УДК 681.324
ОПТИМИЗАЦИЯ ИНТЕРВАЛОВ ПРОВЕРКИ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ СИСТЕМ В.А. Богатырев3, А.В. Богатырев3, С.В. Богатыревь
a Университет ИТМО, 197101, Санкт-Петербург, Россия, Vladimir.bogatyrev@gmail.com
ь Санкт-Петербургский государственный университет аэрокосмического приборостроения, 190000, Санкт-Петербург, Россия
Аннотация. Предложена марковская модель защищенных информационных систем, функционирующих в условиях деструктивных воздействий, последствия которых обнаруживаются оперативным и тестовым контролем. Предполагается, что оперативный контроль, в отличие от тестового, характеризуется ограниченной полнотой контроля, но не требует остановки вычислительного процесса. Целью исследований является построение моделей, позволяющих оптимизировать интервалы инициализации тестового контроля по критерию максимизации вероятности нахождения системы в состоянии готовности к безопасному выполнению функциональных запросов и минимизации опасных состояний системы с учетом неопределенности и вариантности интенсивности деструктивных воздействий. Рассмотрены варианты задачи оптимизации интервалов тестирования в зависимости от интенсивности деструктивных воздействий по критерию достижения максимума готовности системы к безопасному выполнению запросов. Оптимизация проведена без адаптации и с адаптацией к изменениям реальной интенсивности деструктивных воздействий.
Показана эффективность адаптивного изменения периодов тестирования в зависимости от наблюдаемой активности деструктивных воздействий. Решение задачи оптимизации проведено c использованием встроенных средств системы компьютерной математики Mathcad 15, включая средства символьной математики решения систем алгебраических уравнений. Предложенные модели и методы определения оптимальных интервалов тестирования могут найти применение при системотехническом проектировании компьютерных систем и сетей критического применения, работающих в условиях дестабилизирующих воздействий при повышенных требованиях к их безопасности. Ключевые слова: марковская модель, контроль, опасные состояния, деструктивные воздействия, оптимизация. Благодарности. Работа выполнена в рамках НИР «Методы и модели обеспечения интегрированной безопасности и устойчивости функционирования компьютерных систем».
INTERVALS OPTIMIZATION OF SYSTEMS INFORMATION SECURITY
INSPECTION V.A. Вogatyrev3, A.V. Вogatyrev3, S.V. Вogatyrevь
3 ITMO University, 197101, Saint Petersburg, Russia, Vladimir.bogatyrev@gmail.com
ь Saint Petersburg State University of Aerospace Instrumentation, 190000, Saint Petersburg, Russia, Vladimir.bogatyrev@gmail.com
Abstract. A Markov model is suggested for secure information systems, functioning under conditions of destructive impacts, which aftereffects are found by on-line and test control. It is assumed that on-line control, in contrast to the test one, is characterized by the limited control completeness, but does not require the stopping of computational process. The aim of research is to create models that optimize intervals of test control initialization by the criterion of probability maximization for system stay in the ready state to secure fulfillment of the functional requests and minimization of the dangerous system states in view of the uncertainty and intensity variance of the destructive impacts. Variants of testing intervals optimization are considered depending on the intensity of destructive impacts by the criterion of the maximum system availability for the safe execution of queries. Optimization is carried out with and without adaptation to the actual intensity change of destructive impacts.
The efficiency of adaptive change for testing periods is shown depending on the observed activity of destructive impacts. The solution of optimization problem is obtained by built-in tools of computer mathematics Mathcad 15, including symbolic mathematics for solution of systems of algebraic equations. The proposed models and methods of determining the optimal testing intervals can find their application in the system design of computer systems and networks of critical applications, working under conditions of destabilizing actions with the increased requirements for their safety. Keywords: Markov model, control, dangerous states, destructive impacts, optimization.
Acknowledgements. The work is done within the framework of S&R "Methods and Models for Integrated Security and Operation Stability of Computer Systems".
Введение
В настоящее время большое внимание уделяется развитию методов системотехнического проектирования компьютерных систем и сетей с высокой надежностью, отказоустойчивостью и производительностью при минимизации затрат на их реализацию и эксплуатацию [1-7].
