CC BY
12
Модель оценки своевременности и полноты обмена информационными ресурсами в корпоративных системах с распределенным реестром
1 112 И.Б. Саенко , И.Н. Фабияновский , А.М. Старков , Е.Г. Баленко
1 Военная академия связи имени Маршала Советского Союза С.М. Буденного, Санкт-
Петербург
2Донской государственный аграрный университет, Персиановский
Аннотация: В статье рассматривается модель оценки показателей эффективности обмена информационными ресурсами в корпоративных системах, предназначенная для анализа возможности систем с распределенным реестром обеспечить своевременность и полноту информационного обмена. В качестве основного показателя предлагается учитывать вероятность отказа сегмента корпоративной системы для каждой эпохи. Для нахождения этого показателя используются вероятностные оценки сумм, ограниченных сверху гипергеометрическим и биномиальным распределениями с вероятностными границами Чебышева, Хеффдинга и Шватала. Проведен численный и сравнительный анализ предложенных оценок.
Ключевые слова: технология распределенного реестра, информационная система, сегментирование, цепочка блоков.
Технология распределенного реестра (ТРР) - это перспективная информационная технология обмена информационными ресурсами в корпоративных сетях (системах), которая может оказывать положительный эффект практически на все сегменты цифровой экономики, например, банковское дело, здравоохранение, государственный сектор и т.д.
Распределенный реестр (РР) можно определить, как распределенный цифровой журнал, который отслеживает все операции (транзакции) в корпоративной сети. РР не основывается на каком-либо доверенном центральном узле корпоративной сети для проверки операций (транзакций) и расширения цепочки блоков. Сеть, используя протокол согласия, определяет, на каком узле можно создавать действительный блок и добавлять его в систему распределенного реестра (СРР) [1].
Транзакция транслируется на все узлы в корпоративной сети. При получении транзакции узел, который его получает, проверяет, является ли
транзакция действительной. Если ответ положительный, то он отправляет транзакцию своим соседям. В противном случае транзакция отбрасывается. Узел, который получает блок, проверяет его. Если блок подлинный, то копия блока добавляется в СРР и передается соседним узлам. В противном случае копия отбрасывается. Таким образом, в конечном итоге все узлы имеют одну и ту же копию СРР.
Одним из ключевых ограничений СРР, основанных на доказательствах, является масштабируемость. Масштабируемость тесно связана с пропускной способностью СРР. Последний показатель измеряется количествам транзакций, которые могут обрабатываться в единицу времени (например, в секунду). Цель масштабируемости СРР заключается в том, чтобы обрабатывать большое количество транзакций в секунду (т.е. иметь высокую пропускную способность) без ущерба для децентрализации и безопасности. Безопасность, в свою очередь, определяется полнотой и своевременностью информационного обмена. Можно значительно увеличить пропускную способность, однако проиграть при этом в децентрализации и безопасности [2-4].
Учитывая вышеизложенное, для СРР требуется найти баланс между масштабируемостью, безопасностью и децентрализацией. Это является достаточно сложной проблемой. Для ее решения разработана модель, излагаемая в настоящей статье, позволяющая определить условия, которые должны быть выполнены в СРР на основе протокола сегментирования, чтобы вероятность отказа находилась ниже заданного порога.
В протоколах СРР на основе сегментирования предлагается использовать гипергеометрическое распределение вместо биномиального, так как процесс объединения узлов в сегменты можно определить, как выборку без замены (сегменты не пересекаются). В этом случае
гипергеометрическое распределение дает лучшее приближение по сравнению с биномиальным [5].
Обычно биномиальное распределение используется, когда выборка обращается с заменой. Есть несколько вероятностных границ, которые можно применить в СРР. Границы Маркова и Чебышева являются наиболее распространенными неравенствами, используемыми в теории вероятностей. Оценка Маркова применяется только к неотрицательным случайным величинам, тогда как Чебышевская граница может быть применена к любой случайной величине. Кроме того, для любой независимой случайной величины оценка Шватала и оценка Хеффдинга имеют аналогичные границы как для биномиальных, так и для гипергеометрических распределений. Иными словами, границы Маркова, Чебышева, Шваталя и Хеффдинга могут применяться как для биномиального, так и для гипергеометрического распределения. Однако оценка Маркова является наиболее грубой, потому что она постоянна и не меняется по мере того, как число узлов в сегменте увеличивается.
