Научная статья на тему 'Определение вероятностей состояний функционирования средства контентного анализа как элемента системы мониторинга инцидентов информационной безопасности'

Определение вероятностей состояний функционирования средства контентного анализа как элемента системы мониторинга инцидентов информационной безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
330
51
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНТЕНСИВНОСТИ ОТКАЗОВ И ВОССТАНОВЛЕНИЯ / ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / ИНЦИДЕНТ И СОБЫТИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ / МАРКОВСКИЙ СЛУЧАЙНЫЙ ПРОЦЕСС / МАТРИЦА ПЕРЕХОДОВ / ПЕРЕХОДНЫЕ ВЕРОЯТНОСТИ / СОСТОЯНИЯ ФУНКЦИОНИРОВАНИЯ / СРЕДСТВО КОНТЕНТНОГО АНАЛИЗА / FAILURE AND RECOVERY RATES / INFORMATION SECURITY / INCIDENT AND EVENT OF INFORMATION SECURITY / MARKOV RANDOM PROCESS / TRANSITION MATRIX / TRANSITION PROBABILITIES / THE STATE OF OPERATION / CONTENT ANALYSIS MEANS

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Попов Сергей Викторович, Шамкин Валерий Николаевич

Предложено использовать метод переходных вероятностей для вычисления возможности пребывания средств защиты информации, работающих в дискретном времени в системе мониторинга инцидентов информационной безопасности банка, в состояниях функционирования, обусловленных нарушениями их работы. Для средства контентного анализа выявлено множество возможных состояний функционирования и найдены их стационарные и нестационарные вероятности, которые в последующем могут быть использованы администратором безопасности в процессе принятия решений, а также при проектировании новых систем мониторинга.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Попов Сергей Викторович, Шамкин Валерий Николаевич

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Es ist vorgeschlagen, die Methode der Übergangswahrscheinlichkiten für die Berechnung der Möglichkeit des Vorhandenseines der Mittel des Informationsschutzes, die in der Diskretenzeit im System des Monitorings der Zwischenfälle der Informationssicherheit der Bank arbeiten, in den Zuständen des Funktionierens, die von ihrer Arbeit verletzungsbedingt sind, zu benutzen. Für das Mittel der Kontentenanalyse sind viele mögliche Zustände des Funktionierens gezeigt und ihre stationäre und unstationäre Wahrscheinlichkeiten gefunden, die später vom Administrator der Sicherheit im Prozess der Beschlußfassung und auch bei der Projektierung der neuen Monitoringssysteme benutzt werden können.Est proposé lemploi de la méthode des probabilités de transition pour le calcul de la possibilité de la présence des moyens de la protection de linformation fonctionnant dans le régime discret du système de monitoring des incidents de la sécurité informatique de la banque dans les états du fonctionnement conditionnés des erreurs de leur fonctionnement. Pour le moyen de lanalyse de content est déduite une multitude des états possibles du fonctionnement et sont trouvées leurs probabilités stationnaires et non-stationnaires qui peuvent ensuite être utilisées par ladministrateur de la sécurité lors du processus de lobtention des solutions ainsi que lors de la conception de nouveaux systèmes de monitoring.It is offered to use a method of transitive probabilities to calculate the possibility of information security devices, working in discrete time in the system of monitoring over the bank information security incidents, to remain in the state of operation caused by malfunctions in their work. For the content analysis we have identified the set of possible functioning conditions and their stationary and non-stationary probabilities which can be used by the security administrator in decision-making process, and for designing new systems of monitoring.

Текст научной работы на тему «Определение вероятностей состояний функционирования средства контентного анализа как элемента системы мониторинга инцидентов информационной безопасности»

ОПРЕДЕЛЕНИЕ ВЕРОЯТНОСТЕЙ СОСТОЯНИЙ ФУНКЦИОНИРОВАНИЯ СРЕДСТВА КОНТЕНТНОГО АНАЛИЗА КАК ЭЛЕМЕНТА СИСТЕМЫ МОНИТОРИНГА ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

С.В. Попов, В.Н. Шамкин

Кафедра «Конструирование радиоэлектронных и микропроцессорных систем», ФГБОУ ВПО «ТГТУ»; [email protected]

Представлена членом редколлегии профессором В.И. Коноваловым

Ключевые слова и фразы: интенсивности отказов и восстановления; информационная безопасность; инцидент и событие информационной безопасности; марковский случайный процесс; матрица переходов; переходные вероятности; состояния функционирования; средство контентного анализа.

