Научная статья на тему 'Теоретико-игровая модель принятия решений по управлению рисками информационной безопасности'

Теоретико-игровая модель принятия решений по управлению рисками информационной безопасности Текст научной статьи по специальности «Математика»

CC BY
374
47
Поделиться
Область наук
Ключевые слова
РИСКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ / МЕРЫ ЗАЩИТЫ / ПУТЬ НАПАДЕНИЯ / БИМАТРИЧНАЯ ИГРА / РАВНОВЕСИЕ НЭША

Аннотация научной статьи по математике, автор научной работы — Лаврентьев Александр Владимирович, Зязин Валентин Петрович

В статье предложена модель управления рисками информационной безопасности, основанная на теоретико-игровом подходе к анализу противоборства между защищающейся стороной и злоумышленником. Описано множество равновесий Нэша, предполагающих оптимальное поведение участников, на основе чего предложен алгоритм принятия решений по управлению рисками информационной безопасности

Похожие темы научных работ по математике , автор научной работы — Лаврентьев Александр Владимирович, Зязин Валентин Петрович,

In this paper is proposed a model of information security risk management, based on game-theoretic approach to the analysis of the confrontation between defender and attacker. It describes the set of Nash equilibrium, involving the optimal behavior of the participants. From the results of the game was obtained decision making algorithm for managing information security risks.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Текст научной работы на тему «Теоретико-игровая модель принятия решений по управлению рисками информационной безопасности»

ЛАВРЕНТЬЕВ1 Александр Владимирович

ЗЯЗИН2 Валентин Петрович кандидат физ.-мат. наук, профессор

ТЕОРЕТИКО-ИГРОВАЯ МОДЕЛЬ ПРИНЯТИЯ РЕШЕНИЙ ПО УПРАВЛЕНИЮ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В статье предложена модель управления рисками информационной безопасности, основанная на теоретико-игровом подходе к анализу противоборства между защищающейся, стороной и злоумышленником.. Описано множество равновесий. Нэша, предполагающих оптимальное поведение участников, на основе чего предложен алгоритм, принятия решений по управлению рисками информационной безопасности.

Ключевые слова: риски информационной безопасности, меры, защиты, путь нападения, биматричная игра, равновесие Нэша.

In this paper is proposed a model of information, security risk management, based on game-theoretic approach to the analysis of the confrontation, between defender and. attacker. It describes the set of Nash equilibrium, involving the optimal behavior of the participants. From, the results of the game was obtained, decision making algorithm, for managing information security risks. Keywords: risk information, security, protection, measures, attack path, bimatrix game, Nash equilibrium..

Процесс противоборства между лицом, принимающим решения по управлению рисками информационной безопасности [1] (игрок 1), и нарушителем информационной безопасности (игрок 2) представлен в виде теоретико-игровой модели [5].

Полагаем, что есть непустые, конечные множества Р = и А = {а1,.,ат}, где А — множество путей нападения [3], а Р — множество мер безопасности [4, 9]. Игрок 1 выбирает один из элементов /с Р. Для нападения игрок 2 выбирает путь а1 с А. У каждого пути а1 с А есть стоимость нападения д(а) е М+ Очевидно, что множества Р и А можно рассматривать как множества стратегий игроков 1 и 2 соответственно. Дополним это множество А стратегией «Не нападать», которую обозначим а0. Выбор этой стратегии сводится к нулевой потере для защитника и нулевой выгоде для нападающего. Всякий раз, когда в игре используется путь нападения а и игрок 1 выбирает меру защиты /, он несет рисковую потерю Л(а. Следовательно, когда игроками выбрана пара стратегий (/ а), потеря первого игрока — Л/а, и чистая выгода [7] второго равна Ь1а — д(а).

Этот сценарий может быть смоделирован как биматричная игра с двумя игроками, где защитник и нападающий выби-

рают свои чистые стратегии / и а в непустых и конечных множествах Р и А соответственно (с |А| = т и |Р| = А). Для игроков матрицами выплат будут

H = [H I 0 ]и Q = [Q | 0 ],

(1)

где Н и О — матрицы размера №т; (Н,[Н]/а = Л/а) — неотрицательная матрица без нулевых строк (нулевая строка подразумевает отсутствие рисков для защитника и может быть исключена), и нет столбца в матрице О, который доминирует над всеми другими столбцами (наличие такого столбца означало бы однозначный выбор нападающего).