Совокупность гипергеометрического распределения Н (К, Ы, п, к) представляет собой сумму функции распределения вероятностей к (К, Ы, п, 1) для всех I > к. Обозначим: N - общее количество узлов, п - размер сегмента, К - общее количество вредоносных узлов, г - отказоустойчивость сегмента, Я - общая отказоустойчивость, пс - количество сегментов, рс - вероятность отказа сегмента, ре - вероятность отказа эпохи, ръоо15ГаР - вероятность начальной загрузки, к (К, Ы, п, к) - гипергеометрическое распределение с параметрами К, N и п, Н (К, Ы, п, к) - кумулятивное гипергеометрическое распределение с параметрами К, N и п, В (п, р, к) - кумулятивное биноминальное распределение с параметрами п и р, А - среднее время до отказа (в годах), Е,, - ожидаемое количество раундов сегментирования до отказа, Ы, - количество раундов сегментирования [6, 7].
и
Примем следующие допущения:
- вероятность отказа определяется как вероятность того, что количество вредоносных узлов превышают установленный предел, равный 25% от всех узлов) в сети;
- граница вероятности отказа есть функция верхней границы, которая оценивает вероятность отказа;
- безопасность сегмента есть максимальное количество вредоносных узлов, при которых сегмент еще находится в безопасном состоянии, то есть обеспечиваются полнота и своевременность обмена информационными ресурсами.
Пусть X - случайная величина, соответствующая количеству вредоносных узлов в выборке сегмента, и Р(Х = к) - вероятность того, что сегмент содержит к вредоносных узлов из п сети размером N .
В случае гипергеометрического распределения X следует гипергеометрическому распределению с параметрами К, N и п. Тогда среднее (ожидаемое значение) будет равно:
к
Е(Х) = п— = пр N ,
а дисперсия будет иметь следующий вид:
пр(1 - р)^ - п)
уаг( X) = ■
N-1
Вероятность Р (X = к) будет равна:
Н(К, N, п, к) =
К
к
N - К п - к
N
Тогда вероятность отказа для сегмента с безопасностью г будет равна:
и
H (K, N, n, nr) = £
K Y N - K к Л n - к
N
к=[ nr] 1 N
В случае биномиального распределения X следует биномиальному распределению с параметрами n и p, где p = K / N есть вероятность того, что узел является вредоносным. Тогда среднее значение равно:
E ( X ) = np,
а дисперсия будет равна:
var( X) = np(1 - p). (1)
Таким образом, можно провести сравнение гипергеометрического распределения с биномиальным. Если n мало относительно размера сети N, то X может быть аппроксимировано биномиальным распределением. Практически гипергеометрическое распределение приближается к биномиальному, когда размер выборки составляет менее 10% [8-10].
Однако, когда размер выборки увеличивается по сравнению с размером сети, рекомендуется использовать гипергеометрическое распределение, так как оно дает лучшее приближение. Если размер выборки немного меньше размера сети, то тогда для расчета вероятности отказа используется кумулятивное геометрическое распределение или кумулятивное биномиальное распределение вместо кумулятивного гипергеометрического распределения.
Если предположить, что X ~ B (n, p), т.е. X следует биномиальному распределению с параметрами n и p, то p = K / N есть вероятность того, что узел аномальный. Тогда вероятность отказа одного сегмента с безопасностью r с использованием кумулятивного биномиального распределения может вычисляться следующим образом:
и
Р(Х > пг) = (1 - Р)
пг) = - '"чп -
к=[ пг ] V —
При оценке вероятности отказа важной задачей является оценка вероятности ограничения функции ошибки для одного сегмента и, следовательно, для одной эпохи, используя три граничные функции, т.е. определение неравенств, которые дают точные результаты.
