Научная статья на тему 'Моделирование угрозы безопасности информационной системы с использованием аппроксимирующих функций'

Моделирование угрозы безопасности информационной системы с использованием аппроксимирующих функций Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
6463
251
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / INFORMATIONAL SECURITY / УГРОЗА АТАКИ / ATTACK THREAT / УГРОЗА БЕЗОПАСНОСТИ / SECURITY THREAT / МОДЕЛИРОВАНИЕ / MODELING / МАРКОВСКИЙ ПРОЦЕСС / MARKOV PROCESS / АППРОКСИМИРУЮЩАЯ ФУНКЦИЯ / APPROXIMATING FUNCTION

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Щеглов К. А., Щеглов А. Ю.

Представлен метод моделирования угрозы безопасности информационной системы с использованием аппроксимирующих функций, получаемых с помощью построенной укрупненной марковской модели угрозы атаки. Информационная система рассматривается как система с отказами и восстановлениями характеристики безопасности. Предлагаемый метод позволяет получать принципиально новые и крайне важные для проектирования систем защиты характеристики безопасности информационных систем.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Modeling of information system security threat using approximating functions

Informational system security threat modeling method is developed using approximating functions designed on the base of pre-built Markov model of attack threat. The information system is considered as a system with failures and restorations of security characteristic function. The proposed method allows deriving principally new and important informational system security characteristics to be used in security system design.

Текст научной работы на тему «Моделирование угрозы безопасности информационной системы с использованием аппроксимирующих функций»

УДК 004.056.53 DOI: 10.17586/0021-3454-2016-59-1-50-59

МОДЕЛИРОВАНИЕ УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ С ИСПОЛЬЗОВАНИЕМ АППРОКСИМИРУЮЩИХ ФУНКЦИЙ

К. А. Щеглов, А. Ю. Щеглов

Университет ИТМО, 197101, Санкт-Петербург, Россия E-mail: [email protected]

Представлен метод моделирования угрозы безопасности информационной системы с использованием аппроксимирующих функций, получаемых с помощью построенной укрупненной марковской модели угрозы атаки. Информационная система рассматривается как система с отказами и восстановлениями характеристики безопасности. Предлагаемый метод позволяет получать принципиально новые и крайне важные для проектирования систем защиты характеристики безопасности информационных систем.

Ключевые слова: информационная безопасность, угроза атаки, угроза безопасности, моделирование, марковский процесс, аппроксимирующая функция.

Введение. В работе [1] были предложены интерпретации угрозы атаки на информационную систему и угрозы безопасности информационной системы соответствующими схемами резервирования, а также построена математическая модель нарушителя. В настоящей статье рассматриваются математические модели, позволяющие моделировать важнейшие характеристики угрозы безопасности информационной системы (как системы с отказами и восстановлениями характеристики безопасности) с использованием аппроксимирующих функций, получаемых на основе разработанной укрупненной марковской модели угрозы атаки.

Исходные данные для моделирования угрозы безопасности. В работах [1, 2] угрозы атаки на информационную систему и угрозы ее безопасности предложено представлять соответствующими орграфами. В этом случае угроза атаки может быть представлена схемой параллельного резервирования угроз уязвимостей, а угроза безопасности — схемой последовательного резервирования угроз атак. Обозначим через Pq^ вероятность того, что информационная система готова к безопасной эксплуатации в отношении n-й угрозы атаки, n=1, ..., N.

Акцентируем внимание на крайне важном моменте моделирования угрозы информационной безопасности. Рассмотрим особенности оценивания вероятности фатального отказа характеристики безопасности. Под отказом характеристики безопасности понимается возникновение в системе одной или нескольких реальных угроз атак (выявлены и не устранены все уязвимости, создающие данную угрозу), а под фатальным отказом понимается осуществление нарушителем успешной атаки (реализация угрозы атаки), т.е. осуществление несанкционированного доступа к обрабатываемой в системе информации. Важным в данном исследовании является то, что сколько бы ни было одновременно создано в информационной системе реальных угроз атак (под реальной понимается угроза, характеризуемая условием Рож = 0 ), которые могут быть реализованы нарушителем, им в любой момент времени будет

реализована только одна из угроз, и этого достаточно для нарушения характеристики безопасности (что полностью соответствует представлению угрозы безопасности схемой последовательного резервирования угроз атак [1]). Поскольку в данном случае будет осуществлен несанкционированный доступ к обрабатываемой информации, а это фатальный отказ харак-

теристики безопасности, то далее систему уже не имеет смысла рассматривать как восстанавливаемую — информация похищена. Как следствие, вероятностью реализации нарушителем одновременно двух и более атак можно пренебречь.