Q = н -

q(ai) q(a2) q(ai) q(a2)

q(ai) q(a2)

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

q(am)

q(am)

q(am)

(2)

«Последний» нулевой столбец в определении Н и О отражает нулевую потерю для защитника и нулевую выгоду для нападающего в случае, если последний выбирает «Не напа-

' - МГТУ МИРЭА, студент;2 - МГТУ МИРЭА, зам. зав. кафедрой.

дать». Далее для простоты будем обозначать эти матрицы Н и О.

Рассмотрим смешанные стратегии этой игры. Стратегией для защитника будет вероятностное распределение д:= (д, / е Р) на Р, и для нападающего вероятностное распределение (и(а), а е А^(а0}) на А^(а0}. Цель защитника состоит в том, чтобы минимизировать ожидаемую потерю

1 (' и )= X8/ Xй (а)к

/ ^

' /, а

(3)

=сопу(\,...,кы) + Жт+.

(5)

ф(Зн) = {уеЩ\уТх>1, ЧхеБн},

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

(6)

1. Ф ( ) = { х е К; |Нг > } .

2. Матрица Р — надлежащая, и Зя={хеЩ\?х>1к].

3. Ф ((Н )) = ^ .

(7)

(8) (9)

Применим это утверждение для решения следующей проблемы линейного программирования [8]:

Максимизировать х при условии Н х < Ьи х > 0,

(10)

в то время как нападающий пытается максимизировать ожидаемую выгоду

/ \

к(§'и) = Xм (а) X8fк(а - ■ (4)

а^Л ^ fsF У

Для простоты вектор-столбец из одних единиц длины |Р| = N будем обозначать 1Р, а аналогичный вектор-столбец длины |А| = т как 1А. Кроме того, запись е е Р, где Р — матрица, будет означать, что е принадлежит множеству строк матрицы Р. Многогранник БН, соответствующий матрице Н, в [2] определен как векторная сумма выпуклой оболочки ее строк сопу(к,..,^) и неотрицательного ортанта ПК™ .

Строка к матрицы Н называется несущественной, если она доминирует над выпуклой комбинацией других строк Н, иначе говорим, что к — существенная. Если все строки Н существенные, то матрица Н называется надлежащей. Множество существенных строк однозначно соответствует множеству экстремальных точек многогранника БН. Так как несущественные строки не важны для определения многогранника БН, то можно исключить их из матрицы Н и считать Н надлежащей.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

В работе [2] введено следующее определение. Определение 1. Блокатором Ф(БН) многогранника БН называется. многогранник

где Н — неотрицательная матрица и Ь — заданный неотрицательный вектор.

Лемма 1. Значение проблемы, линейного программирования, вида (10) больше 1, если и только если Ь принадлежит, многограннику БН, заданному матрицей Н. Доказательство:

Во-первых, заметим, что условие Слатера (достаточное условие сильной дуальности, т.е. эквивалентности решений основной и дуальной проблем выпуклой оптимизации) [6] удовлетворяется для положительного е. Тогда дуальная к (10) проблема формулируется в следующем виде:

Максимизировать ЬТу

(11)

при условии Ну > 1р и у > 0, Ограничения дуальной проблемы (11) задают множество точек | у е ]((( |Н.( > 1(. (. . равное многограннику Ф(БН) (см. (7)). Теперь, если Ь принадлежит многограннику БН, то для всех у е Ф(БН) выполняется Ьту > 1 (см. (8)).

Наоборот, если Ьту > 1 для любого у е Ф(БН), то Ь должна быть в Ф(Ф(БН)) (это легко проверить применением Утверждения 1 для многогранника Ф(БН) и его блокатора Ф(Ф(БН))), кроме того, Ф(Ф(БН)) = БН согласно Утверждению 1, следовательно, Ь е БН.

Поэтому значение дуальной проблемы больше 1. Теперь из-за сильной дуальности получаем, что значение основной проблемы также не меньше 1.

Далее Лемма 1 будет неоднократно использоваться для обоснования существования вероятностного распределения определенного вида, которое может быть получено путем нормализации решения проблемы линейного программирования вида (10).

