CC BY
59
А.В. Данеев, А.А. Воробьев, Д.М. Лебедев,
доктор технических наук, доктор технических наук, НПО «Орион»
профессор, ВСИМВД старший научный сотруд-
России ник, НПО « Орион»
ПРИМЕНЕНИЕ ТЕОРЕТИКО-ИГРОВЫХ МОДЕЛЕЙ ДЛЯ ИССЛЕДОВАНИЯ КАЧЕСТВА ФУНКЦИОНИРОВАНИЯ СЛОЖНЫХ ОРГАНИЗАЦИОННО-ТЕХНИЧЕСКИХ СИСТЕМ
APPLICATION OF THEORETICAL GAME MODELS FOR INVESTIGATION OF FUNCTIONING QUALITY OF COMPLEX ORGANIZING TECHNICAL SYSTEMS
Рассмотрены общие подходы для исследования качества функционирования сложных организационно-технических систем на основе применения моделей многошаговых игр с полной и неполной информацией. Разработаны рекомендации по практическому применению теоретико-игровых моделей в процессе выявления уязвимых мест сложных систем и формирования решений по организации защиты обрабатываемой в них информации.
General approaches on investigation of functioning quality of complex organizing technical systems using application models of multi-step games with whole and non-whole information are considered. There are formulated recommendations about practical applications of game-theoretical models in the process investigation process of weak sides of complex systems and about forming decisions for organization defense of information.
Широкое внедрение информационных технологий во все сферы жизнедеятельности экономически развитых государств и сопутствующая ему повсеместная интеграция средств вычислительной техники определили существенную зависимость важнейших процессов в экономической, политической, промышленной, военной, социальной деятельности от качества функционирования сложных организационно-технических систем (СОТС). Современные СОТС широко используются также в существующей информационной инфраструктуре Российской Федерации и в значительной степени влияют на обеспечение жизнедеятельности и формирование условий для дальнейшего развития государства. В зависимости от реализации конкретных информационных технологий СОТС представляют собой достаточно жестко определенную совокупность программных, аппаратных и организационных (информационных, математических, лингвистических и других) средств и включают :
- информационные ресурсы, содержащие информацию, необходимую для реализации тех или иных основных процессов;
- средства и системы информатизации (сети и системы), программные средства (операционные системы, системы управления базами данных и др.), автоматизированные системы управления, системы связи и передачи данных, осуществляющие прием, обработку, хранение и передачу информации, их информативные физические поля;
- технические средства и системы, обрабатывающие информацию, а также сами помещения, предназначенные для обработки такой информации;
- персонал, обеспечивающий деятельность СОТС;
- систему нормативно-технических документов, регламентирующих применение и функционирование сложных систем.
В то же время прогрессирующее усложнение СОТС, резко повышая возможности реализации основных государственных процессов, одновременно определяет их уязвимость от воздействия неблагоприятных факторов (НФ) самой различной природы. Для любой компоненты (ресурса) СОТС имеют место угрозы воздействия НФ, приводящих к нарушению штатного режима функционирования системы, а также нарушению конфиденциальности, целостности и доступности информации. В свою очередь, эти угрозы можно классифицировать на случайные и преднамеренные. Случайная (непреднамеренная) угроза имеет случайный характер появления. В отличие от этого преднамеренная угроза характеризуется скрытым, целенаправленным характером появления (инициализации) и, как правило, имеет средства маскировки в физической или информационно-программной среде. Основными НФ случайной природы являются:
- собственно факторы, вызванные природными бедствиями и катастрофами (пожары, наводнения и т. п.);
- сбои и отказы технических и программных средств, происходящие без участия персонала, обеспечивающего деятельность СОТС («надёжностные» сбои и отказы).
Проявление НФ случайной природы, как правило, приводит к нарушению функционирования технических и программных средств сложных систем или к потере информации. При этом в большинстве практических ситуаций возможно оперативное восстановление работоспособности СОТС. При возникновении НФ случайной природы не происходит преднамеренного хищения информации, циркулирующей в сложных системах, с целью её дальнейшего незаконного использования. В связи с этим возникающий ущерб является относительно небольшим и не приводит к последствиям, угрожающим жизнедеятельности государства.