Аннотация: Предложено использовать метод переходных вероятностей для вычисления возможности пребывания средств защиты информации, работающих в дискретном времени в системе мониторинга инцидентов информационной безопасности банка, в состояниях функционирования, обусловленных нарушениями их работы. Для средства контентного анализа выявлено множество возможных состояний функционирования и найдены их стационарные и нестационарные вероятности, которые в последующем могут быть использованы администратором безопасности в процессе принятия решений, а также при проектировании новых

систем мониторинга.

Абберевиатуры

АБС - автоматизированная банковская сис- СЗИ - средство защиты информации;

тема; СИБ - событие информационной безопас-

БД - база данных; ности;

ИБ - информационная безопасность; СКА - средство контентного анализа;

ИИБ - инцидент информационной безопас- СКПВВ - средство контроля портов ввода-

ности; вывода;

ИнС - индексирующий сервер; СМИИБ - система мониторинга инцидентов

МП - модуль-посредник; информационной безопасности.

МПр - модуль проверки;

Введение

Система мониторинга инцидентов информационной безопасности представляет собой подсистему АБС, в которую поступают на анализ сведения обо всех СИБ, происходящих в АБС, с целью выявления среди них ИИБ [1].

Как отмечалось в [2] на нижнем уровне СМИИБ располагаются различные программно-аппаратные СЗИ, собирающие данные о событиях ИБ в АБС: сканер безопасности; средство контентного анализа; средство контроля портов ввода-вывода; межсетевой экран; система обнаружения атак и др.

Изучению состояний функционирования СЗИ, а также их влияния на эффективность мониторинга инцидентов информационной безопасности банка посвящены работы [1-5].

Следует отметить, что подход к изучению технических систем с учетом изменения их состояний функционирования разработан профессором Ю.Л. Муромцевым, среди многочисленных публикаций которого отметим, например [6, 7].

С точки зрения надежности можно выделить два вида средств защиты - с дискретным и непрерывным временем их работы [3]. Рассуждения в статье проведем на примере СКА, принадлежащего к дискретному виду средств защиты.

Состояния функционирования средства контентного анализа

Средство контентного анализа, как программный комплекс, содержит в себе три основных активных программных компонента: модуль-посредник; индексирующий сервер и модуль проверки индекса, выполняющих некоторый набор функций [3]. Другие компоненты СКА, такие как хранилище данных и индекс, представляющие определенные структуры данных, необходимы для функционирования активных компонентов.

Рассмотрим одну из разновидностей СКА - систему аудита файлов, копируемых на съемные носители. В этой системе источником информации, подлежащей последующему контентному анализу, является другое СЗИ, а именно, СКПВВ. Такая система аудита используется для сбора информации о выносимых за пределы АБС банка файлах и для ее последующего анализа с целью выявления файлов, не соответствующих требованиям безопасности.

Характерной особенностью функционирования СКА является то, что его активные компоненты работают независимо и выполняют свои основные функции периодически, с разной частотой:

- модуль-посредник - функцию копирования файлов из БД СКПВВ в хранилище один раз в минуту;

- индексирующий сервер - функцию обновления индекса по расписанию (например три раза в сутки - в 7:00, 15:00 и 23:00) и по запросу администратора (по мере необходимости);

- модуль проверки - функцию проверки в режиме, аналогичном работе индексирующего сервера, но с небольшим запаздыванием.

Рассматривая СКА как объект исследования на надежность, отдельно проанализируем работу такого активного программного компонента, как МПр индекса. Его основная функция состоит в том, что модуль периодически обращается к индексу СКА с запросом, содержащим список контрольных слов, выражений и текстовых фрагментов, который составлен администратором. При обнаружении фактов несоблюдения политики безопасности МПр передает администратору соответствующее уведомление. В случае нештатного выполнения МПр этой функции (как показывает практика, весьма редких), администратор может передавать запрос в индекс вручную и получать соответствующие результаты, то есть может на некоторое время взять исполнение его функций МПр на себя. В этой связи представляется целесообразным принять допущение о том, что МПр надежен и постоянно находится в состоянии нормального функционирования.

В соответствии со сказанным, далее будем говорить о выполнении или невыполнении своих основных функций такими активными компонентами СКА, как МП и ИнС.

В процессе работы СКА происходят ошибки четырех видов [3].

1. Произошла несанкционированная очистка (обнуление) индекса СКА текущей БД СКПВВ.

2. Отсутствует реакция ИнС СКА на управляющие воздействия.