Пусть X следует гипергеометрическому распределению с параметрами К, N и п. Оценим вероятность отказа для одного сегмента, а также на каждую эпоху по Чебышевской границе.
Введем определение оценки Чебышева: если X есть случайная величина, то для любого а > 0 имеем:
Р(|X - Е(X)| > а) < ^ (2)
Используя (2), для соответствующей гипергеометрической случайной переменной оценим Р (X > пг):
Р(X > пг) = Р(X - Е(X) > пг - Е(X)) = Р(X - пр > пг - пр) < Р(| X - пр |) > пг - р) уаг(X) _ пр(1 - р)(N - п)
(пг - пр)2 (N - 1)(пг - пр)2 (3)
Ограничим вероятность отказа одного сегмента с защищенностью г следующим образом:
Р(X > пг) < пр(1 - р)(N - п) (N - 1)(пг - пр)2
При оценке Чебышева, соответствующей двучлену случайной переменной, можно ограничить вероятность отказа одного сегмента с защищенностью г. В этом случае, учитывая (1) и (3), оценка Р (X > пг) имеет следующий вид:
Р(X > пг) < пр<Ы1 (4)
(пг - пр )
Таким образом, при известной оценке вероятности отказа для каждой эпохи можно вычислить объединение пс с сегментами, где каждый сегмент
и
может потерпеть неудачу с вероятностью pc. Если образец меньше 10% от размера сети СРР, то pc рассчитывается с использованием кумулятивного биномиального распределения. В противном случае используется кумулятивное гипергеометрическое распределение.
В первую эпоху для каждого протокола сегментирования процедура выборов завершается неудачно с вероятностьюpbooшmp [11].
Таким образом, вероятность неудачи для одной эпохи, используя оценку Чебышева, соответствующую гипергеометрической случайной величине, ограничена следующим образом:
р + пр < р + пП^(5)
УЪооЫшр сУс ГЪооШшр с (N _ 1)(пг _ пр)2
Приведем теперь определение оценки Хеффдинга. Для оценки
вероятности отказа оно предполагает использование следующего выражения:
Н (К, N, п, к) < 0(х)
Где:
г С \p+x f p-x л
G( x) =
P
v P + x j
1 - p
1 - p - x
j
j
Следовательно, можно оценить вероятность отказа одного сегмента с защищенностью r следующим образом:
H(K, N, n, nr) < G(x) (6)
Биномиальное распределение имеет аналогичную хвостовую часть:
B(n, p, nr) < G(x) (7)
где
B(n, p, nr) = X bP (1 - P)n-k
k=[ nr ] V k j
Вероятность отказа для одной эпохи pe ограничена следующим образом:
n
и
рЬооШгар + псРС ^ V(х)
где:
N
1оо1з1гар с V / п
V (Х) = рЬооШгар + пМХ) "С
Оценка Шваталя предполагает еще экспоненциальную функцию, которая дает менее слабую оценку по сравнению с Хеффдингом. Эта оценка имеет следующий вид:
Н (К, N, п, —) < Р(х)
где:
Р (х) = ехр-2 х2п
Таким образом, вероятность отказа для одной эпохи ограничена выражением:
рЬооШгар + псрс ^ и(Х)
?
где:
N
1 '1 с* (Х) п
и (Х) = рьооШгар + пР (Х) Пс
Оценим теперь безопасность сети, т.е. вычислим среднее количество времени до отказа, используя вероятность отказа. Среднее количество времени до отказа определяется следующим образом:
, Е
N,
Где:
Е = -1
ре .