Исходя из того, что с вероятностью 1 - Р0аи, п = 1, • • •, N в системе появится п-я реальная угроза атаки, для вероятности перехода системы из безопасного состояния ¿0 , в котором она находится с вероятностью Роу, в одно из состояний фатального отказа ¿п, п = 1, •.., N (число состояний системы здесь равно п+1) по причине реализации атаки нарушителем с учетом переходных вероятностей 1 - Роап в цепи Маркова можно записать:

Рап = (1 - Р0ап ) Р0 У,

где Рап — вероятность того, что система окажется в п-м состоянии фатального отказа.

Граф переходов цепи Маркова приведен на рис. 1.

Ро

Ра

Ра

Рис. 1

С учетом же того, что система всегда должна находиться в некотором состоянии

N

Р0У + 2Рап = 1, п=1

получим

Роу = 1/

N

1 + Е(1 - Роап )

п=1

Обоснование корректности использования марковских процессов при моделировании угроз атак (при их представлении схемой параллельного резервирования угроз уязвимостей [1]), а также интерпретация результатов, получаемых при подобном подходе к моделированию, как определение граничных (худших) значений характеристики безопасности представлены в работе [3].

Марковские модели угрозы атаки на информационную систему. При рассмотрении информационной системы как системы с отказами и восстановлениями характеристики безопасности реальные угрозы атак будут в системе возникать, но не будут реализовываться нарушителем (т.е. рассматривается система без фатального отказа).

Математическое описание марковского процесса с дискретными состояниями и непрерывным временем рассмотрим на примере орграфа угрозы атаки, содержащего две взвешенные вершины уязвимостей (групп уязвимостей); угроза атаки создается двумя уязвимостями с соответствующими параметрами — интенсивностями выявления и устранения уязвимостей. Граф системы состояний случайного процесса приведен на рис. 2. На графе представлены четыре возможных состояния: ¿о — исходное состояние системы, — в системе выявлена и

не устранена первая уязвимость, ¿2 — в системе выявлена и не устранена вторая уязвимость, ¿3 — в системе выявлены и не устранены обе уязвимости. Предположим, что все переходы системы из одного состояния в другое происходят под воздействием простейших потоков

событий с соответствующими интенсивностями выявления (X) или устранения (ц) уязвимо-стей, а вероятность одномоментного выявления, равно как и устранения нескольких уязвимо-стей, пренебрежимо мала.

Рис. 2

Для данного ографа строится система дифференциальных уравнений Колмогорова и затем соответствующая система линейных алгебраических уравнений, описывающих стационарный режим, решив которую, можно определить вероятности искомых состояний [4]. Применительно к рассматриваемой задаче моделирования интерес представляет состояние £3, характеризуемое вероятностью Р3, — состояние, в котором выявлены и не устранены все

уязвимости, необходимые для осуществления атаки.

Таким образом, эту характеристику можно далее рассматривать в качестве вероятности возникновения угрозы атаки Руа = Р3, соответственно вероятность готовности к безопасной

эксплуатации информационной системы в отношении угрозы атаки Р0а = 1 - Руа.