Пусть БН — многогранник, соответствующий Н, а Ф(БН) — его блокатор. Из Утверждения 1 Ф(БН) — многогранник, соответствующий неотрицательной матрице Р, строки которой — вершины Ф (^л ( с МС . Из [2] известно, что Ф(БН) — векторная сумма выпуклой оболочки строк Р с положительным ортантом. БН — его блокатор согласно Утверждению 1, и

где у'х — скалярное произведение у и х.

Взаимосвязь многогранников и их блокаторов устанавливает следующее утверждение.

Утверждение 1. (Фалкерсон, 1971) Если матрица Н — надлежащая. и многогранник БН определен выражением. (5), и е1,..,ек — экстремальные точки блокатора Ф(БН), а Р — матрица, имеющая, эти точки в качестве строк, то

5н = {хеК;|Рх£1,}.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

(12)

Теперь, для строки е матрицы Р пишем е = (е(а), а е А), и пусть в(А) := е( а) ■ Отметим, что т.к. е(а) > 0 для всех а е А и е(А) > 0, то

еМ ( (а )

(аеЛ| -

распределение вероятностей на А, которое будем называть распределением е. Также определим, для каждого е е Р. / / \ \

, (13)

< \ V е(а)

h (е):= тт > ' ; h

/ EF

г(Л)

/ ,а

Н (е) - £ ^д ),

аеЛ е\Л)

(14)

где Ь(е) — минимальная потеря защитника, если нападаю-

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

щий выбрал цель согласно распределению

еМ

.(А)

. а е А

v(e) может рассматриваться как ожидаемая выгода нападения в соответствии с распределением е. В самом деле, если нападавший должен был выбрать путь для нападения согласно распределению

Аа)

' (А );

а е А

то первое слагаемое выражения (14) будет потерей защитника, которую мы рассматриваем, как выигрыш нападающего. Второе слагаемое — средняя стоимость нападения, соответствующего распределению е.

Будем называть вершину е многогранника критической, если

V (е) = тах V (е).

е^р

(15)

То есть соответствующее критической вершине распределение вероятности дает максимум выгоды нападающему (в соответствии с оптимальным выбором защитника). Определим V := v(e), где е — критическая вершина, и пусть Рт„ обозначает матрицу, имеющую критические вершины Ф(БН) в качестве строк. Используем V в качестве оценки уязвимости с точки зрения защитника.

Пусть ^е, е е Ртсх) — дискретное вероятностное распределение на Ртах, где все ze > 0 и

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

I ^ = 1 .

е ^Рты

Теорема 1. Для. рассматриваемой игры, всегда выполняется следующее:

A. Если V < 0, то стратегия. «Не нападать» (то есть и(а0) = 1) является оптимальной стратегией нападающего и находится, в равновесии Нэша со стратегией защитника (д,, / е Р), удовлетворяющей неравенствам

К (а):= Х^А а ^ Я (а), е А. (16)

/ ^

Соответствующие выплаты. (3), (4) нулевые.

B. Если V > 0, то для. каждого распределения, вероятности ^е, е е Ртах) стратегия. нападающего(и(а), а е А), определен-

I {а)= £

еМ

*(А) ,

(17)

Если все д(а) = 0, то каждая пара равновесия Нэша соответствует этому пункту.

Отметим, что V = 0 — особый случай, которому могут соответствовать оба пункта «А» и «В». В обеих ситуациях максимальная достижимая награда нападения равна 0. Существует равновесие, при котором нападающий выбирает стратегию «Не нападать». Защитник должен выбрать д согласно (16). Также может существовать равновесие, при котором нападающий начинает атаку, но получает нулевую ожидаемую выгоду. При таком равновесии стратегия д должна удовлетворять соотношениям (18).

Доказательство теоремы 1

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

1. Стратегия «Не нападать»

Покажем, что если V < 0, то «Не нападать» и стратегия защитника д, удовлетворяющая (16), являются лучшими ответами друг другу.