3. Невозможно осуществить копирование файлов из БД СКПВВ в хранилище данных СКА по причине отсутствия свободного места на жестком диске сервера, на котором развернуто (установлено) СКА.

4. Невозможно осуществить копирование файлов из БД СКПВВ в хранилище данных СКА по причине неудачной аутентификации МП в БД СКПВВ.

Первые две ошибки относятся к ИнС, а последние две - к МП.

Появляющаяся ошибка или ее устранение приводят к тому, что СКА из некоторого состояния функционирования, характеризуемого работой его компонентов, переходит в какое-то другое состояние. Каждое из них характеризуется некоторой эффективностью функционирования, когда в той или иной мере выполняется основная функция СКА. Существуют также состояния, называемые состояниями отказа, в которых основная функция не выполняется,

В любой момент времени СКА может находиться в одном из состояний, принадлежащем множеству возможных состояний функционирования H. Сформируем множество H, выявив эти состояния и пояснив смысл каждого из них.

Состояние нормального функционирования А0 характеризует штатную работу МП и ИнС.

Состояние /?і характерно для нормальной работы МП и некорректно завершенной работы ИнС, в результате чего появилась ошибка первого вида, фиксируемая в журнале работы ИнС. Из состояния ^ в состояние \ переход происходит в случае несанкционированной перезагрузки аппаратного сервера, на котором установлено СКА как СЗИ, в момент обновления в СКА индекса (происходящего через строго определенные промежутки времени). В состоянии /?1 происходит несанкционированная очистка (обнуление) индекса текущей БД СКПВВ. При этом в \ полной утраты функциональности СКА не происходит, а снижается эффективность его работы. По окончании несанкционированной перезагрузки сервера, ИнС автоматически начинает повторное индексирование, до завершения которого ни МПр, ни администратор не могут получать информацию о событиях ИБ. После завершения индексирования в течение некоторого времени МПр производит повторный анализ проверенной ранее информации, поступившей в хранилище СКА к моменту перехода в состояние ^, с выдачей администратору соответствующих сообщений. Лишь затем на проверку попадут недавно поступившие сведения о скопированных пользователями файлах на сменные носители. В этой связи выявление СКА фактов нарушения политики безопасности и реагирование на них администратора будут запаздывать.

Восстановление нормального функционирования СКА, то есть переход из состояния /?і в состояние ^ , происходит по завершению повторного индексирования данных.

Состояние h2 СКА характерно для нормальной работы МП и переставшего реагировать на управляющие воздействия ИнС. В результате чего появляется ошибка второго вида, фиксируемая в журнале работы ИнС. В состояние h2 можно перейти из ^ по различным причинам, например при чрезмерном увеличении размера индекса СКА. В этом случае ИнС не может завершить индексирование данных, начатое по расписанию или запросу администратора, тем самым препятствуя дальнейшему анализу модулем проверки копируемых файлов. Это означает, что СКА не выполняет такую функцию, как обнаружение СИБ.

Для восстановления реакции ИнС на управляющие воздействия администратору безопасности необходимо произвести перезагрузку аппаратного сервера, на

котором установлено СКА. В результате происходит переход СКА из состояния h2 в работоспособное состояние ^ .

Состояние hз характерно для СКА, когда ИнС работает нормально, а МП не может осуществить копирование файлов из БД СКПВВ в хранилище данных СКА по причине отсутствия свободного места на жестком диске сервера, на котором расположено СКА. Переполнение жесткого диска может произойти при наличии на сервере нескольких программных комплексов различного назначения, работающих с большими объемами данных, при пониженном контроле со стороны персонала. При этом в журнале работы МП фиксируется ошибка третьего вида.

Если МП находится в состоянии hз, вновь поступающие в СКА файлы, предназначенные для контентного анализа, не могут своевременно попасть в хранилище, и соответственно недоступны для последующего индексирования. Однако возможен поиск событий ИБ среди файлов, которые были скопированы в хранилище данных СКА и проиндексированы ранее. Таким образом, в состоянии hз выявление фактов нарушения политики безопасности будет запаздывать, что можно расценивать как снижение эффективности работы СКА.

Переход СКА в состояние ^ из состояния hз происходит после освобождения администратором места на жестком диске сервера, на котором расположено СКА.

Состояние h4 характеризует работу СКА, когда ИнС работает нормально, а МП не может осуществить копирование файлов из БД СКПВВ в хранилище СКА по причине неудачной аутентификации МП в БД СКПВВ. В журнал работы МП при этом заносится запись об ошибке четвертого вида.