Достижение высокой надежности [8-25], функциональной и информационной безопасности систем хранения и обработки данных требует использования комплекса средств оперативного и тестового контроля, направленных на обнаружение и минимизацию последствий деструктивных воздействий как злонамеренного, так и случайного характера. Оперативный контроль [1] позволяет быстро обнаружить последствия деструктивных воздействий, но замедляет вычислительный процесс, и достижимая им полнота контроля, как правило, ограничена, в результате чего возможно нарушение безопасности системы (переход в опасные состояния необнаружения последствий деструктивных воздействий). Для обнаружения опасных состояний в системе может дополнительно проводиться периодический тестовый контроль.
При организации тестового контроля возникает задача определения оптимальных интервалов между тестированием, так как уменьшение этого интервала позволяет снизить вероятности опасных состояний, но приводит к потере реальной производительности и к возрастанию среднего времени пребывания запросов в системе, что отрицательно сказывается на ее эффективности, особенно при работе в реальном времени.
В теории надежности известны марковские модели, учитывающие влияние оперативного и тестового контроля на готовность системы и позволяющие оптимизировать периодичность тестового контроля [1, 7-9, 20] с целью максимизации коэффициента готовности системы. Использование известных надежностных моделей для исследования защищенных информационных систем, подверженных злонамеренным деструктивным воздействиям, затруднено тем, что их интенсивность (в отличие от отказов), как правило, характеризуется вариантностью, переменностью и неопределенностью последовательности и частоты смены вариантов.
Таким образом, для защищенных информационных систем с целью повышения их готовности к безопасному обслуживанию запросов возникает потребность определения оптимальных интервалов тестирования в зависимости от вариантности и изменяемой интенсивности деструктивных воздействий. Адаптация периодов тестирования к изменениям интенсивности воздействий, с одной стороны, позволяет увеличить готовность системы при снижении вероятности ее опасных состояний, но, с другой, увеличивает простои системы, вызываемые необходимостью обнаружения изменений интенсивности деструктивных воздействий, что обусловливает целесообразность постановки и решения задачи оптимизации процесса тестирования.
Модель защищенной системы
Для построения марковской модели защищенной информационной системы интервалы между деструктивными воздействиями, инициализацией тестирования, а также время тестирования будем считать распределенными по показательному закону. Граф состояний и переходов моделируемого процесса на рис. 1 соответствует идеальному случаю обнаружения тестовым контролем всех опасных состояний системы в предположении постоянной интенсивности нарушений.
- Цо
О;, О
Рис. 1. Граф состояний и переходов системы с контролем злонамеренных воздействий: 0 - готовность системы к безопасному выполнению функциональных запросов; 1 - тестирование при отсутствии нарушений (последствий деструктивных воздействий); 2 - обнаружение последствий
деструктивных воздействий и восстановление безопасного состояния; 3 - опасное состояние функционирования при необнаруженных последствиях деструктивных воздействиях; 4 - тестирование
при наличии нарушений
На рис. 1 введены обозначения: Х0 - интенсивность потока деструктивных воздействий (величина, обратная среднему времени между деструктивными воздействиями); X - интенсивность инициализации тестового контроля (величина, обратная среднему времени между тестированием); я - полнота оперативного контроля (вероятность обнаружения нарушений оперативным контролем); ц1 - интенсивность тестирования (величина, обратная среднему времени тестирования); ц0 - интенсивность восстановления безопасного состояния.
Представленный на рис. 1 граф состояний и переходов позволяет составить системы алгебраических или дифференциальных уравнений, из которых находятся вероятности всех состояний Р0 - Р4 в стационарном или нестационарном режимах [1].
Система алгебраических уравнений Колмогорова для графа на рис. 1 имеет следующий вид:
XР0 - дРР = 0,
XРз - ДР4 = 0,
ДР4 + ЯХ0Р0 - Д0Р2 = 0
(1 - я )Р - У>з = 0,
4
X Р=1.