Заметим, что если нападающий не выберет стратегию «Нападение», то любая стратегия д приведет к минимальной потере для защитника (0). Теперь предположим, что д удовлетворяет (16). Тогда, а0 = «Не нападать» является доминирующей стратегией нападающего. Фактически ожидаемая выгода нападения:

Е(&>и)= Xй (а(а)- Я(а))'

(20)

которая меньше 0 для любого и, если ^ (а)- q (а) < 0 и У а е А. С другой стороны, нулевая выгода может всегда быть достигнута выбором а0. Как следствие, стратегия «Не нападать» — лучший ответ на д, удовлетворяющей (16). Теперь докажем существование распределения д, которое удовлетворяет (16) при V < 0. Ищем д в соответствии со следующей системой ограничений:

' я * 0,

£ я = 1

Нтя < д. Лемма 2. V < 0 ^ д е 5Н.

Доказательство:

Если V < 0, то для всех е е Р

(21)

Ее (а) , . —:—т д (а ) > Ш1 п а., е (А ) 1 } /^

Или, эквивалентно

у 44 и

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

ОЬ е (А)

/, а

/

находится, в равновесии Нэша с любой стратегией (д, / е Р) защитника, которая, удовлетворяет, следующим, условиям.:

ш (а) — q (а ) = V для всех а е А при и (а) > 0

| hg (а)-q(а) < V для всех а е А. (18)

Более того, существует, по крайней мере, одна такая, стратегия. (д, / е Р).

Соответствующие выплаты.: V — для. нападавшего, и г^) — для. защитника, где

г ():= Е 2е к(е) (19)

/ е > шт

/<=-р

Xе (а

'/, а

у а^Л

Так как е е Ф(5Н), то

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

, ее Р.

Xе (аа > 1 ,

(22)

(23)

(24)

откуда дте > 1, Уе е Р, следовательно, д е БН. Используя Лемму 1, мы приходим к заключению, что значение следующей проблемы линейного программирования больше 1.

Максимизировать \ГРх

(25)

при условии

Их < q и х > 0.

е =

ная как

е

Получим д, удовлетворяющую (16), нормализуя любое решение этой проблемы. 2. Стратегия «Всегда нападать»

Как в предыдущем разделе, сначала докажем, что стратегии, удовлетворяющие условиям Теоремы 1, являются лучшими ответами друг другу. Затем покажем существование распределения (д,, , е Р), которое удовлетворяет (18). Лемма 3. Если V > 0, то стратегия. «Не нападать» является строго доминируемой стратегией нападающего. Доказательство:

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Предположим, что е е Ртах является критической вершиной Ф(БН), и пусть

и =

е (а)

еА:

а е А

Я (' и Ы^Т 18 А а - Я (а)

г(Л)

= 18Г 1 ^ / ( -1 44 я (а)

/ ^

((Л)

<Л)

/ ^

8/ А (е)-1~П Я (а) =1

(Л)

.у = V.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

/ ^

Таким образом, R (g, и) = V > 0.

е(а) г{А)

для некоторого распределения % = (%е, е е Ртах) позволяет получить выгоду V. Это максимальная возможная выгода, которую может получить нападающий. Для любого и

^ и,«)=Xм И (Ма) ~ # И) - Xм Иу -у-

аеЛ аеА

Верхняя граница V достигается любым

'е(а)

и =

, аеА

и е е Ртах, потому что для любого такого и подстановкой в (26) получим

Я (, й )> V.

(29)

Как следствие, любое распределение

е (а)

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

, а е А

Покажем, что нападающий может достигнуть положительной выгоды выбором и (независимо от д). При выборе стратегии и ожидаемой выгодой нападающего для любой стратегии защиты д будет

Ка)

для е е Ртах является лучшим ответом, и любая выпуклая комбинация этих распределений — также лучший ответ. Теперь предположим, что и удовлетворяет (17) для некоторого распределения (ге, е е Ртах). Тогда распределение (д,, , е Р), удовлетворяющее (18), соответствует потере

г (2) = X к(е) .

Это минимальная возможная потеря для игрока 1, что видно из следующего соотношения:

/ \

1 (8'и) = Х8/ Xм(а)к

= V (т { V г (а)

X8/ X X ( л)

fsF I а еЛ V геРтах г (Л)

(26)

ел

Г /

= Х8/ X 2г X

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

\ \

hf,

\\

(30)

fеF

-X 8/ X 2гЬ (е) =X 8/Г (2 )= Г (2 )•

/ еF

(27)

Отметим, если V > 0, все шаги доказательства сохраняются. Однако стратегия «Не нападать» будет только слабо доминируемой, и, как замечено в предыдущем случае, будет существовать равновесие, для которого нападающий решит не начинать атаку. Другими словами, если V = 0, то существует равновесие, для которого U): = 1 , так же, как равновесие, для которого и^ = 0 .