Переход в h4 из ^ происходит из-за несанкционированного изменения прав доступа учетной записи, используемой СКА для подключения к БД СКПВВ, или из-за неверно введенных администратором в ходе переустановки, или обновления ПО СКА данных этой учетной записи (имени пользователя и пароля).

При этом не происходит полной утраты функциональности СКА и в полной мере справедливо сказанное в отношении снижения эффективности работы СКА для состояния hз.

Из приведенных выше рассуждений видно, что каждый из компонентов СКА - МП и ИнС имеет по три состояния функционирования - по одному нормальному и по два с пониженной эффективностью.

Опишем далее состояния функционирования СКА, в которые возможен переход из состояний /?1 - h4, характеризуемых нарушением функций одного из компонентов, в состояния, связанные с нарушением также функций и другого компонента. Эти состояния являются отказовыми, то есть такими, когда СКА полностью перестает выполнять свою основную функцию, связанную с обнаружением СИБ среди поступивших из СКПВВ файлов.

Состояние ^з характеризует некорректное завершение работы ИнС и невозможность МП осуществить копирование файлов из БД СКПВВ в хранилище СКА по причине отсутствия свободного места на жестком диске сервера, на котором расположено СКА. В журналах работы ИнС и МП фиксируются ошибки первого и третьего видов соответственно, при этом первая ошибка появляется раньше третьей.

Для состояния ^4 СКА характерно некорректное завершение работы ИнС и невозможность МП осуществить копирование файлов из БД СКПВВ в хранилище СКА по причине неудачной аутентификации МП в БД СКПВВ, что в совокупно-

сти не позволяет выполнять основную функцию СКА. В журналы работы ИнС и МП заносятся записи о последовательно произошедших ошибках первого и четвертого видов соответственно.

Состояние ^23 характерно для ИнС, переставшего реагировать на управляющие воздействия, и МП, неспособного копировать файлы из БД СКПВВ в хранилище СКА по причине отсутствия свободного места на жестком диске сервера, на котором развернуто СКА. В журналы работы ИнС и МП заносятся записи о последовательно произошедших ошибках второго и третьего видов.

Состояние h24 характерно для ИнС, переставшего реагировать на управляющие воздействия, и МП, неспособного копировать файлы из БД СКПВВ в хранилище СКА по причине неудачной аутентификации в БД. При этом в журналы работы ИнС и МП заносятся записи о последовательно произошедших ошибках второго и четвертого видов.

Возможны также и другие состояния СКА, а именно hзl, hз2, h41, h42 , в которых последовательность произошедших нарушений основных функций активных компонентов СКА иная.

Таким образом, множество возможных состояний функционирования СКА имеет вид

н = {h0, h\, ^, ^ h4, ^, ^, h23, h24, ^32, h41, h42} . (1)

Смена состояний СКА происходит в случайные моменты времени по различным причинам независимо друг от друга. Как нарушения в работе, так и устранение возникающих ошибок возможны как без участия, так и с участием человека.

Используя множество (1), можно описать поведение СКА, как объекта с дискретным временем работы, в виде ориентированного графа, представленного на рис. 1. Вершины графа характеризуют возможные состояния СКА, а в качестве весов дуг графа указываются соответствующие вероятности переходов из одних состояний в другие за некоторый промежуток времени Д, определяющий дискретный (потактовый) режим его работы. При этом прямоугольниками выделены состояния, соответствующие двум ошибкам каждого из компонентов СКА - модуля-посредника и индексирующего сервера.

Рис. 1. Диаграмма переходных вероятностей СКА

Здесь Pii , i = 0,1,2,3,4,13,14,23,24,31,32,41,42 - вероятности сохранения состояний ho,^,h2,hз,h4,/г^,/?14,h2з,h24,hзl,hз2,Л4!,h42 за время Д/; Р1 у, /', у = 0,1,2,3,4,13,14,23,24,31,32,41,42 , /' Ф у - вероятности переходов из состояния ^ в состояние hj за время Д/.

Конкретный вид диаграммы вероятностей переходов, представленной на рис. 1, обусловлен ограниченным режимом обслуживания СКА в процессе возникающих нарушений, то есть тем, что устройство обслуживает один ремонтник.

