CC BY
313
Известия ТулГУ. Технические науки. 2016. Вып. 11. Ч. 1 УДК 004.056.5
ПРИМЕНЕНИЕ МЕТОДОВ ТЕОРИИ ИГР ДЛЯ ОПТИМИЗАЦИИ ВЫБОРА СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
Г.В. Басалова, А. А. Сычугов
Анализируется возможность применения методов теории игр для оптимизации выбора средств защиты информации. Предлагаемый подход позволит эффективнее расходовать ресурсы системы и выбирать наиболее подходящие (эффективные) средства защиты в каждый промежуток времени.
Ключевые слова: информационная безопасность, сетевые атаки, средства обнаружения вторжений, теория игр, антагонистическая игра.
В настоящее время большое внимание уделяется вопросам защиты информации. Телекоммуникационные системы, активно развивающиеся в последнее время, являются артериями современных глобальных информационных систем. Информация, циркулирующая в таких системах, представляет существенную ценность и поэтому является уязвимой к различного рода нарушениям и злоупотреблениям. Развитие сетевых технологий сопровождается повышением требований к информационной безопасности.
Несмотря на значительные успехи в сфере информационной безопасности, до сих пор существуют трудности предотвращения удаленных атак. Анализ сетевых атак показывает, что действия по защите чаще всего принимаются после того, как уже имеется снижение производительности сервиса. Происходит это вследствие сложности оценивания будущего масштаба атаки и использования соответствующей меры защиты. Некоторые воздействия (например, Бо8-атаки) отличает спонтанный характер, то есть они могут начинаться и закачиваться в случайные моменты времени, что в свою очередь также добавляет сложности выработки своевременной реакции на атаку.
Для выявления фактов неавторизованного доступа в систему, а также для других типов вредоносной активности, которые могут нарушить безопасность информационной системы, используются системы обнаружения вторжений. Система обнаружения вторжений обычно включает:
- сенсорную систему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы;
- подсистему анализа, предназначенную для выявления подозрительных действий и атак на основе данных сенсоров;
- хранилище данных, необходимое для накопления первичных событий и результатов анализа;
- подсистему управления и представления результатов анализа, позволяющую конфигурировать систему обнаружения вторжений и наблюдать за состоянием защищаемой системы.
122
Наиболее сложной и «математизированной» частью системы обнаружения вторжений является блок анализа. Входными данными для блока анализа является информация, полученная от сенсоров. В большинстве современных систем такого рода для анализа применяется комбинация нескольких математических методов.
Для повышения точности предсказания и обнаружения атак система обнаружения вторжений должна собирать разнородную информацию о работе защищаемой системы, а также хранить и обрабатывать большой объем данных. Использование системы фильтрации в отсутствии атаки влечет за собой снижение производительности сервера и возможное ложное срабатывание фильтра. Достаточно часто создание эффективной системы защиты сталкивается с нехваткой вычислительной мощности. Таким образом, возникает задача оптимизации ресурсов, затрачиваемых на поддержание работоспособности системы защиты от сетевых атак на высоком уровне.
Одним из вариантов решения указанной проблемы является минимизация ресурсов, затрачиваемых на поддержание информационной безопасности в те моменты времени, когда активность атакующей стороны незначительна. С этой целью система обнаружения вторжений должна использовать динамические методы, позволяющие оперативно обнаруживать и предотвращать нарушения безопасности. То есть в системе защиты информации должна быть использована математическая модель, позволяющая в каждый момент времени выбрать необходимый набор средств защиты, обеспечивающий надежную защиту и при этом требующий минимального количества ресурсов.
В отечественных и зарубежных работах последних лет наблюдается тенденция расширения имеющихся математических подходов к выбору параметров системы защиты информации. Так, например, различные авторы предлагают следующие математические методы для анализа и оптимизации системы защиты информации [1 - 6]:
- методы математической статистики;
- методы, основанные на использовании сетей Петри;
- математический аппарат теории случайных процессов;
- методы, основанные на использовании теории автоматов;
- методы на основе теории нечетких множеств;
- методы, основанные на использовании нейронных сетей;
- методы экспертных систем;
- математический аппарат теории игр.