Как следствие этой леммы мы приходим к заключению, что если V > 0, то нападающий никогда не выберет «Не нападать».

Учитывая множество критических строк матрицы Ртах и распределение д, удовлетворяющее (18), любое распределение и вида

Нижняя граница г(г) может быть достигнута выбором д таким образом, что

X 8/к/, а = у + ?(а)

/ ^

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

для каждого а е А при и(а) > 0 (существование такого д показано далее).

Это можно увидеть, переписав Ь(д,и) как ( \

Ь & и ( = 5> И X . = Xм (в) (с+Я И = у+иТЧ> (31)

аеА / а(=А

и с помощью простых преобразований

V + итд = V + X

1

г(А]

т

е д

— г (г) + г (г) =

= V + X ге

г(А]

ет д — к (е) + г (г ) =

(32)

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

= V + X 2е (—V) + г (г) = V — V + г (г) = г (г).

(28)

Таким образом, для множества критических вершин Ртах распределения, описанные в Теореме 1, являются лучшими ответами друг другу. Как следствие, они формируют равновесие Нэша в случае существования д.

Теорема 2. Предположим, что V > 0 и пусть Ртах — множество критических вершин. Пусть х* — решение следующей задачи линейного программирования:

Максимизировать 1 TFx при условии HТx < b u x > 0.

где b = v(A)1A + q. Тогда

a) 1F x* = 1,

b) (HT x*) (a) = b(a), Va eA при u(a) > 0.

(33)

(34)

(35)

Как следствие, х* удовлетворяет (18) и подразумевает существование д. Доказательство

А. Для доказательства х* < 1 рассмотрим следующее:

/ \

THTx* = Ix* Iu (a)h

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

/eF Va£^ f /

I** I I

e (a) KA)

/, a / У

= I* í I z, [i ^ h 4 '

v«(A) /a,y

/ eF

= Ix* I zh (e) =Ix*r (z) = r (z)1

Tx*.

/ eF

uTHT x" < uT (v1A + q) = v + uTq = r (z ). Комбинируя (36) и (32), получим r(zx* < uTHT x' < r(z).

eTb = veT 1A + eTq = e (A)

v + -

1

■(A)

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

T

e q

-e (A(h (e)-e(i)eTq+eA)eTq

= e (A)h (e) = e (A)min | £ ^f -

fiF {—e (

= min

f iF

V aiA y

-1,

^e(a) f a > 1 , V/ e F

равно 1; следовательно, любое решение х* является распределением вероятности на Р. В. Заметим, что

uTH T x* = r (z )lf x* = r (z ).

(41)

Также НТх' < г1А + q из ограничений проблемы (33) линейного программирования, указанной выше. Теперь предположим, что (Нтх ) (а) < V + q(а) для некоторого а е А при и(а) > 0. Тогда

uTHTx' = Y"(a)(HTx')(a) <

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

a eA

< Yu(a) (v + q(a)) =

a eA

= v +YU (a)q(a) = r (z),

(42)

(36)

С другой стороны, из ограничения HTx* < b, где b = v(A)1A + q, и из (32) имеем:

где первое равенство доказывается аналогично доказательству (32). Неравенство (42) противоречит выражению (41). Как следствие, Нтх' (а) = V + q (а) для всех а е А при и(а) > 0. На этом завершается доказательство существования д, удовлетворяющего (18), для любого и вида (17). 3. Случай игры с нулевой суммой

В этом разделе мы рассматриваем игру с нулевой суммой, где все д(а) = 0. Мы покажем, что для любой пары стратегий защиты (д,, / е Р) и нападения (и(а), а е А), которые находятся в равновесии Нэша, должно выполняться равенство:

(37)

(38)

' (a )= X ;

e (a)

М)

(43)

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Таким образом, х' < 1, для всех допустимых х*, то есть значение задачи линейного программирования (33) не больше 1. Покажем, что Ь принадлежит многограннику БН. Для этого докажем, что Ьте > 1 для всех е е Р. Действительно,

для некоторого распределения вероятности е е Ртах). Как следствие этого, придем к заключению, что стратегия равновесия Нэша д должна быть в форме, данной в Теореме 1. Прежде всего, заметим, что если все д(а) = 0, то Ь(е) = v(e). Затем, используя структуру игры с нулевой суммой, замечаем, что

v = max

e sP

(h (e)) =

max

e sP

mm

f sF

V

yeía! h

^ e(A)hf'a

a sA

(44)

Таким образом, для любой пары равновесия Нэша (д, и) выполняется

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

с

(39)

л

> 0.