Замечание. Для графа, представленного на рис. 1, значение вероятности Р0а (соответственно и коэффициента готовности к безопасной эксплуатации Кг ) рассчитывается по следующей формуле:

Д1Д2 + Х1^2 + Х 2М1

Р0а - К -

(Х1 +^1 )(^2 +^2)

Построение укрупненной модели угрозы атаки необходимо для расчета следующих важнейших характеристик— интенсивности возникновения Xа и интенсивности устранения

|да угрозы атаки, а также среднего времени наработки 70уа на отказ (восстанавливаемая

система) характеристики безопасности, определяющего средний интервал времени между отказами характеристики безопасности — возникновениями реальной угрозы атаки. Основу построения укрупненной модели составляет использование параметра потока отказов [5].

В марковских моделях надежности параметр потока отказов ю определяется (для стационарного участка) следующим образом:

ю- I р IX,

^+

где Q+ — множество состояний работоспособности системы, Q_ — множество состояний отказа системы, Ху — интенсивность перехода из /-го работоспособного состояния, вероятность нахождения системы в котором равна Р, в у-е неработоспособное состояние.

Параметр потока отказов, характеризующий частоту возникновения событий отказа в восстанавливаемых системах, обратно пропорционален среднему времени между отказами

Тмоа (в западной литературе используется аббревиатура MTBF — Mean Time Between Failures); строгое доказательство этого отношения приведено в теории восстановления:

t =_= T

моа 0уа

Ю

Тв

где Тв — среднее время восстановления.

В соответствии с

К =

Т0

0уа

Т0уа + Тв

получим

Т0уа = юКг.

Для построения укрупненной модели угрозы атаки вновь обратимся к графу, представленному на рис. 2, и выясним, как формируется поток отказов характеристики безопасности и каким образом определить его эффективность. Угроза атаки создается в двух случаях:

— при переходе из состояния 81, в котором система находится с вероятностью р (в марковской модели вероятность состояния интерпретируется как относительная доля времени нахождения системы в этом состоянии), в состояние £3 (состояние реальной угрозы

атаки) переходы осуществляются с интенсивностью X2 (с учетом соответствующей доли времени нахождения в состоянии 81 — с интенсивностью Р{к 2);

— при переходе из состояния 82, в котором система находится с вероятностью Р2, в состояние 83 переходы осуществляются с интенсивностью X (с учетом же соответствующей доли времени нахождения в состоянии 82 — с интенсивностью Р2Х1).

В рассматриваемом случае определяемый подобным образом поток отказов может интерпретироваться как поток возникновения реальной угрозы атаки, создаваемый в системе с интенсивностью Ха:

Ха =Ю=РХ2 +Р2Х1.

Укрупненная марковская модель угрозы атаки описывается графом, имеющим два состояния: состояние 80 соответствует отсутствию угрозы, а состояние 81 — возникновению реальной угрозы атаки, при котором соответствующим образом определяются интенсивности переходов Ха и . Остальные искомые характеристики угрозы атаки рассчитываются по формулам

Т0уа = 1/ ^а,

^а =

= 1/Тв.

1 - Кг в

Таким образом, в процессе эксплуатации информационной системы реальная угроза атаки продолжительностью 1/ р,уа, в случае если она не будет реализовываться нарушителем

(система с отказами и восстановлениями), в среднем через интервал времени Т0уа будет многократно возникать, что и проиллюстрировано на рис. 3.

Р,

Т0уа Т0уа +1/М-а 2Т0уа

Рис. 3

0уа

0

t

При проектировании системы защиты информационной системы представляет интерес и моделирование системы с фатальным отказом. При подобном моделировании необходимо учитывать вероятность того, что создаваемая в системе реальная угроза атаки будет реализована нарушителем [6]. В работе [1] построена математическая модель нарушителя, позволяющая определять значение коэффициента вероятности (готовности) реализации злоумышленником угрозы атаки на конкретную информационную систему (Кгаи ). Отметим, что основу данной математической модели составляет представление сложности реализации атаки нарушителем (¿ап) как вероятностной меры количества информации, которым должен обладать нарушитель в отношении потенциальной угрозы атаки для ее реализации:

¿ап = 1 (Р0ап ) = -ЬВ2 (1 - Р0ап ).

