угрозы; Л, й+1 Я1 п+х Я — вероятности непарирования возникшей /-й внутренней угрозы; 0,1...../.....я, п + 1 —
состояния, в которых может оказаться рассматриваемая система в результате воздействия п зависимых ВУ. При этом состояние п + 1 соответствует поглощающему состоянию.
В соответствие с рис. 1 матрицу вероятностей перехода системы из состояния в состояние можно представить следующим образом:
Рис. 1. Граф состояний при воздействии на систему п зависимых внутренних угроз
1 - д0] ... д0п 0
0 — ГП ■■■ ГЫ К1н+1
Кю гп ... 0 ... ГШ К„+1
Кн0 Гп\ ... Гт ... 0
0 0 ... 0
0 1
, (1)
где = <7о1 + ••• + % + ... + подматрица (I) является математической моделью, описывающей процесс перехода системы из состояния в состояние, вызванного воздействием на АИ С двух зависимых внутренних угроз. Определим вероятности перехода системы в возможные состояния в соответствии с матрицей (1).
Определение вероятностей перехода системы в различные состояния
Пусть АИС в начальный момент (перед первым шагом) находится в состояниях,,. Тогда для начального момента (п = 0) вероятности всех состояний равны нулю, кроме вероятности начального состояния Рп( 0) = 1.
После первого шага (к = 1) АИС перевдет из
состояния х„ в одно из состояний х[.....х;-.....хт
с вероятностями
Р Р Р
1 и 1" • • •" 1 иг '''" ппг
Тогда п-я строчка матрицы переходных вероятностей будет иметь вид
Рп{\) = РпХ-,...,Р1{\) = Рп-..лРт{\) = Рпт.
Вероятности состояний АИС после второго шага определяются по формуле полной вероятности, а именно
т
Р (2)2 1 Р (Р
(2)
7=0
Тогда с учётом (2) матрица переходных вероятностей после А:-го шага примет вид
т
Р(X) = ЕР(X - 1)Р ,где! = 0, 1,2,...,*, (3) 7=0 '
а вероятности перехода АИС за к шагов
т
Р = 1 РР (к - 1),где к>1. (4)
п=0
Используя выражения (3) и (4) для исходных данных, соответствующих вероятностям
Р0( 0) = 1; Л(0) =... = Р,{0) =... = Р„( 0) = Р„+1( 0) = 0,
составим выражения для определения вероятностей состояний системы после каждого шага.
После первого шага вероятности состояний будут равны:
р0( 1)=1-<ъ; Л(1) = %;•••; Р/(1) = %/;...;Р„(1) = <?0„; (5)
р,+1(П = о.
Вероятности состояний после второго шага в окончательном варианте примут вид:
л+1
Р (2) = I Р/ (1)0> = Р ЮР, + Р (1)^ + -
7=0
... + Р (1)Рю + ... + Р (1)Рм + Ри+1
л+1
Р (2) = I Р (1)Р = Р (1)Р1 + Р (1)Р + ...
7=0
... + Р (1)Р + ... + Р (1)Р
+ Рл+1
л+1
р(2) 2 XР (1)Р,/ 2 Р(1)Р/ + Р ОР + ■■■
7=0
■ ■■ + р(1)Р + ■■■ + р(1)Р + Рй+1 (1)РЙ+,(; ...,
л+1
Р (2) = I Р (1)Р 2 Р (\)Рп + Р (1)Р
1л
7=0
... + Р (1)Рш + ... + Р (1)Р„„ + Рл+1 (1)Р+, «0
л+1
При этом должна выполняться гипотеза о том, что АИС после первого шага может быть в любом из возможных состояний.
Р+1 (2) 2 I Р (1)Р„+1 2 Р (1)Р0 и+1 + Р (1)^, + ...
7=0
... + Р (1)Р ,л+1 Р (1) Р ,л+1 + Рл+1 (1)0,1 ,л+1'
Вероятность благоприятного исхода от воздействия на систему внутренних угроз после второго шага преобразований примет вид:
Рш( 2) = Р0( 2) + Л(2) + ... + РЦ 2) + ... + Р„(2).
Тогда вероятность неблагополучного исхода определится следующим образом:
Ош(2) = [-Рш(2) = Р11+1(2).
Аналогичным образом определяются вероятности состояний после /-го шага:
и+1
Р (0 = ХР 0' -1)Ро 2 Р (V -1)Ро +
.¡=0
+ Р (V -1) Р +... + Р (V -1) Р +... ... + Р (V -1) Ри0 + р, (V -1) Ри+]. 0;
и+1
Р (V) = Х Р (V -1) Р = Р (V -1) Л +
,/=о
+ р (V -1) Р +... + р (V -1) Р +... ... + р (V -1) Р + р, (V -1) Ри+].,;...,
н+1
р (V) = Х Р, (V -1) Р„ = Р (V - 1)Р +
./=0
+ Р (V -1) Р +... + Р (V - 1)Р +... + Р (V -1) Р, + р, (V - 1)Ри+],
н+1
Р (V) = Xр, (V - 1)р = р (V - \)Рп + р (V - 1)р +...