(45)

что следует из факта, что е е Ф(БН). Если е е Ф(БН), то по определению блокирующего многогранника

(40)

Тогда РЬ > 1, откуда следует, что Ь принадлежит блокатору блокатора Ф(Ф(БН)), который эквивалентен БН. Теперь, используя Лемму 1, мы приходим к заключению, что значение проблемы больше 1. Это вместе с выводом из неравенства (38) подразумевает, что значение проблемы

у = Е^ё/и (а)к/, а = X8/ Xм (а)к/,

/ ер ае А / ер \а еЛ У

Из предыдущего неравенства мы можем утверждать что существует коэффициент масштабирования к > 0 — такой, что (ки (а), а е А) принадлежит блокатору Ф(БН), или ана-

^ku(a)hf a >1, V f e F. (46)

a eA

Пусть gmax — максимум gf, и

~ Ng ~

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

к = —v max , тогда (leu (a), a eA) удовлетворяет (46).

Пусть k обозначает наименьший такой коэффициент из всех возможных k > 0 .

Также отметим, что k — наименьший неотрицательный коэффициент масштабирования (u(a), a е A) — такой, что

e

логично

(ки(а), а е А) принадлежит Ф(БН), следовательно, здесь должно существовать такое ,0 е Р, для которого

2ки ( а )к'(0 а = 1 .

а^Л

Это так, потому что для Уки е Ф(БН) и V, е Р имеем

X ки (а) Ъ, а - 1 .

а^Л

Если бы это неравенство было строгим для всех , е Р, то рассмотрение стратегии ,шпп, которая минимизирует сумму

ки ( a)hf| ( , позволило бы построить, к

=2*

eeP

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

1

- 2е ( а) = 2

1

в (А)к(е) 4 7 £ ' к(е) (51)

Теперь, т.к. р = т|рх ((е)) , делаем вывод, что может быть отличным от нуля только для строки е е Р, которая удовлетворяет соотношению к (е ) = п^ ((е )) . Другими словами, > 0 только для е е Ршах. Откуда

е(а)

u

(a)= 1

Z-

(52)

k =

2 u (a )hf

(47)

ееРтах е(А)

Для завершения доказательства Теоремы 1 покажем, что если стратегии (д,, , е Р) и (и(а), а е А) находятся в равновесии Нэша, и (и(а), а е А) имеет вид (17), то (д,, , е Р) должна иметь вид (18). При (и(а), а е А) вида (16) для каждой стратегии (д,, , е Р) выполняется

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

( ( ' 4 лЛ X ё f Ъ* (а)к/, а = Х ё f X X

zeR h

; J

где к удовлетворяет к < к и ки принадлежит Ф(БН). Это противоречит выбору к как наименьшему к . Теперь рассмотрим следующую лемму.

Лемма 4. Если стратегии (д,, , е Р) и (и(а), а е А) формируют, равновесие Нэша игры, то можно написать

е(а)

К^Ж (48)

для. некоторого распределения, вероятности (ге, е е Ршах). Приведем доказательство этой леммы позже. Используя выражение (48) для ки(а) покажем, что

= X gf х

f tF

х 44 h

(A)

f, a

sf х

f tF

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

(53)

= v.

ku (a ) =

1 ( ) 1 ( ( = zXgf Xku (a)hf a =Tbf X Ъ

' ft=F \aeA

( f

■ f eF

\^aEA \e

e(A)h(e

'f ,a 'J J

Минимальное значение V может быть достигнуто выбором д — такого, что ^8/hflа = р для всех и(а) > 0. Это следует из

X 8/X" (а )hf| ( = Xм (а) X 8 / а ■ (54)

/ аеЛ аеЛ у / у

Существование такой стратегии д показано в предыдущем разделе. Также было показано, что такая д — лучший ответ на стратегию (и(а), а е А). Для того чтобы и была лучшим ответом на д, стратегия д должна удовлетворять неравенству:

(55)

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

- f eF

= tX gf Xze TU X

Y\

h (e)):Ae (A)

'f ,a

> )

-\Xgf ( X

K f eF V eEP

zt

\eEp J

= U (49) k

X 8/ а ^ V ( V а е А.