Вероятности Р у , i Ф у, описывают переходы, связанные с возникновением

нарушений определенного вида или их устранением за время Д/. Предполагается, что время нормальной работы отдельных компонентов СКА и время устранения возникающих в них нарушений являются случайными величинами, имеющими показательные законы распределения. Интенсивности возникновения Хк

к-го нарушения и его устранения Цк, к = 1,4, считаются заданными. Соответственно при определении конкретных вероятностей перехода Р у используются

формулы, характеризующие конкретные нарушения или их устранения, то есть вероятности того, что за время Д/ произойдет к-я ошибка или она будет устранена:

0>к (Д) = 1 - е-Хк Д, Рк (Д/) = 1 - е-ЦкД, к = 1,4. (2)

Вероятности Р i определяются с использованием деревьев состояний, характеризующих переходы СКА из различных состояний функционирования в другие за время Д/ , с учетом полной группы событий, определяющих условия нахождения СКА в одном из возможных состояний функционирования.

Определение нестационарных вероятностей состояний функционирования СКА

Поскольку СКА является системой с дискретным временем, то для анализа ее надежности с точки зрения возможности нахождения СКА в различных состояниях функционирования h е Н применим метод переходных вероятностей [8], который требует знания вероятностей переходов СКА из одного состояния в другое за некоторое время Д/, определяющее дискретный (потактовый) режим его работы. В нашем случае Д/ = 8 ч характеризует длину одного такта т.

Целью последующего анализа является определение вектор-функции вероятностей р(т), характеризующей потактовое изменение состояний h е Н,

Р(т) = (Р0 (т), Р1 (т), р2 (т), Р5 (т), Р4 (т), рв (т), рм (т), Р23 (т), Р24 (т),

Р31(т), Р32 (т), Р41(т), Р42(т)), т = 0, 1, 2, ..., (3)

и вектора стационарных вероятностей Р, характеризующего их установившиеся значения при т ,

Р = (p0, p1, p2, p3, p4, p13, p14, p23, p24, p31, ^ p41, Р42) . (4)

Использование этого метода предполагает знание матрицы переходов, соответствующей диаграмме переходных вероятностей СКА (см. рис. 1):

Р о Р01 Р02 Р03 ■'Г о? 0 0 0 0 0 0 0 0

Р10 Р11 0 0 0 Р1,13 Р1,14 0 0 0 0 0 0

Р20 0 2 Р22 0 0 0 0 Р2,23 Р2,24 0 0 0 0

Р30 0 0 Р33 0 0 0 0 0 Р3,31 Р3,32 0 0

р о 0 0 0 ■'Г о? 0 0 0 0 0 0 Р4,41 Р4,42

0 0 0 Р13,3 0 Р13,13 0 0 0 0 0 0 0

0 0 0 0 Р14,4 0 Р14,14 0 0 0 0 0 0

0 0 0 Р23,3 0 0 0 Р23,23 0 0 0 0 0

0 0 0 0 Р24,4 0 0 0 Р24,24 0 0 0 0

0 Р31,1 0 0 0 0 0 0 0 Р31,31 0 0 0

0 0 Р32,2 0 0 0 0 0 0 0 Р32,32 0 0

0 Р41,1 0 0 0 0 0 0 0 0 0 Р41,41 0

0 0 Р42,2 0 0 0 0 0 0 0 0 0 Р42,42

(5)

Матрица (5) является квадратной (13 х 13), число ее строк и столбцов определяется числом возможных состояний функционирования СКА, образующих множество Н (1). Столбец определяет вероятность сохранения /-го состояния и перехода в него из других состояний при срабатывании в один такт от (т -1) к т. Строка определяет распределение вероятностей каждого из состояний СКА, то есть вероятность сохранения /-го состояния и вероятности перехода из /-го состояния в другие. Сумма членов каждой строки равна 1, то есть матрица М является стохастической.

Поскольку матрица М является стохастической, то это позволяет рассматривать ее как матрицу переходных вероятностей цепи Маркова с дискретным временем и конечным множеством состояний [8].

Начальное распределение вероятностей М (0) состояний функционирования к е Н, характеризующее возможность нахождения СКА в первоначальный момент времени (т = 0) в каком-либо состоянии, определяется в общем виде матрицей-строкой

М(0) = 11^0 (0), Р1 (0), Р2 (0), Р5 (0), Р4 (0), Р13(0), Р14 (0), Р23 (0), Р24 (0),

Р31(0), Р32 (0), Р41 (0), Р42(0)||. (6)

Причем ^ Р/ (0) = 1, где Р/ (0) - вероятность нахождения СКА в начальный

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

/

момент времени (т = 0) в состоянии к/, / = 0,1,2,3,4,13,14,23,24,31,32,41,42.