Неблагоприятные факторы целенаправленного характера связаны с умышленной злонамеренной деятельностью обслуживающего персонала СОТС и лиц, не являющихся пользователями сложных систем (например, при реализации удаленного несанкционированного доступа). Реализация целенаправленных НФ способна привести к необратимым процессам в политической, экономической, промышленной, военной, социальной, экологической и других сферах деятельности государства. Хотя методы осуществления преднамеренных воздействий на СОТС достаточно хорошо известны, число способов их реализации неуклонно возрастает. Появляются специализированные инструментальные средства, обеспечивающие достаточно высокие оперативность и эффективность воздействий. Это, в свою очередь, значительно снижает требования к квалификации «злоумышленника» и, следовательно, является предпосылкой существенного роста количества несанкционированных воздействий на СОТС. В дальнейшем увеличение номенклатуры используемых программных и аппаратных платформ, интеграция достаточно разнородных вычислительных средств также может привести к росту числа неблагоприятных (информационных) воздействий на СОТС.
В связи с этим практически значимой становится задача обеспечения требуемого качества функционирования СОТС как при целенаправленном (умышленном) воздействии НФ, так и при проявлении природных НФ. Однако существенная разнородность архитектур современных СОТС, определяемая их целевым назначением, обусловила также многообразие применяемых аппаратных и программных средств, территориально распределенных на больших расстояниях и объединенных посредством коммуникационного оборудования. Данное обстоятельство существенно усложняет создание единых методических решений по обеспечению требуемого качества функционирования таких систем и определило выбор в качестве объекта исследования СОТС.
С позиций системного подхода, требуемое качество функционирования сложных систем должно обеспечиваться за счет синтеза и практического применения соответствующих алгоритмов управления. Построение этих алгоритмов, в свою очередь,
основано на формализации процессов функционирования СОТС в условиях воздействия НФ. Используемые для описания таких процессов аналитические модели должны учитывать связность воздействия НФ на сложную систему, а также неполноту информации о целях и возможностях участников конфликта.
В общем случае при условии конечности (в фиксированный момент времени) множества НФ возможно исследование качества функционирования СОТС с применением моделей, построенных на основе математических методов теории игр, теории графов, теории конечных автоматов с памятью, теории множеств, теории нейронных сетей и других. Для разработки достаточно универсальных и наглядных моделей, описывающих динамические конфликтные ситуации, наиболее целесообразным считается использование методов теории позиционных (для процессов с дискретным временем) или дифференциальных (если процесс является непрерывным во времени) игр, позволяющих исследовать общее правило нахождения оптимального решения [1, 2]. При этом задача нахождения целевого функционала, однозначно определяющего функции выигрыша участников конфликта, выходит за рамки моделирования и является самостоятельной задачей.
Рассмотрим в терминах теории позиционных (конечношаговых) игр общую идею построения моделей исследования защищенности СОТС при условии неполноты информации о последовательности реализации НФ. Пусть игра задана древовидным графом 0=(в, Г),
где О — конечное множество вершин; Г — отображение, ставящее в соответствие каждой точке оеО подмножество ГоеО.
Для двух игроков («Защита» и «Нападение») множество вершин О разбивается на множества очередности первого и второго игрока О1 и О2 соответственно, причем О1иО2=О, О1ПО2=0. Функции Р1(О) и Р2(О) являются функциями выигрыша. В ходе конфликта реализуется некоторая последовательность океО, определяющая путь в древовидном графе G, исходящий из начальной позиции о0 и достигающий одной из окончательных позиций, для которых Ро^ = 0 .
При полной информации о стратегиях поведения участников конфликта каждая сторона при совершении выбора в позиции о/еО1 (о/+1 еО2) уже знает эту позицию о/ (или о/+1), что позволяет восстановить все предшествующие позиции [2]. Определим
стратегию первого игрока как однозначное отображение р1', которое каждой вершине
12 о/еО ставит в соответствие некоторую вершину о/+1еО . Множество всех возможных
стратегий первого игрока обозначим р1, второго — р2. Упорядоченный набор (р1', р2'),
где р1'ер1, р2'ер2, называется ситуацией в игре. Любая ситуация (р1', р2') однозначно
определяет выигрыши в окончательных позициях Р1(О) и Р2(О).