При этой оценке рассмотрим класс А и класс В протоколов сегментирования. Для всех этих протоколов выбираем гипергеометрическое распределение для расчета вероятности отказа для одного сегмента, а затем и для каждой эпохи. Вероятность отказа для одного сегмента для протоколов
класса А (безопасность одного сегмента равна 33%) с использованием кумулятивного гипергеометрического распределения вычисляется следующим образом:
Аналогичным образом можно выразить вероятность отказа для класса В, используя гипергеометрическое распределение:
Вероятность отказа одного сегмента для класса А с использованием кумулятивного биномиального распределения вычисляется следующим образом:
Аналогичным образом, кумулятивное биномиальное распределение для класса В равно:
Рассчитаем теперь безопасность сети путем вычисления границы вероятности отказа с использованием оценок Чебышева, Хеффдинга и Шваталя.
При использовании оценки Чебышева вероятность отказа одного сегмента для протоколов класса А с использованием (3) будет ограничена, как:
и
Н(К, N, п, П) < пр(1 - р)(N - п)
V П 1
3 (N -1)(- - пр)2
Вероятность отказа одного сегмента для класса B будет ограничена,
как:
Н(К, N, п, п) < пр(1 - р)(N - п)
п
2 (N -1)( 2 - пр)2
Учитывая, что у всех протоколов в классе A имеются одинаковые вероятности начальной загрузки, то, используя (5), можно оценить вероятность отказа для каждой эпохи следующим образом: - для класса А:
рьт + псН(К, N, п,п) < 2-2636 + пс пр(1 - р)^ - п)
(N -1)(- - пр)2
- для класса B:
А« + псН(К, N, п,п) < 2-2636 + пс
2 (N -1)(п - пр)2
Аналогичным образом производится оценка Чебышева, соответствующая биномиальной случайной величине. Вероятность отказа для каждой эпохи с использованием (4) имеет вид:
- для класса А:
ръо^р, + "Н(К,N,n,n-)< 2- + пспр1-р1
3 (п - пр)2
- для класса B:
+ "Н (К, N,nn-) < 2-26'36 + пс^ЬР) 2 (п - пр)2
и
При использовании оценки Хеффдинга вероятность отказа для одного сегмента по протоколам класса A с учетом (6) ограничивается следующим образом:
n
H(K, N, n, ^) < G(x)
где:
1 / 1ч
x=--p (p<-)
Используя (7), в случае биномиального распределения получаем
n
B(n, p, -) < G(x)
В таком случае оценка вероятности отказа для одной эпохи протоколов класса A можно вычислить следующим образом:
Р0 + -cPc < V(Х) .
При использовании оценки Шваталя вероятность отказа границы для
одного сегмента для класса B может быть вычислена, как:
n
H(K, N, п,—) < F(x)
где:
F (x) = exp-2 x2n
Следовательно, оценку вероятности отказа для сегмента класса B можно выразить следующим образом:
Ро + ncPc < U(x)
?
где:
U (x) = 2-2636 + nF (x) "c
N
n = — n
Аналогичным образом, можем оценить вероятность отказа для каждого сегмента / эпохи для класса А с использованием границы Шватала.
Таким образом, в настоящей статье представлена новая модель оценки безопасности корпоративной сети, в которой реализована СРР на основе сегментирования, предусматривающая оценку своевременности и полноты обмена информационными ресурсами. В частности, предложены три оценки вероятности отказа для одного сегмента и после каждой эпохи, когда используются гипергеометрическое и биномиальное распределения. Кроме того, предложен подход, определяющий условия, которые должны быть удовлетворены протоколами СРР на основе сегментирования, чтобы вероятность отказа была меньше заданного порога. Учитывая порог вероятности отказа, модель позволяет определить среднее количество лет, в течение которых сеть не будет выходить из строя.
В качестве направления дальнейших исследований планируется интеграция разработанной модели с математическим и программным обеспечением автоматизированной системы управления корпоративной информационной системой.
Литература
1. Саенко И.Б., Фабияновский И.Н., Николаев В.В., Ясинский С.А. Построение модели функционирования распределенной информационной системы на основе блокчейн-технологии // Информация и космос. 2020. №4. С. 73-78.
2. Козленко А.В., Авраменко В.С., Саенко И.Б., Кий А.В. Метод оценки уровня защиты информации от НСД в компьютерных сетях на основе графа защищенности // Труды СПИИРАН. 2012. №2(21). С. 41-55.
