Способ оценки защищенности автоматизированной информационной системы специального назначения от ББо8-атак на основе теоретико-
эмпирического подхода
О.В. Петрова, И.Д. Королев, Д.М. Крюков, В.Л. Колесников
Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М.Штеменко
Аннотация: Рассматривается модель, реализующая способ оценки защищенности автоматизированной информационной системы специального назначения, учитывающая в качестве эмпирической составляющей не только интенсивность нагрузки на систему, но и количество каналов как средство защиты информации от DDoS-атак на основе объединения двух подходов к оценке защищенности. Для построения модели применяется переход от теоретической модели с использованием эмпирических состояний и непрерывным временем к модели с дискретным временем. Использование предложенной модели оценки защищенности автоматизированной информационной системы специального назначения позволяет применять как эмпирические значения, полученные в результате измерений или моделирования, так и теоретическую базу для моделирования средств защиты информации в условиях воздействия DDoS-атак с учетом их характеристик, которые будут отражаться функцией дохода и выбором оптимального режима функционирования автоматизированной информационной системы специального назначения в дискретные моменты времени. При синтезе двух моделей был устранен недостаток статичности характера оценки защищенности автоматизированной информационной системы специального назначения, учтена интенсивность компьютерных атак типа DDoS, которая динамично меняет как параметры, оценивающие средства защиты, так и вероятности пребывания системы в критических состояниях. Ключевые слова: автоматизированная система, моделирование, оценка защищенности, система массового обслуживания, вероятностная оценка, DDoS-атака.
Рассмотрим модель оценки защищенности автоматизированной информационной системы специального назначения (далее АИС СН) в условиях воздействия DDoS-атак, которая обладает основным защищенным каналом обработки заявок и одним (двумя) запасным [1,2]. Оценка защищенности вычисляется через показатели времени восстановления АИС СН после осуществления DDoS-атак. Модель оценки защищенности АИС СН от DDoS-атак с одним резервным каналом представлена графом состояний на рис. 1, где Х0 - свободны все каналы; Х] - занят первый канал; Х2 - заняты оба канала.
и
Я
X
Я
Мо ^-М
Рис. 1 - Модель оценки защищенности АИС СН с одним резервным каналом
Система алгебраических уравнений, описывающих вероятности пребывания системы в рассматриваемых состояниях для стационарного режима, имеет следующий вид [1, 3]:
'0 = - РоЯ + Р, Ао, 0 = - Р (Я + Мо) + РгМ + РоЯ,
0 = - А + Д Я,
2
£ Р = 1,
к=0
где р - вероятность пребывания системы в состоянии Х0, р -в состоянии X, Р -в состоянии Х2, вычисляемые по формулам (1 - 3)[1, 3]:
ММо
Ро =
Р =
Рг =
ААо + А\Я + Я М1Я
ММ + М\Я + Я2 Я2
(1) (2) (3)
ММ + М\Я + Я
Для оценки защищенности АИС СН с одни резервным каналом в дискретные моменты времени выделяются два основных уровня, представленных на рис. 2: защищенный уровень, соответствующий состоянию системы Б1={Х0, X}, незащищенный уровень Б2={Х2}, или же,
Б1={Xо} и Б2={Хх, Xг}:
<
Рис. 2 - Процесс разбиения на состояния 8] и Б2 модели оценки защищенности АИС СН с одним резервным каналом Тогда в определенные моменты времени АИС СН может находиться в одном из двух состояний 8] или 82, которые формируют несовместные события, представленные на рис. 3:
Г у у Р22
Рис. 3 - Модель оценки защищенности АИС СН с резервными каналами с проверкой в дискретные моменты времени Для оценки защищенности АИС СН с резервными каналами с проверкой в дискретные моменты времени обозначим: через ри -вероятность того, что система останется в состоянии Б1 (защищенном состоянии), р12 - вероятность того, что система из состояния Б1 перейдет в состояние 82, р21 - вероятность того, что система перейдет из состояния Б2 в состояние 8], а р22 - вероятность того, что система останется в состоянии Б2 (незащищенном состоянии).
Предположим, что в любой период времени, когда АИС СН находится в защищенном состоянии, мы получаем «доход» за счет того, что не будет затрат времени на восстановление и, следовательно, система будет это время работать, за период до очередной проверки. Под данным доходом будем понимать число, пропорциональное количеству времени с коэффициентом
и
больше единицы между самими периодами проверки. В указанных предположениях, для данной системы рассмотрим два случая:
1. /о ))/. При этом восстановление занимает ^ часов, 10> п- В этом случае существует две альтернативы: первая Б1={Хо, Х1} и Б2={Х2}, тогда Рп=ро + Р1, Р12=Р; вторая Б]={Xо} и Б2={Х1, X2}, где р22=Р1 + Рг, р21=Ро.