Например, если в начальный момент времени все компоненты СКА исправны, а, следовательно, и СКА находится в состоянии нормального функционирования к0 , то

М (0) = | |1,0,0,0,0,0,0,0,0,0,0,0,0||. (7)

Вероятность Р(т)/ нахождения СКА в состоянии к, после т последовательных тактов в общем виде определяется формулой

Р(т) = М(0)МтД , / = 0,1,2,3,4,13,14,23,24,31,32,41,42, (8)

где Ц- - вектор-столбец, элементами которого являются «0» или «1», причем «1» соответствует анализируемому состоянию к/.

Например, состоянию к1 соответствует вектор-столбец

Б1 =| 0,1,0,0,0,0,0,0,0,0,0,0,0||т, где т - символ транспонирования.

Конкретный вид матрица (5) приобрела после вычисления соответствующих значений вероятностей перехода Рі, у, і, у = 0,1,2,3,4,13,14,23,24,31,32,41,42.

Значения этих вероятностей вычислены по формулам (2) с использованием следующих данных для Хі и ц, і = 1,4 : Я,! = 4,95 • 10-4 и ц = 0,58 ; X2 = 7,48 • 10-4 и

ц2 = 0,2 ; Х3 = 5,16 • 10-4 и ц3 = 0,09 ; X4 = 6,43 • 10-4 и ц4 = 0,17 .

Таким образом,

M = 10-3 X

9В0,В3 3,95 5,9б 4,12 5,13 О О О О О О О О

99О,34 О,4О3 О О О 4,12 5,13 О О О О О О

794,В4 О 195,9 О О О О 4,12 5,13 О О О О

524,79 О О 4б5,3 О О О О О 3,95 5,9б О О

739,2 О О О 250^ О О О О О О 3,95 5,9б

О О О 99О,34 О 9,бб О О О О О О О

0 О О О 99О,34 О 9,бб О О О О О 0

О О О 794,В5 О О О 205,15 О О О О О

О О О О 794,В5 О О О 2О5,15 О О О О

О 524,79 О О О О О О О 475,21 О О О

О О 524,79 О О О О О О О 475,21 О О

О 739,2 О О О О О О О О О 2бО,В О

О О 739,2 О О О О О О О О О 2бО,В (9)

Задав вектор начального состояния М (0) вида (7) и задавая вектора Ц для состояний Ні є Н, і = 0,1,2,3,4,13,14,23,24,31,32,41,42 , и используя матрицу (9) можно определить по формуле (8) вероятности нахождения СКА в каждом из этих состояний через любое количество тактов т = 1, 2, ..., а в итоге определить вектор-функцию р(т) вероятностей состояний вида (3).

Например, для вектора М (0) вида (7), определяющего начальное состояние

Н, и состояния Н

Ц2 =| 0,0,1,0,0,0,0,0,0,0,0,0,0||

СКА в состоянии Н2 равна

2

т

характеризуемого матрицей-столбцом

после двух тактов вероятность нахождения

Р(2)2 = М(0)М2Ц2 = 7,02 • 10_3 .

Таким образом, после двух тактов т = 2 (через 16 ч работы), с вероятностью

_ 3

7,02 -10 СКА окажется в состоянии функционирования Н2 , характеризуемом нормальной работой МП и не реагирующим на управляющие воздействия ИнС. В результате появится ошибка второго вида, которая зафиксируется в журнале работы ИнС, и будет выдано соответствующее сообщение об ошибке [3].

Проведя подобные вычисления при т = 2 для других состояний функционирования можно получить вектор, характеризующий распределение вероятностей по всем состояниям через два такта,

p(2) = (0,9В, 3,88-10-3, 7,02-10_з, 5,9б-10_з, б,32-10_з, 1,б3-10“5, 2,03-10

Л-

-5

2,46-10"5, 3,06-10“5, 1,63-10“5, 2,46-10“5, 2,03-10“5, 3,06-10“5).

Выполнив вычисления для различных т, в итоге получим функцию вида (3). При увеличении т вероятности р, (т), / = 0,1,2,3,4,13,14,23,23,31,32,41,42, изменяются. Например, аппроксимированный график зависимости вероятности Р0(т) состояния нормального функционирования СКА к0 от числа тактов т представлен на рис. 2.