Определив значение характеристики ¿а — сложности реализации угрозы атаки — и значение характеристики ¿атах — максимальной сложности реализованных (в том числе,

и отраженных) в аналогичной (либо подобной) информационной системе угроз атак, можно определить искомый коэффициент готовности нарушителя осуществить атаку сложности ¿а на информационную систему (для которой проектируется система защиты):

с

"атах „ „

- , если Оатах < ¿а

1 если ^атах ^ ¿а.

К га "

Имея возможность задать в отношении реальной угрозы атаки коэффициент Кга, можно построить соответствующую марковскую модель угрозы атаки на конкретную информационную систему как систему с фатальным отказом. Подобная модель строится посредством включения в исходный граф системы состояний случайного процесса (см. рис. 2) дополнительного „поглощающего" состояния, соответствующего реализации успешной атаки нарушителем. Так, для графа, представленного на рис. 1, это вершина ¿32 на рис. 4 (исходная

вершина ¿3, см. рис. 2, на рис. 4 обозначена как ¿3 1). Поскольку „поглощающее" состояние характеризует реализацию успешной атаки (т. е. фатальный отказ характеристики безопасности информационной системы), из него нет выхода. Любой же переход в состояние ¿3 1 в этом случае

осуществляется с интенсивностью (1 - Кга )Хг-, а в состояние ¿32 — с интенсивностью Кга.

Рис. 4

Рассмотрим, какие характеристики безопасности информационной системы можно определить на подобной модели. Для данного графа строится система дифференциальных уравнений Колмогорова и затем соответствующая система линейных алгебраических уравнений, описывающих стационарный режим, решив которую, можно определить вероятности иско-

мых состояний, в том числе для „поглощающих" вершин. По аналогии с вышеизложенным можно определить вероятность реализации угрозы атаки на конкретную информационную систему, т.е. вероятность „поглощающего" состояния. Соответственно вероятность готовности к безопасной эксплуатации конкретной информационной системы в отношении угрозы атаки определяется суммой вероятностей остальных состояний.

Найденные значения вероятностей характеризуют относительное время пребывания системы в соответствующих состояниях. Для вычисления же среднего абсолютного времени пребывания системы в каждом г-м состоянии (Т) в системе уравнений Колмогорова следует принять равными нулю все производные Р{ (Р/ =0), кроме р, если считать, что в начальный момент вероятность первого состояния Ро=1. Тогда на основании теоремы о дифференцировании изображений в преобразовании Лапласа правая часть первого уравнения будет равна -1. В правых частях уравнений вместо р следует подставить Т1 и относительно них решить систему алгебраических уравнений. В результате можно определить среднее время наработки системы до отказа характеристики безопасности, так как в данном случае система с отказами характеристики безопасности рассматривается как сумма характеристик Т1 состояний, не содержащая характеристики Т1 „поглощающего" состояния.

Таким образом, данная марковская модель позволяет определить две важнейшие характеристики безопасности: вероятность готовности к безопасной эксплуатации конкретной информационной системы в отношении угрозы атаки и среднее время наработки информационной системы до реализации успешной атаки на нее (среднее время наработки до фатального отказа безопасности системы).

Соответствующим образом может быть построена и укрупненная марковская модель с фатальным отказом. Граф системы состояний случайного процесса для укрупненной марковской модели угрозы атаки как системы с отказами, восстановлениями и фатальным отказом характеристики безопасности представлен на рис. 5, где состояние 8о соответствует отсутствию, а 81 — возникновению реальной угрозы атаки, состояние же 82 характеризует фатальный отказ („поглощающее" состояние).

Рис. 5

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Моделирование угрозы атаки на информационную систему с использованием аппроксимирующей функции. На практике при решении ключевых задач проектирования системы защиты, в том числе для формирования требований к характеристикам безопасности защищенной информационной системы, включая учет реальных и потенциальных рисков [2], крайне важна оценка изменения значения вероятности отказа характеристики безопасности (соответственно готовности к безопасной эксплуатации) в процессе эксплуатации информационной системы т.е. оценка этой характеристики на некотором интервале времени I эксплуатации системы.