В качестве примера рассмотрим следующую ситуацию (рис. 1). Пусть игрок 1 обеспечивает требуемое качество функционирования СОТС, а игрок 2 реализует множество НФ. Допустим, подыгра Г[11] означает установку пароля, Гр1] и Гр2] — попытку подбора пароля, Г[12], Г[13] — использование методов обнаружения подбора пароля, Грз], Гр4], Г[25] и Грв] — попытку изменения прав доступа. На графе игры наличие действия (средства) обозначим символом «+». Уже в таком упрощенном виде первый игрок имеет 2*2*2=8 стратегий, а второй — 26=64 стратегии. Нормализация игры позволяет свести ее к биматричной размерностью 8*64.
Рис. 1. Древовидный граф, описывающий конфликт «оборона — нападение» при известной последовательности реализации НФ
Для анализа игры применяется рекурсивная процедура построения абсолютного равновесия по Нэшу. При условии максимальной недоброжелательности сторон, соответствующем минимаксному критерию, первый игрок в Г[13] выберет первую стратегию с исходом Р1'(2.5)=6 и Р2'(2.5)=15. Решением игровой ситуации являются чистые стратегии сторон
р/*()=(2, 1, 1), р2*()=(1, 2, 1, 1, 2, 1)
с выигрышем
Р1(.)=6;
Р2()=15.
Таким образом, исследование конфликта с использованием теоретико-игровой модели с полной информацией показывает (для данной функции выигрыша), что при отсутствии оперативного реагирования по факту выявления подбора пароля (сравнительно малый выигрыш первой стороны) первому игроку целесообразно использовать парольную защиту и применять методы контроля использования средств подбора пароля в СОТС. Второму игроку выгодна реализация НФ, в частности в связи с низкой оперативностью ответных действий.
В практически значимых ситуациях конфликт типа «оборона — нападение» имеет гораздо более сложную природу. Это обусловлено, прежде всего, отсутствием достоверной информации о факте применения одной из сторон той или иной стратегии в известной вершине в заданный момент времени. В таком случае форма задания множества стратегий будет иной, определяющей конечношаговую игру с неполной информацией.
Пусть для рассмотренного ранее примера (см. рис. 1) стороны не имеют оперативной информации о результатах аудита. Подыгры Г[12] и Г[13] будут объединены в одно информационное множество (рис. 2), что означает факт их неразличимости. Размерность биматричной игры в этом случае уменьшится и составит 4*64. Это означает, что уменьшение информированности игроков о ситуациях в игре облегчает процесс принятия решения.
Рис. 2. Изменение информационных множеств при условии неполноты информации
о последовательности реализации НФ
Неоднозначность положения игрока в информационном множестве позволяет априорно рассчитать необходимую стратегию поведения в игре с неполной информацией. Такая стратегия поведения будет интерпретироваться как вероятность выбора альтернативы в каждом информационном множестве.
Для примера проведем анализ рассмотренной конфликтной ситуации на основе сведения ее к биматричной игре. Первый игрок делает первый ход, во время которого он может выбрать одну из двух стратегий. На третьем ходу первый игрок, не зная своего состояния в информационном множестве, может выбрать также только одну из двух стратегий (№1 и №2). Пусть запись 1[т1, т2] означает, что первый игрок выбрал на третьем ходу стратегию т1 при условии выбора на первом ходу стратегии т2. Всего первый игрок имеет 4 стратегии:
1[1, 1] — «т1=т2»;
1[1, 2] — «т1Фт2»;
1[2, 1] — «т1=ЪУ;
1[2, 2] — «т1 =2».
Пусть запись 11[п1, п2] означает, что второй игрок на втором ходу выбрал стратегию п1 при условии выбора первым игроком на первом ходу стратегии п2. На втором ходу второй игрок имеет 4 стратегии:
П[1, 1] — «п1=п2»;
П[1, 2] — «и1^п2»;
П[2, 1] — «^=1»;
П[2, 1] — «^=2».