/0 <</. При этом восстановление занимает 12 часов, 10>12Н1. В этом случае, также существует две альтернативы: первая Б1={Х0} и Б2={Х1, Х2}, тогда ри=Ро, Р12 = (1 - Рп) = Р + Р; вторая Б]={Хо, Х1} и Б2={Х2}, тогда Р22=Р, Р=(1 - Р22) = Ро + Р.
Таким образом, существуют два состояния, 1 и 2, и два решения, зависящие от значения и с разными временными показателями восстановления системы - значениями дохода в случае перехода ее в незащищенное состояние. Матрицы данной модели представлены далее:
Р(/)= " Р11 _!" Р22 1 - Р11" Р22 _ = " Ро + Р1 _ Ро Р2 " Р1+р _ , г (/) = " 'о " _
Р( g)= Р11 _!" Р22 1 - Р11 Р22 _ = " Ро _ Ро + Р Р1+Р2" Р _ , г(g) = _— _
где Р(/) - матрица вероятностей перехода системы в состояния Б] и Б2 для случая, когда /о)) /; Р(g) - матрица вероятностей перехода системы в состояния Б1 и Б2 для случая, когда /о <</; г(/) - вектор временных показателей дохода системы при переходе из состояний Б1 и Б2 при /о)) /; г^) - вектор временных показателей на восстановления системы из состояний Б1 и Б2 при /о « /.
Модели оценки защищенности АИС СН при массированном воздействии ВБоБ-атак с двумя резервными каналами соответствует граф состояний, представленный на рис. 4 [2]:
и
Л
л
X
л
№ —^ М ^—№
Рис. 4 - Модель оценки защищенности АИС СН с двумя резервными
каналами
Модель, представленная на рисунке 4, учитывает следующее допущение - все каналы в системе включаются и освобождаются последовательно. Тогда определим состояния системы: Х0 - свободны все каналы; Х] - занят первый (основной) канал; Х2 заняты первые 2 канала (основной и первый резервный); Х3 - заняты все 3 канала (основной и два резервных) [2].
Система алгебраических уравнений, описывающая вероятности нахождения данной АИС СН в рассматриваемых состояниях для стационарного режима функционирования имеет следующий вид [2, 3]:
0 = - р Л + р м
0'
0 = -^(Л + Мо) + РгМ + РоЛ,
о = - р (Л+м )+ рл + р м ,
о = - Р3М2 + Р2Л,
3=0 р = 1
где р - вероятность нахождения системы в состоянии Х0; р -вероятность пребывания системы в состоянии X; р - вероятность пребывания системы в состоянии Х2; р - вероятность пребывания системы в состоянии Х3, которые вычисляем по формулам (4 - 7) [2, 3];
М0М1М2
ро =
р =
МММ + ЛММ + Л№2 + Л '
__
М0М1М2 + ЛММ + + Л
(4)
(5)
и
Р2 =-лЛ/^-Г, (6)
/о//2 + Л//2 + Л /2 + Л
л3
Рз = п 71 7Т ' (7)
/о// + Л// + Л /2 + Л
Для оценки защищенности АИС СН с двумя резервными каналами в дискретные моменты времени также выделяются два основных уровня: защищенный уровень, соответствующий состоянию системы Б1={Х0, Х, Х2} и незащищенный уровень Б2={Х3}, или же Б1={Хо} и Б2={Х1, Х2,Х3}. Тогда в определенные моменты времени АИС СН может находиться в одном из двух состояний Б1 или Б2. (см. рис. 3).
Для оценки защищенности АИС СН с двумя резервными каналами с проверкой в дискретные моменты времени обозначим: Р - вероятность того, что система останется в состоянии Б1 (защищенном состоянии), р12 -вероятность того, что система из состояния Б1 перейдет в состояние Б2, Р -вероятность того, что система перейдет из состояния Б2 в состояние Б1, и Р -вероятность того, что система останется в состоянии Б2 (незащищенном состоянии).