Иллюстрация сказанного — изменение характеристики угрозы атаки Руа (t > Т0уа) в

процессе эксплуатации информационной системы — приведена на рис. 6 [2]. Рассчитать значение Руа, достигаемое при эксплуатации системы в некоторый момент времени t, кратный

Т0уа при условии t > Т0уа , можно следующим образом [2]:

Р/Тоуа 1

Руа ( > г0уа )= £ кга (1 - кга у -1,

I=1

где Г ё 1 — меньшее целое числа ё.

Р,

уа 1

К

70

0уа

270

0уа

Рис. б

37

0уа

Для расчета значения Руа ( > Т0уа) в любой момент времени I необходимо построить

соответствующую аппроксимирующую функцию. Основное правило аппроксимации при этом заключается в том, что значение аппроксимирующей функции Рдуа () для любого момента времени ¿Туа должно быть не меньше значения функции Руа (t > Т0уа) в соответствующий момент времени: аппроксимирующая функция должна обеспечивать возможность получения соответствующей граничной оценки, что требуется при проектировании системы защиты (рис. 7).

Р,

Рис. 7

Таким образом, используя построенную аппроксимирующую функцию в отношении угрозы атаки, можно определить вероятность возникновения реальной угрозы атаки Руа на

конкретную информационную систему с учетом готовности реализации этой атаки нарушителем (соответственно Р0а=1 - Руа ) в любой момент времени t эксплуатации системы.

В общем случае искомая аппроксимирующая функция имеет следующий вид: РАуа ^) = ((1/(1 -Кга- 1)(1 -Кга.

Моделирование угрозы безопасности информационной системы с использованием аппроксимирующих функций. Рассматривая в каждый момент времени t информационную систему как систему с фатальным отказом (с определенной вероятностью) характеристики безопасности (восстановление этой характеристики учтено в аппроксимирующей функции угрозы атаки) и учитывая при этом сделанный ранее вывод о том, что в такой системе не наступит состояния, характеризуемого наличием одновременно двух и более фатальных отказов, при Ы, п = 1, ..., Ы, потенциально возможных угрозах атаки, для каждой из которых

0

t

может быть построена соответствующая аппроксимирующая функция Рдуаи (V), вероятность

перехода системы из безопасного состояния, в котором она находится в момент времени t с вероятностью Роу (), можно описать выражением

Роу ^) = 1

N

1 + ЕРлуа« (t)

п—1

Вероятность же фатального отказа в момент времени t (на интервале времени ^ определяется как 1 - Роу ().

Отметим, что данный подход к моделированию предполагает использование укрупненной марковской модели угрозы атаки как системы с отказами и восстановлениями характеристики безопасности.

Проиллюстрируем процесс моделирования угрозы безопасности информационной системы с использованием аппроксимирующих функций на примере задачи экономического обоснования принимаемых решений при проектировании системы защиты [2]. Пусть потери от несанкционированного доступа к информации составляют Синф. Тогда риск потерь применительно к угрозе безопасности информационной системы в целом можно оценить следующим образом:

Хсуинф — синф (1 - Роу ).

Если использовать при проектировании системы защиты соответствующую марковскую модель, то, определив среднее время наработки информационной системы до реализации успешной на нее, т.е. до фатального отказа безопасности системы (в среднем через данный интервал времени характеристика Роу — о), можно определить средний интервал времени эксплуатации системы, когда потери составят Синф. Данный подход к моделированию не позволяет ответить на вопрос, каков будет риск потерь на некотором интервале времени эксплуатации системы, меньшем среднего времени наработки информационной системы до фатального отказа, и как риск потерь распределен во времени эксплуатации системы. Важность подобной оценки обусловливается тем, что, кроме потенциальных потерь, связанных с несанкционированным доступом к обрабатываемой информации, при внедрении системы защиты присутствуют еще и реальные потери, определяемые ее стоимостью, а также удельной стоимостью (стоимостью в единицу времени) ее эксплуатации. Заметим, что в первом приближении можно рассматривать линейную зависимость изменения стоимости эксплуатации системы защиты во времени. При этом возникает оптимизационная задача задания требуемого значения характеристики Роу с учетом того, что потенциальные потери от несанкционированного доступа к информации при условии t ^да стремятся к Синф, тогда как потери, связанные с эксплуатацией системы защиты при тех же условиях, стремятся к бесконечности (т.е. задание значения Роу < 1 из условия „чем больше, тем лучше" с учетом сказанного не корректно).