1=0
Решение получаем с использованием встроенных средств символьной математики Mathcad 15:
Р = V, Р = Л, Р2 = дЛ0, Р3 = X0^1(1 - Я, РА = X0 Vо(1 - ЯЛ ,
гДе Л = (Х12Ц0 + МА0х1 + М0х0х1 + 0М1 + х0М0М -ЯХ0М0 (( + М1 ))
Результаты расчета вероятностей состояний системы в зависимости от интенсивности инициализации тестового контроля Х1 при Х0 = 0,1 1/ч, ц1 = 10 1/ч, ц0 = 2 1/ч и я = 0,5 представлены на рис. 2. Кривая 1 соответствует вероятности готовности системы к безопасному выполнению запросов, кривая 2 - вероятности простоя системы при ее тестировании или восстановлении, кривая 3 - вероятности простоя системы при ее тестировании в безопасном состоянии, кривая 4 - вероятности нахождения системы в опасном состоянии. Кривая 5 соответствует вероятности опасных состояний по уточненной шкале правой оси ординат. Представленные зависимости показывают возможность существования оптимального интервала между инициализацией процедуры тестирования, при котором достигается максимум вероятности нахождения системы в состоянии готовности к безопасному выполнению функциональных запросов, что подтверждает целесообразность постановки и решения задачи оптимизации интервалов тестирования.
Р 1
0,6
0,4
0,2
1 \
1 V 1 \ 1 -
1 \ 5 \ 2 2
3 -
*• y"' 4 ...... ----
Р
0,02
0,01
4 6
X1, 1/ч
10
Рис. 2. Вероятности состояний системы в зависимости от интенсивности инициализации контроля: кривые 1-4 соответствуют вероятностям состояний Po, Р1+Р2+Р4, Pi, Рз соответственно; кривая 5 представляет вероятность Рз по уточненной шкале правой оси ординат
Оптимизация интервалов тестирования по критерию максимизации готовности системы
к безопасному выполнению запросов
Особенность модели контроля для исследования систем, подверженных злонамеренным деструктивным воздействиям, заключается в необходимости учета неопределенности интенсивности этих воздействий и их изменений во времени. При оптимизации интервалов тестирования будем предполагать считать заданными вектор вариантов возможных интенсивностей (qt) и вектор вероятностей этих вариантов (rt), имеющие размерность n*1.
При неопределенности потока деструктивных воздействий рассмотрим различные варианты постановки задачи оптимизации интервалов тестирования, обеспечивающих максимум вероятности нахождения системы в состоянии готовности к безопасному выполнению функций, обозначаемые как В1-В3.
При варианте В1 определяется значение интервалов тестирования 1A,j обеспечивающее максимум вероятности состояния готовности к безопасному выполнению запросов P0 по критерию
max^^Vg +V0H1 -gXoho (X1 + h )))
n-1
при средней интенсивности воздействий X0 = X q trt.
t=0
При варианте В2 определяется значение интервалов тестирования 1/Х1 (интенсивности инициализации тестирования Х1), обеспечивающее максимум математического ожидания вероятности состояния готовности к безопасному выполнению запросов с учетом всех возможных интенсивностей воздействий qt (t=0,1,...,n-1). В этом случае критерий оптимальности имеет вид
n-1
max X r (( 0Ш о + ^Л1 + h о q\ + V 0 h + qp oh- gqh о (1 + h )))
i=0 4 '
где q - -й вариант возможной интенсивности деструктивных воздействий, вероятность которой r .
0
0
2
8
При варианте В3 для каждой возможной интенсивности деструктивных воздействий определяется вектор значений интенсивности инициализации тестирования (а,), обеспечивающий максимум математического ожидания готовности системы к безопасному выполнению запросов. При этом критерий оптимальности имеет вид
п 1
тах £ г (а м0^1 ^а2Мо + мча + Мо<а + а,М0М1 + ч,м0М1 - 8<1 Мо (а, + М1 )))
,= 0
Вариант В3 предполагает предварительное формирование (на основе оптимизации) вектора интервалов тестирования в зависимости от варианта интенсивности воздействий. Адаптивный переход к выбираемому значению интервала тестирования происходит в результате измерений текущей активности (интенсивности) деструктивных воздействий и идентификации соответствующего варианта градации активности <.