./=0
... + р(V - 1)Р +... + р(V - 1)Рг + р, (V - 1)р+м;
л+1
Р+,(0 = 1Р (V - 1)Р = 0, (V - 1)Р
1 О,л+1
7=1
Р (п) = X Р (п - 1)Рп = Р (п - 1)рт + Р (п - 1)Р + ...
7=0
... + Р (п - 1)Р +... + Р (п - 1)р + р+1 (п -1 )Р+и;...,
н+1
Р (и) = X Р (п -1)Р, = Р (и - 1)Р, +
7=0
+ Р (п -1) Р +... + Р (и -1) Р + ...
+ Р (и -1) Р, + Р, (и -1) Р,,
н+1
Р (и) = X Р (и - 1)Р„ = Р (и - 1)Р0и +
7=0
+ Р (и - 1)Р + ... + Р(и - 1)Р + ...
+ Р (и -1) Р„ + Р, (и - 1)Ри+],г;
л+1
Р+1 (И =1Р (И - 1)Р = Р (и -1)0
! О,л+1
7=0
+ Р (V - 1)Р,й+1 + ... + Р (V -1) Р,й+1 + ... + Р (V - 1)Р ,л+1 + Р}+1 (V - 1)Р+1 ,л+1'
После /-го шага преобразований вероятность благополучного исхода от воздействия на систему зависимых ВУ определится следующим образом:
РБИ(» = Р(/) + Р(/) +... + р.(/) +... + />„(/),
а вероятность противоположного события, т. е. неблагополучного исхода,
0БИ(/) = Р,+,(/).
После я-го шага вероятности состояний примут вид:
Р (п) = I Р, (И - 1)Р,„ = Р (И - 1)0, +
7=0
+ Р (п - 1)Р]0 +... + Р(п - 1)Р +... + Р(п - 1)Р +
+ Р, (п - 1)Р+],0 0
+ Р(п -1)Р й+1 +... + Р(п -+ ...
+ Р (и -1) Р ,Я+1 + Р}+1 (и -1) Р+1
,л+1'
После я-го шага преобразований вероятность благополучного исхода от воздействия на систему ВУ равна
Рш(п) = Р0(п) + Л (я) + ... + РЦп) + ... + О,(я),
а вероятность противоположного события, т. е. неблагополучного исхода,
0т(п) = рп(п).
Аналогичным образом определяются вероятности состояний после (я + 1 )-го шага, которые после преобразования примут вид:
Р (Я + 1) = X Р (И - 1)Рл = Р (п)Рт + Р (я)Р
10
7=0
... + Р (Я)Р +... + Р (я) Р0
+ р+1 (я)Р, 0;
н+1
р (п +1) = Хр (п -1)Р = р(пр + р (п)р, + ...
7=0
+ р (п)р +... + р (пр +
р (п)р+1,,;
л+1
Р (Я + 1) = X Р (Я -1)Р = Р (я)Р + Р (я)Р„
7=0
+ Р(я)Р +... + Р(я)Р + р,(я)р,
Q(п +1) = §Q(п- 1)Q„ 2 Q(П)Р0П + Q+...
j=o
+ Р (п)^ +... + Р (п)^ + Ри+] (п)Рп+и0 Q+1 (п +1) = ¿ Q (п -1Q = Р (п)Р0,й+1 +
7=1
+ Р (И)Р,
,/¡+1 "Г --Г Р (И)Р
Р (п) Р J1+1
+ Ря+1(п) Ря+1,я+1 ■
После («+1)-го шага преобразований вероятность благополучного исхода от воздействия на систему ВУ равна
РБИ(я+1) = Р/я+1) + + Рх{п + 1) + ... р.(я + 1) + ... + Р„{п + 1),
а вероятность противоположного события, т. е. неблагополучного исхода, определится из соотношения:
0БИ(«+1) = Р,+ 1(«+1)=1.
Частный случай
Пусть на систему воздействуют две зависимые ВУ, как это показано на рис. 2, которые могут взаимно порождаться с вероятностями гх2 и г2х. Обозначим через q()X и q()2, вероятность возникновения первой и второй угрозы.