При использовании же аппроксимирующих функций риск потенциальных потерь можно определить как

^Суинф С) = Синф (1 - Роу (t).

В этом случае риск потенциальных потерь можно оценить для любого момента времени t эксплуатации информационной системы, что позволяет решить рассмотренную оптимизационную

задачу, являющуюся особенно важной при формировании требований к характеристикам безопасности защищенной информационной системы.

Таким образом, предложенный метод моделирования с использованием аппроксимирующих функций характеристики угроз атак позволяет получить принципиально новые и крайне важные для проектирования систем защиты характеристики безопасности информационных систем.

Заключение. Отметим, что результаты, полученные в работе [3] и в данной статье, позволяют в дальнейшем перейти к рассмотрению вопросов проектирования системы защиты информационной системы.

СПИСОК ЛИТЕРАТУРЫ

1. Щеглов К. А., Щеглов А. Ю. Математические модели эксплуатационной информационной безопасности // Вопросы защиты информации. 2014. Вып. 106, № 3. С. 52—65.

2. Щеглов К. А., Щеглов А. Ю. Эксплуатационные характеристики риска нарушений безопасности информационной системы // Научно-технический вестник информационных технологий, механики и оптики. 2014. №1(89). С. 129—139.

3. Щеглов К. А., Щеглов А. Ю. Марковские модели угрозы безопасности информационной системы // Изв. вузов. Приборостроение. 2015. Т. 58, № 12. С. 957—965.

4. Вентцель Е. С. Исследование операций. М.: Сов. радио, 1972. 552 с.

5. Половко А. М., Гуров С. В. Основы теории надежности. СПб: БХВ-Петербург, 2006. 704 с.

6. Белов Е. Б., Лось В. П., Мещеряков Р. В., Шелупанов А. А. Основы информационной безопасности. М.: Горячая линия — Телеком, 2006.

Сведения об авторах

Константин Андреевич Щеглов — аспирант; Университет ИТМО; кафедра вычислительной техники;

E-mail: [email protected]

Андрей Юрьевич Щеглов — д-р техн. наук, профессор; Университет ИТМО; кафедра вычисли-

тельной техники; E-mail: [email protected]

Рекомендована кафедрой Поступила в редакцию

вычислительной техники 06.02.15 г.

Ссылка для цитирования: Щеглов К. А., Щеглов А. Ю. Моделирование угрозы безопасности информационной системы с использованием аппроксимирующих функций // Изв. вузов. Приборостроение. 2016. Т. 59, № 1. С. 50—59.

MODELING OF INFORMATION SYSTEM SECURITY THREAT USING APPROXIMATING FUNCTIONS

K. A. Shcheglov, A. Yu. Shcheglov

ITMO University, 197101, St. Petersburg, Russia E-mail: [email protected]

Informational system security threat modeling method is developed using approximating functions designed on the base of pre-built Markov model of attack threat. The information system is considered as a system with failures and restorations of security characteristic function. The proposed method allows deriving principally new and important informational system security characteristics to be used in security system design.

Keywords: informational security, attack threat, security threat, modeling, Markov process, approximating function.

Data on authors

Konstantin A. Shcheglov — Post-Graduate Student; ITMO University; Department of Computer

Science; E-mail: [email protected] Andrey Yu. Shcheglov — Dr. Sci., Professor; ITMO University; Department of Computer Science,

E-mail: [email protected]

For citation: Shcheglov K. A., Shcheglov A. Yu. Modeling of information system security threat using approximating functions // Izvestiya Vysshikh Uchebnykh Zavedeniy. Priborostroenie. 2016. Vol. 59, N 1. P. 50—59 (in Russian).

DOI: 10.17586/0021-3454-2016-59-1-50-59

i Надоели баннеры? Вы всегда можете отключить рекламу.