Возможна модификация адаптивного варианта назначения интервалов тестирования, когда градации активности не вводятся, а осуществляются измерения активности воздействий в реальном времени, и при обнаружении их изменений решается расчетная задача оптимизации интервалов тестирования. Следует заметить, что реализация рассмотренных вариантов адаптивного задания интервалов тестирования требует дополнительных временных издержек, а поэтому его применение требует обоснования.
Оптимизация интервалов тестирования по критерию минимизации опасных состояний
при безопасном выполнении запросов
Определим интервалы тестирования, обеспечивающие минимум вероятности нахождения системы в опасном состоянии необнаруженных последствий деструктивных воздействий в условиях неопределенности и вариантности их интенсивностей. При оптимизации выделим случаи, соответствующие ранее рассмотренным вариантам В1-В3 критериев оптимизации:
тп ((МчО - 8)/(^12Цо + МА<А + Но ^0 + + ^0^1 - 8^0 (1 + М1 ))),
^ 0 = £ ,
, =0 п-1
тт £ г (М0Н1(1 - 8У ((0 + М1?А 1 + М0+ V0Н1 +1,М0М1 - 81 IМ0 (1 + Н1))),
п-1 , .
та1п £ г (м0М1(1 - 8У (а2м0 + мч а + м0<а + ам0М1 + 0М1- 81,м0 (а + М1))),
=0
где (а,) - вектор значений интенсивностей инициализации тестирования, обеспечивающий минимум вероятности опасного состояния Р3 для , = 0,1...и-1 возможных вариантов интенсивностей деструктивных воздействий (<,).
При многокритериальной оптимизации максимизации готовности системы к безопасному выполнению запросов и минимизации опасных состояний воспользуемся аддитивным скалярным критерием, имеющим для рассматриваемых вариантов В1-В3 следующий вид:
-([^ 1М0М1 -(1-а)]]^-8)/(^12М-0 + + + М0М1 + -80М0 (1 + ^^^^^
max|
0 =£ чг,
=0
п-1 . .
тах £ Г ([[ 1М0М1 - (1 - а)1,М0М1(1 - 8)] ((0 + М1?Л 1 + М01 ^ + ^М0М1 + 1М0М1 - 81,М0 (1 + М1))),
,=0 п-1
тах £ г ([м0М1- (1 - а)?,м0М1(1 - 8)] (а2М0 + мч а + М0<а + ам0М1 + <М0М1- 8Ш0 (а + М1 )))■
а ,=0
Пример оптимизации интервалов тестирования
Проведем оптимизацию интервалов тестирования защищенной информационной системы по критерию максимизации готовности системы к безопасному выполнению запросов. Предположим, что интенсивность тестирования и восстановления безопасного состояния ц1 = 1 1/ч, ц0 = 0,1 1/ч при полноте оперативного контроля 8 = 0,6. Пусть возможны варианты деструктивных воздействий и их вероятности, представленные векторами (<,) и (г,) соответственно:
" 0,001" " 0,1 "
0,002 0,15
0,003 0,3
, r =
0,004 0,2
0,005 0,15
0,006 0,1
4i =
Тогда оптимальным интервалам тестирования, определяемым по критерию максимизации готовности системы к безопасному выполнению запросов, для вариантов В1, В2 соответствуют значения = 0,03672 1/ч и = 0,03714 1/ч. Для варианта В3 вектор оптимальных интенсивностей инициализации тестирования (а,), обеспечивающий минимум вероятности опасного состояния Р3 для 1 = 0,1,..., п-1 возможных вариантов интенсивностей деструктивных воздействий (д,), определен в результате оптимизации как
"0,020" 0,028 0,035 0,040 0,045 0,049
Результаты расчета вероятности готовности системы к безопасному выполнению запросов в зависимости от варианта интенсивности деструктивных воздействий представлены на рис. 3. Кривая 1 соответствует варианту В3 адаптивного изменения периодов тестирования в зависимости от наблюдаемой интенсивности деструктивных воздействий. Кривая 2 соответствует вариантам В1, В2, при которых задается постоянный период тестирования независимо от реальной интенсивности деструктивных воздействий. Кривые 3, 4 показывают увеличение вероятности готовности системы к безопасному выполнению запросов в результате адаптации периода тестирования к изменениям интенсивности деструктивных воздействий по варианту В3 относительно вариантов В1 и В2 соответственно.