3. Rabin M. Probabilistic algorithms //Algorithms and Complexity. N. Y.London: Acad. Press. 1976. pp.21-39.
4. Rabin M. Rondamized byzantine generals // Proc. 24th Symp. on Foundations of Computer Sci. USA. 1983. pp. 393-402.
5. Kotenko, I.V., Saenko, I.B., Kotsynyak, M.A., Lauta, O.S. Assessment Of Cyber-Resilience Of Computer Networks Based On Simulation Of Cyber Attacks By The Stochastic Networks Conversion Method // SPIIRAS Proceedings. 2017. 6(55). pp. 160-184.
6. Robinson P. Hyland-Wood D., Saltini R., Johnson S., Brainard J. Atomic Crosschain Transactions for Ethereum Private Sidechains. URL:semanticscholar.org/paper/Atomic-Crosschain-Transactions-for-Ethereum-Private-Robinson-Hyland-Wood/9a0889a3fd116595a697a180c852817de5caaa50.
7. Rosenfeld M. Analysis of bitcoin pooled mining reward systems// arXiv preprint arXiv: 1112.4980. 2011.
8. Sapirshtein A., Sompolinsky Y. and Zohar A. Optimal selfish mining strategies in Bitcoin // arXiv preprint arXiv: 1507.06183. 2015.
9. Schlichting R., Schneider F. Fault-stop processes: an approach to designing faulttolerant computing systems // ACM Trans. Comput. Syst. 1983. V. 1. № 3. pp. 222-238.
10. Sompolinsky Y and Zohar A. Bitcoin's security model revisite // arXiv preprint. arXiv: 1605.09193. 2016.
11. Sompolinsky Y., Zohar A. Secure High-Rate Transaction Processing in Bitcoin. Financial Cryptography and Data Security // 19th International Conference. 2015. pp. 26-30.
References
1. Saenko I.B., Fabijanovskij I.N., Nikolaev V.V., Jasinskij S.A. Informacija i kosmos. 2020. №4. pp. 73-78.
2. Kozlenko A.V., Avramenko V.S., Saenko I.B., Kij A.V. Trudy SPIIRAN, 2012, №2(21). pp. 41-55.
3. Rabin M. Probabilistic algorithms Algorithms and Complexity. N. Y.London: Acad. Press. 1976. pp. 21-39.
4. Rabin M. Rondamized byzantine generals Proc. 24th Symp. on Foundations of Computer Sci. USA. 1983. pp. 393-402.
5. Kotenko, I.V., Saenko, I.B., Kotsynyak, M.A., Lauta, O.S. Assessment Of Cyber-Resilience Of Computer Networks Based On Simulation Of Cyber Attacks By The Stochastic Networks Conversion Method SPIIRAS Proceedings. 2017. 6(55). pp. 160-184.
6. Robinson P. Hyland-Wood D., Saltini R., Johnson S., Brainard J. Atomic Crosschain Transactions for Ethereum Private Sidechains. URL:semanticscholar.org/paper/Atomic-Crosschain-Transactions-for-Ethereum-Private-Robinson-Hyland-Wood/9a0889a3fd116595a697a180c852817de5caaa50.
7. Rosenfeld M. Analysis of bitcoin pooled mining reward systems. arXiv preprint. arXiv: 1112.4980. 2011.
8. Sapirshtein A., Sompolinsky Y. and Zohar A. Optimal selfish mining strategies in Bitcoin. arXiv preprint. arXiv: 1507.06183. 2015.
9. Schlichting R., Schneider F. Fault-stop processes: an approach to designing faulttolerant computing systems ACM Trans. Comput. Syst. 1983. V. 1. № 3. pp. 222-238.
10. Sompolinsky Y and Zohar A. Bitcoin's security model revisite arXiv preprint arXiv: 1605.09193. 2016.
11. Sompolinsky Y., Zohar A. Secure High-Rate Transaction Processing in Bitcoin. Financial Cryptography and Data Security 19th International Conference. 2015. pp. 26-30.