Парирование первой и второй ВУ происходит с вероятностью Rx() и R20, а вероятности непарирования соответственно S,3
В соответствии с рис. 2 система может находиться в следующих состояниях:
"0" — исходное состояние системы (внутренние угрозы не проявляются);
Рис. 2. Граф состояний при воздействии на систему двух зависимых внутренних угроз
" 1" — первая ВУ проявилась с вероятностью ,, ее парирование осуществляется с вероятностью Я1(). Успешное парирование переводит АИ С из состояния " 1" в исходное нулевое состояние;
"2" — вторая ВУ проявилась с вероятностью <702, ее парирование и переход в нулевое состояние осуществляется с вероятностью
"3" — поглощающее состояние, когда система может перейти из состояния " 1" с вероятностью
Поглощающее состояние характеризует утечку конфиденциальной информации в результате реализации злоумышленником ВУ.
Как видно из рис. 2, система может находиться в состоянии " 1" без парирования второй ВУ и, наоборот, в состоянии "2" без парирования первой ВУ. Это возможно, когда первая ВУ возникает независимо от второй, но порождает её, либо когда вторая ВУ возникает независимо от первой, но порождает её.
Определим вероятности нахождения АИ С в различных состояниях.
В соответствии с рис. 2 матрицу вероятностей перехода системы из состояния в состояние можно представить следующим образом:
1 - Яъ Ят Чт 0
M 2 Rw 0 rn S13
S20 rï\ 0 S23
0 0 0 1
Матрица (6) является математической моделью, описывающей процесс воздействие наАИС двух зависимых внутренних угроз.
Применяя предложенные в общем случае выражения (3) и (4) для исходных данных, соответствующих вероятностям
Д(0) = 1ир(0) = р(0) = р(0) = 0,
можно определить вероятности состояний системы после каждого шага.
После первого шага вероятности состояний равны: р(1) = 1 - fc, Р(1) = qox, Р2( 1) = q02, Р3( 1) = 0. Тогда вероятности состояний после второго шага:
Р0(2) = (1 - qz)2 + q0XRX0 + q02R20;
Рх(2) = (1 - qz)qm + q02r2X;
Рг(2) = (1 — <72)(702 + Я{)\Г\2,
Р3(2) = д(яг12. (7)
Из выражения (7) можно определить вероятность благоприятного исхода от воздействия на систему внутренних угроз после второго шага преобразований
РБИ(2) = Р0(2) + Р1(2) + Р2(2).
Тогда вероятность неблагополучного исхода определяется следующим образом:
Ош(2)=[-Рш(2) = Р3(2)
или
Яш(2) 2 ЯоЛз +
Вероятности состояния системы после третьего шага будут таковы
Р0 (3) = (1 - дъ ) +Х д01Яю +
<=1
+ (1 - 4 )(УоАо + %2К20 ) + %2Г2Ао + УтГПК20 0
Р (3) 2
(1 - чт )2 +Е
/=1
Ч01 +
,(1 - Чг )Ч02 + Чги ]210
Р2 (3) = (1 - ^)2 4оД 402
_ /=1
+ [(1- 4 )41 + 402г21 Ьг 0
Рз (") 2 [(! - Ят)%1 + %2Г21 ]рЗ + + [(1- Ят )Ят + Я01П2 ] ■
После третьего шага преобразований вероятность благополучного исхода от воздействия на систему ВУ равна Рт(3) = Р()( 3) + Р{( 3) + Р2( 3), а вероятность противоположного события, т. е. неблагополучного исхода, определяется из соотношения 0БИ(3) = Р3(3).
Используем полученные зависимости для определения вероятности благополучного исхода с учётом воздействия наАИ С зависимых внутренних угроз.
Результаты математического моделирования
Определим вероятность благополучного исхода от воздействия на АИС двух зависимых внутренних угроз в соответствии с рис. 2 [2].
Исходные данные для расчёта: матрица вероятностей перехода (6); Р0(0) = 1; Р{(0) = Р2(0) = = /з(0) = 0; вероятность возникновения внутренней угрозы варьируется в пределах от ц(п = 0,0 до ц(п = 0,8; вероятность возникновения второй внутренней угрозы ц()2 = 0,2; вероятность парирования второй внутренней угрозы Я2() = 0,2, а вероятности взаимного порождения внутренних угроз гх2 = г2х = 0,2; вероятность парирования проявившейся внутренней угрозы Я1() = 0,2; количество шагов моделирования 12.
Результаты моделирования приведены на рис. 3, а.
Пусть Я1() = 0,6. Тогда при исходных данных, соответствующих первой задаче, результаты моделирования будут иметь вид, представленный на рис. 3, б.