Представленные графики позволяют сделать вывод об эффективности адаптивного изменения периодов тестирования в зависимости от наблюдаемой интенсивности деструктивных воздействий.
Ро 0,96
0,938
0,916
0,894
0,872
0,85 1x10
1
» ■
3 Jf f
4 A
2
D
4x10-
2x10-
0
2x10-
4x10-
5x10 6x10-
3x10" д ¡, 1/ч
Рис. 3. Вероятности готовности системы к безопасному выполнению запросов: кривая 1 соответствует варианту В3, кривая 2 - вариантам В1, В2, кривые 3, 4 представляют разницу й готовности системы к безопасному выполнению запросов между вариантами В3-В1 и В3-В2
Предложенные модели и методы определения оптимальных интервалов тестирования могут найти применение при системотехническом проектировании компьютерных систем и сетей критического применения, работающих в условиях дестабилизирующих воздействий при повышенных требованиях к их безопасности [14-25].
Таким образом, предложена марковская модель защищенных информационных систем, функционирующих в условиях деструктивных злонамеренных и случайных воздействий, последствия которых обнаруживаются оперативным и тестовым контролем.
3
Поставлена и решена задача оптимизации интервалов инициализации тестового контроля по критерию максимизации вероятности нахождения системы в состоянии готовности к безопасному выполнению функциональных запросов и минимизации опасных состояний системы с учетом неопределенности и вариантности интенсивности деструктивных воздействий.
Рассмотрены варианты задачи оптимизации интервалов тестирования без их адаптации и с адаптацией к изменениям реальной интенсивности деструктивных воздействий.
Показана эффективность адаптивного изменения периодов тестирования в зависимости от наблюдаемой активности деструктивных воздействий. Так, из рис. 3 видно, что, например, при интенсивности деструктивных воздействий 6 10-3 1/ч готовность к безопасному выполнению запросов в результате адаптации (вариант В3) увеличивается на 3 10-3 относительно вариантов без адаптации (В1, В2).
Решение задачи оптимизации проведено с использованием встроенных средств системы компьютерной математики Mathcad 15, включая средства символьной математики решения систем алгебраических уравнений.
Литература
1. Черкесов Г.Н. Надежность аппаратно-программных комплексов. СПб: Питер, 2005. 479 с.
2. Kopetz H. Real-Time Systems: Design Principles for Distributed Embedded Applications. Springer, 2011. 396 p.
3. Wang S.-C., Yan K.-Q., Ho C.-L., Wang S.-S. The optimal generalized Byzantine agreement in cluster-based wireless sensor networks // Computer Standards and Interfaces. 2014. V. 34. N 5. P. 821-830.
4. Abd-El-Barr M., Gebali F. Reliability analysis and fault tolerance for hypercube multi-computer networks // Information Sciences. 2014. V. 276. P. 295-318.
5. Dolev D., Fugger M., Posch M., Schmid U., Steininger A., Lenzen C. Rigorously modeling self-stabilizing fault-tolerant circuits: an ultra-robust clocking scheme for systems-on-chip // Journal of Computer and System Sciences. 2014. V. 80. N 4. P. 860-900.
6. Li H., Liu H., Gao H., Shi P. Reliable fuzzy control for active suspension systems with actuator delay and fault // IEEE Transactions on Fuzzy Systems. 2012. V. 20. N 2. P. 342-357.
7. Shooman M.L. Reliability of Computer Systems and Networks: Fault Tolerance, Analysis, and Design. John Wiley & Sons Inc., 2002. 527 p.
8. Sorin D.J. Fault Tolerant Computer Architecture. Morgan & Claypool, 2009. 103 p.
9. Koren I., Krishna C.M. Fault Tolerant Systems. San Francisco: Morgan Kaufmann Publishers, 2009. 378 p.
10. Gomez A., Carril L.M., Valin R., Mourino J.C., Cotelo C. Fault-tolerant virtual cluster experiments on federated sites using BonFIRE // Future Generation Computer Systems. 2014. V. 34. P. 17-25.
11. Bogatyrev V.A, Bogatyrev S.V., Golubev I.Yu. Optimization and the process of task distribution between computer system clusters // Automatic Control and Computer Sciences. 2012. V. 84. N 3. P. 103-111.