Статистические методы обнаружения вторжений используют хорошо зарекомендовавший себя аппарат математической статистики к поведению субъектов анализируемой системы. Вначале для всех субъектов формируются статистические профили. Составными элементами такого профиля могут быть различные параметры, например, общий трафик в
123
Известия ТулГУ. Технические науки. 2016. Вып. 11. Ч. 1
единицу времени, количество отказов в обслуживании, отношение входящего трафика к исходящему, количество уникальных запросов к системе и др. Любое отклонение используемого профиля от эталонного считается нарушением безопасности. Основными недостатками данного подхода являются следующие моменты. Во-первых, системы обнаружения вторжений на основе статистических методов не чувствительны к порядку следования событий в защищаемой системе: в некоторых ситуациях одни и те же события в зависимости от порядка их следования могут быть характерны для аномальной или нормальной деятельности. Во-вторых, в некоторых случаях бывает трудно задать пороговые значения отслеживаемых характеристик для идентификации аномальной деятельности. Занижение порога приводит к ложному срабатыванию, а завышение - к пропуску вторжений. Кроме того, часто атакующая сторона использует индивидуальные подходы для каждой системы защиты, что делает использование статистических методов менее эффективными [1, 5].
Любую систему обработки информации, состоящую из различных аппаратных и программных средств, можно рассматривать как уникальный комплекс со своими особенностями. Именно это является объяснением возможности пропуска специфичных для защищаемой системы вторжений теми системами обнаружения вторжений, которые используют один и тот же набор параметров оценки. Следовательно, более предпочтительным решением будет определение необходимых параметров мониторинга в процессе работы системы. Трудность эффективного динамического формирования параметров наблюдения состоит в том, что размер области поиска экспоненциально зависит от мощности начального множества наблюдаемых параметров. Для формирования множества наблюдаемых параметров в системах обнаружения вторжений могут использоваться различные интеллектуальные методы.
Многие исследователи предлагают использовать в качестве математической основы при построении и анализе систем защиты информации аппарат теории игр. Теория игр является формальным подходом, предназначенным для анализа взаимодействий между несколькими участниками процесса, имеющими разные интересы и принимающими решения. В любой системе защиты информации предполагаются две стороны: сторона нападения и сторона защиты (система защиты информации), имеющие противоположные интересы. В работе [6] предлагается использовать математический аппарат теории игр для решения задачи выбора средств защиты от несанкционированного доступа к информации в автоматизированной системе. Там же выполнена математическая постановка задачи в виде задачи линейного программирования с булевыми переменными. В математической постановке введен показатель стоимости средств защиты. Ограничения задачи учитывают требования классов защищенности от несанкционированного доступа в автоматизированных системах.
В [7] проводится обзор теоретико-игровых методов, используемых при решении задач информационной безопасности. В работе рассматривается подход к проектированию систем обнаружения вторжений с использованием математического аппарата матричных игр для двух игроков. В предлагаемой модели учитывается стоимость системных ресурсов для организации защиты.
В работе [8] рассматриваются возможности использования многошаговых игр с неполной информацией при построении систем защиты от Бо8 атак. Предлагается представить задачу в виде игры двух сторон: обороняющейся (А) и атакующей (В). Задачей обороняющейся стороны является минимизация собственных потерь вследствие действий атакующей стороны. Задача стороны В - получение максимальной прибыли. В статье указывается, что главной особенностью такой игры является то, что в качестве стратегий используются функции, описывающие поведение сторон в краткосрочной перспективе (под краткосрочной перспективой понимается такой промежуток времени, в котором поведение участников игры можно представить детерминировано). Множество функций предлагается подбирать для каждой задачи индивидуально, исходя из статистических данных, внешних ограничений и здравого смысла.
При анализе вопросов защиты от различных угроз безопасности целесообразно рассматривать действия двух сторон: стороны защиты (информационной системы) и стороны нарушителя. В качестве нарушителя можно рассматривать всю совокупность угроз безопасности: действия отдельных лиц, преследующих различные цели, крупномасштабные спланированные атаки, а также случайные воздействия на систему. Подобные модели, когда существуют две или более противоборствующие стороны типичны для теории игр. Если известны варианты действий (стратегии) каждой из сторон, а также выигрыш (или проигрыш) от каждого из вариантов действий, то имеется возможность сформулировать математическую модель ситуации в виде модели бескоалиционной антагонистической игры (например, матричной). На основе сформулированной задачи можно получить оптимальные стратегии стороны нападения и стороны защиты, требующие минимума ресурсов.
Рассмотрим взаимодействие системы обнаружения вторжений и атакующего как бескоалиционную конечную игру. Пусть сторона защиты А и нарушитель В имеют конечное число стратегий пА и пВ, что соответствует реальности, так как сторона защиты всегда имеет ограничение по числу возможных вариантов реагирования, а сторона нападения по числу вариантов организации атаки. Например, в работе [7] для стороны защиты предлагается использовать стратегии {«игнорировать подозрительную активность», «усилить мониторинг»}, а для стороны нападения можно рассматривать множество стратегий {«завершить атаку», «продолжить без
паузы», «сделать паузу в атаке»}. Набор стратегий игроков = (¿а , ¿в), ¿а е Б а, ¿в е , называется ситуацией. Функции wA и wB выигрышей игроков определены на множестве ситуаций £ = Б а х Бв.