Предположим, что аналогично модели оценки защищенности АИС СН с одним резервным каналом, в любой момент времени, когда система находится в защищенном состоянии, будем считать, что получаем «доход» t0 за период между проверками [4-6]. В указанных предположениях, для данной системы рассмотрим два случая:
1. /)) /. При этом восстановление системы будет занимать t1 часов, t0>t1. В этом случае первая альтернатива состоит в том, что Б1={Хо, Х1, Х2} и Б2={Х3}, тогда Рп = Ро + Р + Р2, р12 = (1 - рхх); вторая альтернатива состоит в том, что Б]={Хо}, а Б2={Х1, Х2, Хз}, тогда р22 = Р + Рг + Р3, р21 = (1 -Р22).
М Инженерный вестник Дона, №1 (2021) ivdon.ru/ru/magazine/arcliive/nly2021/6779
2. . При этом восстановление занимает t2 часов, t0> t2>tj. В этом
случае первая альтернатива состоит в том, что Si={X0}, а S2={X, X>, X3}, тогда pu= ро, P12 = (1 - P11); а вторая Sj={ X0, X, X} и S2={ X}, P22 = рз,
P21= (1 - P22).
Таким образом, существуют два состояния, 1 и 2, и два решения, зависящие от значения ^ и с разными временными показателями восстановления системы в случае перехода ее в незащищенное состояние [7, 8]. Матрицы для данной модели представлены ниже:
P(f) =
P11 1 - P11
1 _ P22 Р22
Po + P + P2 P
P3
P + P2 + P3
, Г(f) =
-и
P( g)=
P11 1 - P11
1 _ P22 P22
P P + P + P
P 0 ^ 1 2 ^ P 3
1 - P P
1 P 3 P 3
> К g) =
-u
где р(/) - матрица вероятностей перехода системы в состояния и 82 для случая, когда м ))м2 ; р^) - матрица вероятностей перехода системы в состояния Б] и Б2 для случая, когда м «М2; г(I) - вектор временных показателей дохода системы при переходе из состояний 8] и Б2, при м ))М; г- вектор временных показателей восстановления системы - времени перехода из состояний Б] и Б2 при м (<№. Таким образом, средний доход, при различных альтернативных возможностях пребывания системы - _/, можно рассчитать по формуле (8), с учетом формирования стратегий г.
j=1
(8)
где гг. - координаты вектора временных показателей на восстановления
системы при переходе из состояния Б] и Б2 [4, 9, 10]. Рассмотрим пример оценки защищенности АИС СН с одним резервным каналом каналом с проверкой в дискретные моменты времени. Исходные данные для расчета характеристик представлены в таблице № 1.
2
k
Таблица № 1
Оценка защищенности АИС СН при работе основного и первого резервного
каналов обработки заявок
Оценка защищенности Интенсивно сть входящего потока Интенсивно сть обработки Ро Р] Р2
1-й канал 2-й канал
Низкая 0.3 0.45 0.15 0,333 0,222 0,445
Низкая 0.3 0.35 0.45 0,412 0,353 0,235
Интенсивность входящего потока Л=0,3, интенсивность обработки заявки системой на основном канале ^=0,45 и ^2=0,15. Допустим, что в этих условиях, если система останется в состоянии Б] система проработает промежуток времени to=60 минут, а если перейдет в состояние 52, то потребуется ее восстановление с временными затратами равными ^=45 минут. Рассчитаем значение вероятностей нахождения системы в состояниях Х0, Х], Х2 в соответствии с (1 - 3).
Используя предложенную модель, с учетом того, что /0)) /, получаем следующие значения вероятностей: р]]=Р0+Р]=0,333, а в состоянии р22=Р]+Р2=0,667. Тогда матрицы данной системы будут иметь вид:
"0.555 0.445" " 60 "
Р(/) = 0.333 0.667 , ^ (/) = - 45
Если интенсивность обработки заявки системой на основном канале ^=0,35 и ^2=0,45, и, система останется в состоянии 5], то система гарантированно не откажет в течение времени t0=50 минут, а если перейдет в состояние 52, то потребуется ее восстановление с временными затратами равными 1о=15 минут. Тогда, в соответствии с (1 - 3):
0,35 • 0,45
Р =-
0,35 • 0,45 + 0,45 • 0,3 + 0,32
0,412;
и
Р =_045 • °,3_« 0 3531 0,35 • 0,45 + 0,45 • 0,3 + 0,32 '
0,32
Р =-,-- - 0,235,
0,35 • 0,45 + 0,45 • 0,3 + 0,32 с учетом того, что /л0 «м, получаем следующие значения вероятностей: Р22=Ро=0,412, а в состоянии р22=Р2=0,235. Тогда матрицы данной системы будут иметь вид:
"0.412 0.588" " 60 "
Р( Е) = 0.765 0.235 , ' (Е) = -15
Пример расчета представлен в таблице № 2.