12. Bogatyrev V.A. Fault tolerance of clusters configurations with direct connection of storage devices // Automatic Control and Computer Sciences. 2011. V. 45. N 6. P. 330-337.
13. Bogatyrev V.A. Exchange of duplicated computing complexes in fault tolerant systems // Automatic Control and Computer Sciences. 2011. V. 46. N 5. P. 268-276.
14. Алиев Т.И. Проектирование систем с приоритетами // Изв. вузов. Приборостроение. 2014. Т. 57. № 4. С. 30-35.
15. Богатырев В.А., Богатырев С.В., Богатырев А.В. Функциональная надежность вычислительных систем с перераспределением запросов // Изв. вузов. Приборостроение. 2012. Т. 55. № 10. С. 53-56.
16. Колбанев М.О., Татарникова Т.М., Воробьев А.И. Модель обработки клиентских запросов // Телекоммуникации. 2013. № 9. С. 42-47.
17. Богатырев В. А. Отказоустойчивость и сохранение эффективности функционирования многомагистральных распределенных вычислительных систем // Информационные технологии. 1999. № 9. С. 4448.
18. Богатырев В.А. К повышению надежности вычислительных систем на основе динамического распределения функций // Изв. вузов СССР. Приборостроение. 1981. Т. 23. № 8. С. 62-65.
19. Богатырев В.А. Богатырев С.В. Критерии оптимальности многоуровневых отказоустойчивых компьютерных систем // Научно-технический вестник СПбГУ ИТМО. 2009. № 5 (63). C. 92-97.
20. Перегуда А.И., Тимашов Д. А. Вероятностный анализ показателей надежности подсистем СУЗ с учетом периодического контроля исправности // Изв. вузов. Ядерная энергетика. 2009. № 4. С. 45-53.
21. Богатырев В. А. Мультипроцессорные системы с динамическим перераспределением запросов через общую магистраль // Изв. вузов СССР. Приборостроение. 1985. № 3. С. 33-38.
22. Богатырев В.А. Оценка вероятности безотказной работы функционально-распределенных вычислительных систем при иерархической структуре узлов // Изв. вузов. Приборостроение. 2000. Т. 43. № 3. С. 67-70.
23. Богатырев В.А., Богатырев С.В. Надежность системы управления агрегатами и машинами коммунального хозяйства // Технико-технологические проблемы сервиса. 2008. № 4 (6). С. 23-27.
24. Богатырев В.А., Богатырев С.В., Парантаев Г.В. Балансировки нагрузки в системах управления машинами и агрегатами коммунально-бытовой сферы // Технико-технологические проблемы сервиса. 2008. № 3 (5). С. 54-58.
25. Гатчин Ю.А., Жаринов И.О., Коробейников А.Г. Математические модели оценки инфраструктуры системы защиты информации на предприятии // Научно-технический вестник информационных технологий, механики и оптики. 2012. № 2 (78). С. 92-95.
Богатырев Владимир Анатольевич Богатырев Анатолий Владимирович Богатырев Станислав Владимирович
Vladimir A. Вogatyrev Anatoly V. Вogatyrev Stanislav V. Вogatyrev
доктор технических наук, профессор, Университет ИТМО, 197101, Санкт-Петербург, Россия, Vladimir.bogatyrev@gmail.com аспирант, Университет ИТМО, 197101, Санкт-Петербург, Россия, Vladimir.bogatyrev@gmail.com
младший научный сотрудник, Санкт-Петербургский
государственный университет аэрокосмического приборостроения, 190000, Санкт-Петербург, Россия, Vladimir.bogatyrev@gmail.com
D.Sc., Professor, ITMO University, 197101, Saint Petersburg, Russia, Vladimir.bogatyrev@gmail.com
postgraduate, ITMO University, 197101, Saint Petersburg, Russia, Vladimir.bogatyrev@gmail.com
junior scientific researcher, Saint Petersburg State University of Aerospace Instrumentation, 190000, Saint Petersburg, Russia, Vladimir.bogatyrev@gmail.com
Принято к печати 13.01.14 Accepted 13.01.14