Решением бескоалиционной игры являются ситуации равновесия, но не обязательно в чистых стратегиях. Как известно, каждая конечная антагонистическая игра имеет хотя бы одну ситуацию равновесия в смешанных стратегиях. Смешанные стратегии при анализе систем защиты информации имеет смысл рассматривать при допущении, что работа системы продолжается значительное время, то есть итерации атаки и защиты повторяются многократно. При этом стратегии используются сторонами с некоторой недетерминированной закономерностью и затраты/доходы накапливаются с течением времени. Смешанной стратегией игроков А и В будем называть полный набор вероятностей применения их чистых стратегий:
РА = \раъPA2,..., РАпа } рв = \рвъPB2,..., РВпв }.
В бескоалиционной игре каждый игрок использует свои чистые стратегии независимо от другого участника процесса, поэтому в смешанной ситуации р = {Ра , Рв} вероятность р(Я) появления ситуации я = (яа , яв) равна произведению вероятностей использования обоими игроками своих чистых стратегий, то есть
Р(я) = Р(Яа ,яв) = РА,яа ■ Рв,яв .
Найдем средний выигрыш (проигрыш) игроков. В общем случае математическое ожидание выигрыша игрока А в смешанной ситуации р = {Ра ,Рв } определяется следующим образом:
WA (Р) = wA (рА, Рв ) = X wA (я)Р(= X X wA (я2) ' Ра,яа ' Рв,зв ,
где Ба, Бв - множества возможных ситуаций игроков А и В соответственно; wA - функция выигрыша (а на самом деле - проигрыша или расходов) системы защиты информации, если система защиты информации выбрала стратегию я1, а нарушитель - стратегию я2.
Выигрыш игрока В (нарушителя системы защиты информации) в общем случае определяется аналогично.
Каким образом можно определить выигрыши игроков в данном случае? Система обнаружения вторжений Б в каждый момент времени наблюдает множество параметров МБ с помощью сенсоров. Каждую атаку можно представить в виде последовательности итераций. После каждого шага система обнаружения вторжений пытается «предсказать» следующие шаги нарушителя. Каждый шаг нарушителя порождает некоторый вид активности, который обнаруживается датчиками системы. Если блок анализа распознает активность как подозрительную, множество базовых наблюдаемых параметров МБ должно быть расширено. Пусть множество допол-
нительных параметров наблюдения будет доп = {х1, Х2,..., хп }, а стоимость дополнительных ресурсов, затрачиваемых на их наблюдение в течение времени ? - СА(?). Предположим, затраты на наблюдение прямо пропорциональны времени наблюдения. Если мониторинг расширенного множества параметров проводится в течение времени 1;т, то стоимость дополнительных затрат на наблюдение будет
п
СА ) = X с1*ш ,
I=1
где п - количество дополнительных параметров наблюдения, с - затраты на мониторинг 1-го параметра. При принятии решения игнорировать возможную атаку система защиты информации не несет затрат на дополнительный мониторинг.
Оценим затраты нарушителя системы защиты информации. В случае принятия решения о прекращении атаки нарушитель не несет дополнительных затрат, а в случае принятия решения о продолжении атаки затраты атакующей стороны зависят от количества к генерируемых запросов к защищаемой системе: С в = 8к, где g - стоимость генерации одного запроса.
В случае успешной атаки система защиты информации несет убыт-
* *
ки с а , а нарушитель получает выигрыш с в .
Затраты системы защиты информации при реализации каждой из
возможных стратегий складываются из затрат на организацию защиты
*
С а (^) и убытков от возможных нарушений безопасности с а . Аналогично
выигрыш нарушителя складывается из выигрыша от нарушения работы
*
системы защиты информации св и из затрат на проведение атак С в.
Для рассматриваемой системы обнаружения вторжений предполагается, что с увеличением дополнительных параметров наблюдения возрастает вероятность верного определения атаки. Однако определение точной зависимости успешного обнаружения атаки от количества и набора параметров мониторинга, а также от времени наблюдения требует экспериментального исследования для каждого типа систем защиты информации.
Как уже отмечалось, каждая конечная бескоалиционная игра имеет хотя бы одну ситуацию равновесия в смешанных стратегиях. Ситуацию равновесия можно найти стандартными методами теории игр, описанными, например в [9].
Хотелось бы отметить некоторые особенности использования данной методики применительно к системам защиты информации.