/ е-

Предположим, неравенство (54) не выполняется (то есть существуют некоторые а е А, для которых

где для доказательства неравенства в третьей строке использовался факт, что

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

e(a) h(e) < 2 "И h

X g fhf

> v

К A)

'f, a

для Vf e F.

Теперь, т.к. (д, и) — пара стратегий равновесия Нэша, выражение

2м (a)h

У, a

минимально для каждого , е Р, для которого д, > 0. Кроме того, это минимальное значение равно V. Тогда

v = mm

f eF

-^u(a) h

f, a

1 . = — mm

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

к f eF

^\ku (a)h

f, a

\aeA

< 1 к ,

(50)

/

Тогда нападающий предпочтет переключиться на игровую стратегию а с вероятностью 1 для получения более высокой выгоды. Это нарушает предположение, что (д,, , е Р) и (и(а), а е А) находятся в равновесии Нэша. Таким образом, д удовлетворяет (55). Теорема 1 доказана при условии, что верна Лемма 4.

Доказательство Леммы 4

Идея доказательства состоит в том, что, если стратегии (д,, , е Р) и (и. (а), а е А) находятся в равновесии Нэша, и к > 0 обозначает наименьший к > 0, для которого (ки.(а), а е А) принадлежит Ф(БН), то должно выполняться равенство:

где используем факт, что минимум меньше выражения ^ки (а) Ь.0 а = 1 . Следовательно, V = 1/к.

ku (a) =

e(a)

*(A)h (e)

(56)

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Отсюда, используя (48), получим:

е (а)

для некоторого распределения вероятности (ге, е е Ршах). Это утверждение требует доказательства, потому что априорно можно написать только

1 = k = 2ku (a)=22z

;(A)h (e)

ku (a ) =

Aa)

iA)h (e)

■ d (a )

(57)

v

!ЛЕД

для некоторого распределения вероятности ^е, е е Ртах) и некоторого d(a), а е А, где d(a) > 0.

Рассмотрим (ки(а), а е А), для которого ^•= ^^име-

аеЛ

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

ет наименьшее возможное значение. Предположим, что d(A) > 0 для выражения (57), и докажем формулу (56) от противного. Пусть

,тогда V,

е Р.

X" (а )Ь/, а = 1 X Ы (а )Ь/, а =

=1XIX

аеЛ

е

(а)

г(А)к (е)

+ й (а)

а =

= 1 Х*е Т7-Т Х

. (а )

Ь (е) О^е (А)

у, а

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

+ 1 Xй (а )Ь/, а -

К аеА

- 1 X*е + 1 (/) = 1 +

л ееР л л

1

1 (/)

Теперь получаем

шт

/

Xм (а)Н

-/, а

уаеЛ

> — + шт

к /^

Г Ъ (/)л

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

V к у

/

Xм (аа = тш Xм (

Из (55) и (60) следует, что

/, а

1

< — к'

шт

/ ^

X")а = 1 и dh(f) = 0

для любого элемента , е Р — такого, что д, > 0.

е (а)

и

(а) = !Т4гл X

к - й (Л)£ее (Л)к (е)

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Тогда

X" (а)= 1 и й(а)> 0

для всех а е А.

к = )ки (а) = ) )

аеЛ /

й (а)

'(а)

г (Л)к(е)

+а(л)=

у

5 Ц^е (Л)й (е)

= (к - а (л))) и (а)+а (л).