Таблица № 2
Средний доход системы при различных альтернативных возможностях с
учетом формирования стратегий
1 } р£ А гк 'п гк ' 2 2 гк =У Ркгк I ^ Г I] I] ]=1
1 1 0,45 0,15 60 -45 20,25
2
2 1 0,35 0,45 50 -15 10,825
Вывод: использование предложенной модели оценки защищенности АИС СН позволяет применять как эмпирические значения, полученные в результате измерений или моделирования, так и теоретическую базу для моделирования средств защиты информации в условиях воздействия ВБоБ-атак с учетом их характеристик, которые будут отражаться функцией дохода и выбором оптимального режима функционирования АИС СН в дискретные моменты времени.
При синтезе двух моделей был устранен недостаток статичности характера оценки защищенности АИС СН, учтена интенсивность компьютерных атак типа ВБоБ, которая динамично меняет как параметры,
оценивающие средства защиты, так и вероятности пребывания системы в критических состояниях.
Литература
1. Королев И.Д., Петрова О.В., Овчаренко И.О. Моделирование системы защиты многоканальных автоматизированных комплексов // Вестник Российского нового университета. 2019. С. 3-10.
2. Королев И.Д., Петрова О.В., Овчаренко И.О. Модель системы защиты многоканальных автоматизированных комплексов от DDoS-атак с учетом освобождения по мере обработки каналов // Инженерный вестник Дона, 2019, № 7. URL:ivdon.ru/ru/magazine/archive/N7y2019/6080.
3. Вентцель Е.С., Овчаров Л.А. Теория вероятностей. 5-е изд. М.: ЮСТИЦИЯ, 2018. С. 596-628.
4. Майн Х., Осаки С. Марковские процессы принятия решений, под редакцией Бусленко Н.П. М.: Главная редакция физико-математической литературы издательства «Наука», 1977. 176 с.
5. Суханов А.И., Оценки защищенности информационных систем // Журнал научных публикаций аспирантов и докторантов, 2008. URL: jurnal.org/articles/2008/inf33.html (дата обращения: 09.03.2020).
6. Mine, H. and Sh. Osaki, 1970. Markovian Decision Processes. New York: American Elsevier Publishing Company Inc.
7. Privault, N., 2018. Understanding Marcov Chains. Examples and Applications. Springer.
8. Cobb, G.W., 2018. What is Markov Chain Monte Carlo and why it Matters. MCMC.
9. Metcalfe, A., D. Green, T. Greenfield and M. Mansor, 2019. Statistics in Engineering. CRC Press.
10. Xin-She Yang and Xing-Shi He, 2019. Mathematical Foundations of Naturelnspired Algorithms. Springer.
М Инженерный вестник Дона, №1 (2021) ivdon.ru/ru/magazine/arcliive/nly2021/6779
References
1. Korolev I.D., Petrova O.V., Ovcharenko I.O., Vestnik Rossiyskogo novogo universiteta. 2019.
2. Korolev I.D., Petrova O.V., Ovcharenko I.O., Inzhenernyj vestnik Dona (Rus), 2019, № 7 URL: ivdon.ru/ru/magazine/archive/N7y2019/6080.
3. Venttsel' YE.S., Ovcharov L.A. Teoriya veroyatnostey. Moscow: YUSTITSIYA, 2018. p. 596-628.
4. Mayn KH., Osaki S. Markovskiye protsessy prinyatiya resheniy [Markovian decision processes], pod redaktsiyey Buslenko N.P. M.: Glavnaya redaktsiya fiziko-matematicheskoy literatury izdatel'stva «NaukA», 1977. 176 p.
5. Sukhanov A.I., Zhurnal nauchnykh publikatsiy aspirantov i doktorantov, 2008. URL: jurnal.org/articles/2008/inf33.html
6. Mine, H. and Sh. Osaki, 1970. Markovian Decision Processes. New York: American Elsevier Publishing Company Inc.
7. Privault, N., 2018. Understanding Marcov Chains. Examples and Applications. Springer.
8. Cobb, G.W., 2018. What is Markov Chain Monte Carlo and why it Matters. MCMC.
9. Metcalfe, A., D. Green, T. Greenfield and M. Mansor, 2019. Statistics in Engineering. CRC Press.
10. Xin-She Yang and Xing-Shi He, 2019. Mathematical Foundations of NatureInspired Algorithms. Springer.