-5

-5

Paint) 1,0000 —

0,9785

0,9895

0,9945

0,9840

0,9730------------------

0 4 8 12 16 20 т

Рис. 2. Изменение вероятности состояния к0 во времени (за т = 20 тактов)

Определение предельных (стационарных) вероятностей состояний функционирования

Для эргодических марковских процессов с дискретным временем и конечным множеством состояний функционирования, к числу которых принадлежит рассматриваемый нами процесс, при т ^ да предельное (стационарное) распределение вероятностей р/ между состояниями к е Н не зависит от начального состояния объекта [9]. Эго свойство позволяет определить распределение вероятностей р/ (4) путем решения системы алгебраических уравнений, составленной

по матрице переходов М.

Для средств контентного анализа данная система уравнений в общем виде записывается следующим образом:

p0 = P00 p0 + P10 p1 + P20 p2 + P30 p3 + P40 p4’ p1 = P01 p0 + P11 p1 + P31,1p31 + P41,1 p4b p2 = P02 p0 + P22 p2 + P32,2 p32 + P42,2 p42> p3 = P03 p0 + P33 p3 + P13,3 p13 + P23,3 p23? p4 = P04 p0 + P44 p4 + P14,4 p14 + P24,4 p24’ p13 = P1,13 p1 + P13,13 p13>

' p14 = P1,14p1 + P14,14p14, (10)

p23 = P2,23 p2 + P23,23p23, p24 = P2,24 p2 + P24,24p24> p31 = P3,31 p3 + P31,31 p3b p32 = P3,32 p3 + P32,32 p32> p41 = P4,41p4 + P41,41 p4b ^ p42 = P4,42 p4 + P42,42 p>

причем р0 + р1 + р2 + р3 + р4 + р13 + р14 + р23 + р24 + р31 + р32 + р41 + р42 = ^ где р, , / = 0,1,2,3,4,13,14,23,24,31,32,41,42 - искомые предельные вероятности.

В результате решения системы (10), в которую подставлены конкретные значения Pj , i, j = 0,1,2,3,4,13,14,23,24,31,32,41,42, получены следующие значения предельных (стационарных) вероятностей состояний функционирования: p0 = 0,974 ; p1 = 3,906 • 10-3 ; p2 = 7,329 • 10-3 ; p3 = 7,595 • 10-3 ; p4 = 6,752 • 10-3 ; p13 = 1,626 • 10-5 ; p14 = 2,025 • 10-5 ; p23 = 3,8 • 10-5 ; p24 = 4,73 3 • 10-5 ;

p31 = 5,718 -10-5; p32 = 8,629 •Ю-5; p41 = 3,608 -10_5; p42 = 5,446 •Ю-5.

Выводы

1. Располагая сведениями о нестационарных и стационарных вероятностях нахождения СКА в различных состояниях функционирования, обусловленных нарушениями его работы, администратор безопасности может более качественно прогнозировать во времени его поведение. Имеются в виду как периоды, соответствующие запуску СКА, так и периоды установившейся работы.

2. Такой прогноз позволяет администратору сосредоточить внимание на наиболее значимых угрозах нарушения работоспособности СКА, благодаря чему принимаются более взвешенные решения о выявлении инцидентов информационной безопасности и последующем реагировании на них.

Список литературы

1. Попов, С.В. О влиянии состояний функционирования средств защиты информации на эффективность мониторинга инцидентов информационной безопасности банка / С.В. Попов, В.Н. Шамкин // Вестн. Тамб. гос. техн. ун-та. -

2011. - Т. 17, № 2. - С. 297-303.

2. Попов, С.В. Мониторинг состояний функционирования средств защиты информации в информационной системе / С.В. Попов, В.Н. Шамкин // Тр. между-нар. науч.-техн. конф. «Современные информационные технологии» “Contemporary Information Technologies” (Computer-Based Conference) / Пенз. гос. технолог. акад. - Пенза, 2011. - Вып. 13. - С. 165-168.

3. Попов, С. В. Методика мониторинга надежностных показателей средств защиты информации в банке по данным их текущей эксплуатации / С.В. Попов,

B.Н. Шамкин // Вопр. соврем. науки и практики. Ун-т им. В.И. Вернадского. -

2012. - № 1(37). - С. 64-75.

4. Попов, С.В. Оценка работоспособности средств защиты информации /

C. В. Попов, В. Н. Шамкин // Прогрессивные технологии и перспективы развития : сб. мат. 2-й междунар. науч.-практ. конф., г. Тамбов, 5 нояб. 2010 г. / Тамб. гос. техн. ун-т. - Тамбов, 2010. - С. 50-51.