Анализ результатов моделирования, (рис. 3, а и 6} позволяет сделать следующие выводы: система может оказаться в поглощающем состоянии после второго и последующих шагов; с увеличением вероятности Я1() наблюдается устойчивое сближение графиков, построенных для значений от ц(п = 0,2 до <?01 = 0,8, с графиком для <701 = 0,0; результаты моделирования показывают, что график для ц(п = 0,0 практически не изменяет своего положения с ростом Яю (слабо выраженная тенденция роста); можно показать, что при Я1(1 ^ 1,0 графики при изменении параметра ц(п = 0,2 — 0,8 сливаются с графиком для Я10 = 0,0.
Определим указанную вероятность для исходных данных, рассмотренных в первой и второй задаче, за исключением того, что будем изменять вероятность парирования второй проявившейся угрозы от Я2() = 0,4 до Я2() = 0,6, а вероятность Я1() — зафиксируем со значением Л10 = 0,2.
Результаты моделирования иллюстрирует рис. 4, а (для значений Я20 = 0,4) ирис. 4, б(для значений Я2() = 0,6).
Анализ результатов моделирования (рис. 4, а и 6} позволяет сделать следующие выводы: с увеличением вероятности Я2() наблюдается незначительный рост вероятности благополучного исхода от воздействия на АИС внутренних угроз во всем диапазоне изменения параметра ц(п, т. е. для ц(п = 0,0 — 0,8; анализ также показывает на отсутствие сближения графиков при изменении параметров ц(л и Л20, что свидетельствует о положительном влиянии параметра Я2() на вероятность
Л*, шаги
10 А1, шаги
Рис. 3. Зависимость вероятности благополучного исхода от воздействия на АИС двух зависимых внутренних угроз: а — для значений К1 = 0,2; б — для К1 = 0,6 /-<?,= 0,0; 2-д1= 0,2; .?-(?,= 0,4; 4-д1= 0,6; 5-д1 = 0,8
благополучного исхода во всем диапазоне изменения параметра ц(п\ после первого шагарасчё-та система не переходит в поглощающее состояние, что соответствует благополучному исходу от воздействия на АИС внутренней угрозы; начиная со второго шага расчёта, система может попасть в поглощающее состояние, при этом вероятность такого состояния существенно зависит от возможностей по парированию проявившейся внутренней угрозы; абсолютная величина изменения вероятности перехода системы в поглощающее состояние возрастает с увеличением количества шагов, что свидетельствует о необходимости совершенствования применяемых защитных механизмов в случае многократного проявления внутренних угроз.
С увеличением Л2о все графики плавно смещаются в направлении увеличения вероятности
благополучного исхода от воздействия внутренних угроз на АИС. Это свидетельствует о том, что у собственника КИ имеются различные варианты применения защитных механизмов. В зависимости от имеющихся материальных ресурсов он может реализовать те из них, которые дают положительный наилучший эффект в отношении защиты КИ.
Таким образом, разработанные математические модели на основе марковских случайных процессов с дискретными состояниями позволяют получить количественные зависимости, характеризующие степень влияния проявившихся внутренних угроз на безопасность информации ограниченного распространения.
Результаты моделирования могут использоваться для определения наиболее опасных внут-
6) г
0,75 0,5
0,25
0
Рис. 4. Зависимость вероятности благополучного исхода от воздействия на АИС двух зависимых внутренних угроз: а — для значений Л, = 0,4; б — для Л, = 0,6 /-<?,= 0,0; 2-д1 = 0,2; 3= 0,4; 4-дх = 0,6; 5-дх= 0,8
ренних угроз, последствий их воздействия на филактических мероприятий по предупрежде-АИС, атакже разработки организационно-про- нию воздействия на АИС внутренних угроз.
СПИСОК ЛИТЕРАТУРЫ
1. Росенко А.П., Клименко Е.С. Математическое моделирование процесса воздействия внутренних угроз на безопасность конфиденциальной информации // Информационные технологии и безопасность. Менеджмент информационной безопасности: Сб. науч. тр. Вып. 10. К.: HAH Украины. 2007. С. 40-45.
2. Росенко А.П., Клименко Е.С., Руденко A.B. Моделирование воздействия на автоматизированную информационную систему внутренних угроз. Свидетельство об отраслевой регистрации разработки № 8458, зарегистрированное в Отраслевом фонде алгоритмов и программ 08.06.2007.
3. Росенко А.П., Клименко Е.С. Методологические основы системной классификации внутренних угроз безопасности конфиденциальной информации // Комплексная защита информации: Матер. XI Междунар. конф. 20—23 марта 2007 года, г. Новополоцк (Республика Беларусь). Минск: Амалфея. 2007. С. 202-204.
4. Внутренние ИТ-угрозы в России. Исследовательские компании 1пГо\¥а1с11. 2006-08. \у\у\улпГо watch.ru.
5. Росенко А.П. Теоретические основы анализа и оценюг влияния внутренних угроз на безопасность конфиденциальной информации: Монография. М.: Гелиос АРВ. 2008. 154 с.