Обозначим записью 11(п1, [п2, п3, п4]) состояние, когда второй игрок на четвертом ходу выбрал стратегию п1 при выполнении условий: первый игрок на первом ходу выбрал стратегию п2; второй игрок на втором ходу выбрал стратегию п3; первый игрок на третьем ходу выбрал стратегию п4.
Тогда к четвертому ходу второй игрок имеет 9 стратегий:
П(1, [1, 1, 1]) — «п1=п4 при п2=п3=1»;
П(2, [1, 1, 1]) — «п^щ при п2=п3=1»;
П(1, [1, 1, 2]) — «п1=1 при п2=п3=1»;
П(2, [1, 1, 2]) — «п1=2 при п2=п3=1»;
П[1, 2] — условие для двухходовой ситуации;
П(1, [2, 2, 1]) — «п1=п4 при п2=п3=2»;
П(2, [2, 2, 1]) — «п1Фп4 при п2=п3=2»; п(1, [2, 2, 2]) — «п1=1 при п2=п3=2»;
П(2, [2, 2, 2]) — «п1=2 при п2=п3=2».
Описывающая конфликт биматричная игра представлена в таблице. Решением игры в смешанных стратегиях является следующее:
Р11 (0,225)=(1, 1); Р12 (0,275)=(1, 2); р/(0,5)=(2, 1); г ()=(1, 2, 1, 1, 2, 1), с выигрышем Р1()=4,725; Р2()=15.
Форма задания биматричной игры, описывающей конфликт «оборона—нападение» с неполной информацией
Сторона «Защита»
1[1, 1] 1[1, 2] 1[2, 1] 1[2, 2]
Сторона «Нападение» 11(1, [1, 1, 1]) 4, 15 14, 0 4, 15 14, 0
11(2, [1, 1, 1]) 7, 0 3, 15 7, 0 3, 15
11(1, [1, 1, 2]) 4, 15 3, 15 4, 15 3, 15
11(2, [1, 1, 2]) 7, 0 14, 0 7, 0 14, 0
П[1, 2] 5, 0 9, 0 5, 0 9, 0
11(1, [2, 2, 1]) 6, 0 20, 0 20, 0 6, 0
11(2, [2, 2, 1]) 6, 18 6, 15 6, 15 6, 18
11(1, [2, 2, 2]) 6, 18 20, 0 20, 0 6, 18
11(2, [2, 2, 2]) 6, 0 6, 15 6, 15 6, 0
Таким образом, исход игры с неполной информацией оказывается менее благоприятным при снижении уровня информированности игрока (ранее первая сторона имела выигрыш Р1()=6).
В целом представленные в статье теоретико-игровые модели предназначены для исследования качества функционирования СОТС в случаях рассмотрения НФ как совокупности зависимых воздействий с известной (с полной информацией) или с неизвестной (с неполной информацией) последовательностью реализации. При этом в первом случае отсутствие оценочных значений «промежуточных» вершин древовидного графа определяет неоднозначность решения (парадокс Эрроу). В отличие от этого при использовании теоретико-игровых моделей с неполной информацией неоднозначность положения игрока в информационном множестве, включающем несколько позиций, позволяет заранее (до выполнения последовательности тех или иных ходов в игре) указать необходимую стратегию поведения. Достаточно очевидно, что сокрытие своих стратегий поведения от другого игрока и получение дополнительной информации о его возможностях приводят к гарантированному улучшению исхода конфликтной ситуации. Комбинированное практическое применение разработанных авторами моделей позволяет прогнозировать сценарии воздействия НФ на сложную систему, выявлять наиболее опасные из них и принимать рациональные решения о предотвращении воздействий.
ЛИТЕРАТУРА
1. Берзин Е. А. Оптимальное распределение ресурсов и элементы синтеза систем.
— М.: Советское радио, 1974. — 304 с.
2. Теория игр: учебное пособие для университетов / Л. А. Петросян [и др.]. — М.: Высшая школа, Книжный дом «Университет», 1998. — 304 с.