Прежде всего, выигрыши игроков в смешанной ситуации были определены равными математическим ожиданиям их выигрышей. Это предполагает, что игроки являются нейтральными к риску при многократном
127
повторении игровой ситуации. Однако в случае рассмотрения систем защиты информации это не совсем оправдано. Если нарушителя можно считать нейтральным к риску участником игры, то сторону защиты - скорее всего, нет. Даже однократное нарушение безопасности защищаемой системы может быть критичным для нее, выводя из работоспособного состояния на длительное время.
Во-вторых, модель может использовать те или иные данные в качестве входных параметров. При этом возможности получения различных данных могут быть задачами разной степени сложности. Так, например, если модель использует в качестве входных параметров характеристики угроз, средств защиты, уязвимостей, барьеров и т.д., то оценить все указанные характеристики и определить взаимосвязи между ними достаточно сложно, что осложнит практическое применение модели в системе обнаружения вторжений.
Далее, известно, что в обнаружении сетевых вторжений очень значительную роль играет множество параметров оценки. Поэтому в обнаружении аномалий одной из главных задач является выбор оптимального множества параметров оценки, что невозможно выполнить методами теории игр. Поэтому целесообразно применять различные математические методы при построении систем защиты информации, в частности, систем обнаружения вторжений.
В целом, математический аппарат теории игр позволяет проводить анализ задач с повторяющейся антагонистической природой, что является типичным для задач защиты информации. Предлагаемые методы дают возможность выбрать на начальном этапе стратегии действий в процессе работы системы обнаружения вторжений и снизить вычислительные затраты на обработку данных в системе защиты информации.
Данная работа поддержана грантом РФФИ №16-07-01008 (Ц2115.1
ГРФ).
Список литературы
1. Корниенко А. А., Слюсаренко И.М. Системы и методы обнаружения вторжений: современное состояние и направления совершенствования [Электронный ресурс]. Режим доступа: URL: http://citforum.ru/security/ internet/ids overview (дата обращения 2.10.2016).
2. Новый подход к защите информации - системы обнаружения компьютерных угроз [Электронный ресурс]. Режим доступа: URL: http://www.ietinfo.ru/article/ib/novyi-podkhod-k-zaschite-informatsii-sistemy-obnaruzheniya-kompyuternykh (дата обращения 1.10.2016).
3. Технологи обнаружения атак [Электронный ресурс]. Режим доступа: URL: http://ypn.ru/448/intrusion-detection-technologies (дата обращения 1.10.2016).
4. Чибиров М.О.. Об одной проблеме, возникающей при использовании теории игр в области защиты информации. M.: Проблемы информационной безопасности в системе высшей школы, 2013.
5. Никишин М.С., Середин О.С., Сычугов А. А. Идентификация потенциально опасных клиентских запросов на основе многоклассового распознавания образов // Интеллектуализация обработки информации: 10-я Международная конференция: тезисы докладов. Греция, о. Крит, 4 - 11 октября 2014 г. М.: Торус Пресс, 2014. С. 232
6. Быков А.Ю., Панфилов Ф.А., Шмырев Д.В. Задача выбора средств защиты в автоматизированных системах с учетом классов защищенности от несанкционированного доступа к информации // Вестник МГТУ им. Н.Э. Баумана. Сер. "Приборостроение". 2012. С. 193 - 199.
7. Лаврентьев А.В., Зязин В.П. О применении методов теории игр для решения задач компьютерной безопасности // Безопасность информационных технологий. 2013. № 3. С. 19 - 24.
8. Руднев Д.О., Сычугов А.А. Задача автоматической генерации сигнатур для систем противодействия вторжениям в распределенных информационных системах // Известия Тульского государственного университета. Технические науки. Тула: Изд-во ТулГУ, 2015. Вып. 7. С. 174 -181.
9. Писарук Н.Н. Введение в теорию игр. Минск: БГУ, 2015.
Басалова Галина Валерьевна, канд. техн. наук, доц., galina hasalova a mail.ru, Россия, Тула, Тульский государственный университет,
Сычугов Алексей Алексеевич, канд. техн. наук, доц., xru2003a list.ru, Россия, Тула, Тульский государственный университет
APPLICATION OF METHODS OF GAME THEORY FOR THE CHOICE OPTIMIZATION OF MEANS OF INFORMA TION PROTECTION
G. V. Basalova, А.А. Sychugov
The article analyzes the possibility of applying the methods of game theory to optimize the choice of means of information protection. The proposed approach will effectively spend resources of the system and choose the most suitable (effective) means of protection in each time interval.
Key words: information security, network attacks, intrusion detection tools, game theory, antagonistic game.
Basalova Galina Valerievna, candidate of technical sciences, docent, galina hhasalovaa mail.ru, Russia, Tula, Tula State University,
Sychugov Alexey Alexeevich, candidate of technical sciences, docent, xru2003a list.ru, Russia, Tula, Tula State University