аеЛ

Из последнего уравнения получаем

( Ч к - й(А) , >, г/ (а) =-7—7 = 1.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

± 1 ; к - й (А)

(63)

Для стратегии нападающего(и(а), а е А) в ответ на стратегию защиты (д,, , е Р) выгода нападающего численно не меньше 1/(к — d(A)). В самом деле,

X ё/ X й (а а =

/еР аеА

( /

= Х ё/ X

/е Р ^аеЛ \

1

к - а(Л)

X

Аа)

1

к - а (Л) /ЕР 1

Хё/ X

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

к (е)

г(А)к (е)

X Ф) к,

ОЬе(л)

\\

(64)

1

(58)

к - а (л/^ к - а (л) •

Однако для V, е Р, при условии д, > 0 выполняется d(f) = 0. Следовательно, выгода нападающего в случае использования им стратегии равновесия Нэша (и(а), а е А) равна

1 1

— < -

(59)

Отметим, что стратегии (д,, , е Р) и (и(а), а е А) находятся в равновесии Нэша, поэтому для всех , е Р — таких, что д, > 0 значение^и(а)Ь/,. одинаковое:

(60)

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

(61)

Отсюда (и(а), а е А) — распределение вероятности на А, которое может быть рассмотрено в качестве стратегии нападающего. Доказать этот факт можно просуммировав (57) по а е А:

(62)

k k - d(А) '

Отсюда, если d(A) > 0, нападающему может быть выгодно изменить стратегию. Это противоречит предположению, что (д, и) формируют равновесие Нэша. Таким образом, из d(A) = 0 следует, что d(a) = 0 для всех а е А, что мы и хотели показать.

Применение результатов

На основании рассматриваемой теоретико-игровой модели можно предложить следующий алгоритм принятия решений по управлению рисками ИБ:

1) Формируем множества Р и А.

2) Находим кЬа е К для всех а е А и всех , е Р; а также д(а) е К+ для всех а е А.

3) Для многогранника БН (формула (5)) строим одну из возможных матриц Р по формуле (12).

4) Для всех е е Р считаем значения h(e) и v(e) по формулам (13) и (14).

5) По формуле (15) определяем критические строки матрицы Р и вычисляем V как максимально достижимое значение в этой формуле. Формируем Ртах как матрицу, состоящую из критических строк матрицы Р.

ба) Если V < 0, то стратегия «Не нападать» (то есть и(а0) = 1) — оптимальная стратегия нападающего. Ищем стратегию защитника (д,, , е Р), находящуюся в равновесии Нэша с указанной стратегией нападающего в соответствии с неравенствами (16). В этом случае потеря защитника и выигрыш нападающего равны нулю.

бб) Если V > 0, то для стратегии нападающего (и(а), а е А), соответствующей выражению (17), ищем стратегию (д,, , е Р) защитника, которая удовлетворяет условиям (18). При этом потеря защитника равна значению выражения (19), а выигрыш нападающего равен V.

Примечание 1: Если д(а) = 0 для всех а е А, то всегда выполняется шаг 6б).

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Примечание 2: Распределение (ге, е е Ршах) позволяет описать множество равновесий Нэша игры. Оно может использоваться, например, для моделирования предпочтений нападающего при атаке. В простейшем случае это распределение является распределением равновероятных событий.

7) Смешанная стратегия (д,, , е Р) позволяет осуществлять распределение ресурсов при управлении рисками ИБ: каждая вероятность события д, отражает пропорцию ресурсов, приходящихся на соответствующий элемент , е Р. Смешанная стратегия (и(а), а е А) отражает наиболее вероятные пути нападения на систему защиты игрока 1

Литература

1. ISO/IEC 27005:2011, Information technology — Security techniques — Information security risk management. Geneva, 2011.

2. D.R. Fulkerson. Blocking and Anti-Blocking Pairs of Polyhedra./ Math. Programming, 1971. — No. 1. — PP. 168 — 194.

3. BSI: Attack Pattern Glossary. — Cigital Inc., 2006.

4. NISTIR 7298 Revision 1. — Glossary of Key Information Security Terms, 2011

5. Данилов В.И. Лекции по теории игр. — М.: Российская, экономическая, школа, 2002.

6. S. Boyd, and L. Vandenberghe. Convex Optimization. — Cambridge University Press, March 2004.

7. Гальперин В.М., Игнатьев С. М., Моргунов В.И. Микроэкономика. В 2-х томах. — СПб: Институт. «Экономическая, школа», 2004.

8. L.A. Wolsey and G.L. Nemhauser. Integer and. Combinatorial Optimization. /1st ed. — Wiley-Interscience, November 1999.

9. Национальный стандарт. Российской Федерации ГОСТР 53114-2008. «Защита информации. Обеспечение информационной безопасности в организации. Основные термины, и определения».