5. Попов, С.В. Возможные состояния функционирования средств защиты информации в системе мониторинга инцидентов информационной безопасности / С. В. Попов, В. Н. Шамкин // Новые технологии и инновационные разработки: мат. 4-й межвуз. науч.-практ. конф., г. Тамбов, 13 мая 2011 г. / Тамб. гос. техн. ун-т. -Тамбов, 2011. - С. 69-72.

6. Муромцев, Ю.Л. Моделирование и оптимизация технических систем на множестве состояний функционирований : монография / Ю.Л. Муромцев, Л.Н. Ляпин, У.В. Попова. - Воронеж : Изд-во Воронеж. гос. ун-та, 1993. - 144 с.

7. Муромцев, Ю.Л. Идентификация моделей, учитывающих изменение состояний функционирования / Ю.Л. Муромцев, Л.П. Орлова, Д.Ю. Муромцев // Обработка сигналов и полей. - 2000. - № 3. - С. 45-48.

8. Левин, Б.Р. Теория надежности радиотехнических систем (математические основы) / Б.Р. Левин. - М. : Сов. радио, 1978. - 264 с.

9. Надежность автоматизированных систем управления : учеб. пособие для вузов / И.О. Атовмян [и др.] ; под ред. Я.А. Хетагурова. - М. : Высш. школа, 1979. - 287 с.

Identification of the Probabilities of Functioning State by Means of Content Analysis as an Element of Monitoring over Information Security Incidents

S.V. Popov, V.N. Shamkin

Department “Designing of Radio-Electronic and Microprocessor Systems ",

TSTU, [email protected]

Key words and phrases: failure and recovery rates; information security; incident and event of information security; Markov random process; transition matrix; transition probabilities; the state of operation; content analysis means.

Abstract: It is offered to use a method of transitive probabilities to calculate the possibility of information security devices, working in discrete time in the system of monitoring over the bank information security incidents, to remain in the state of operation caused by malfunctions in their work. For the content analysis we have identified the set of possible functioning conditions and their stationary and non-stationary probabilities which can be used by the security administrator in decision-making process, and for designing new systems of monitoring.

Bestimmung der Wahrscheinlichkeiten der Zustande des Funktionierens des Mittels der Kontentanalyse als Element des Systems des Monitorings der Zwischenfalle der Informationssicherheit

Zusammenfassung: Es ist vorgeschlagen, die Methode der Ubergangswahr-scheinlichkiten fur die Berechnung der Moglichkeit des Vorhandenseines der Mittel des Informationsschutzes, die in der Diskretenzeit im System des Monitorings der Zwischenfalle der Informationssicherheit der Bank arbeiten, in den Zustanden des Funktionierens, die von ihrer Arbeit verletzungsbedingt sind, zu benutzen. Fur das Mittel der Kontentenanalyse sind viele mogliche Zustande des Funktionierens gezeigt und ihre stationare und unstationare Wahrscheinlichkeiten gefunden, die spater vom Administrator der Sicherheit im Prozess der Beschlufifassung und auch bei der Projektierung der neuen Monitoringssysteme benutzt werden konnen.

Determination des probabilites des etats du fonctionnement du moyen de l’analyse de content comme element du systeme de monitoring des incidents de la securite informatique

Resume: Est propose l’emploi de la methode des probabilites de transition pour le calcul de la possibilite de la presence des moyens de la protection de l’information fonctionnant dans le regime discret du systeme de monitoring des incidents de la securite informatique de la banque dans les etats du fonctionnement conditionnes des erreurs de leur fonctionnement. Pour le moyen de l’analyse de content est deduite une multitude des etats possibles du fonctionnement et sont trouvees leurs probabilites stationnaires et non-stationnaires qui peuvent ensuite etre utilisees par l’administrateur de la securite lors du processus de l’obtention des solutions ainsi que lors de la conception de nouveaux systemes de monitoring.

Авторы: Попов Сергей Викторович - соискатель кафедры «Конструирование радиоэлектронных и микропроцессорных систем»; Шамкин Валерий Николаевич - доктор технических наук, профессор кафедры «Конструирование радиоэлектронных и микропроцессорных систем», ФГБОУ ВПО «ТГТУ».

Рецензент: Муромцев Дмитрий Юрьевич - доктор технических наук, профессор, заведующий кафедрой «Конструирование радиоэлектронных и микропроцессорных систем», ФГБОУ ВПО «ТГТУ».

i Надоели баннеры? Вы всегда можете отключить рекламу.