Теоретико-игровая модель принятия решений по управлению рисками информационной безопасности Текст научной статьи по специальности «Математика»

ЛАВРЕНТЬЕВ1 Александр Владимирович

ЗЯЗИН2 Валентин Петрович кандидат физ.-мат. наук, профессор

ТЕОРЕТИКО-ИГРОВАЯ МОДЕЛЬ ПРИНЯТИЯ РЕШЕНИЙ ПО УПРАВЛЕНИЮ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В статье предложена модель управления рисками информационной безопасности, основанная на теоретико-игровом подходе к анализу противоборства между защищающейся, стороной и злоумышленником.. Описано множество равновесий. Нэша, предполагающих оптимальное поведение участников, на основе чего предложен алгоритм, принятия решений по управлению рисками информационной безопасности.

Ключевые слова: риски информационной безопасности, меры, защиты, путь нападения, биматричная игра, равновесие Нэша.

In this paper is proposed a model of information, security risk management, based on game-theoretic approach to the analysis of the confrontation, between defender and. attacker. It describes the set of Nash equilibrium, involving the optimal behavior of the participants. From, the results of the game was obtained, decision making algorithm, for managing information security risks. Keywords: risk information, security, protection, measures, attack path, bimatrix game, Nash equilibrium..

Процесс противоборства между лицом, принимающим решения по управлению рисками информационной безопасности [1] (игрок 1), и нарушителем информационной безопасности (игрок 2) представлен в виде теоретико-игровой модели [5].

Полагаем, что есть непустые, конечные множества Р = и А = {а1,.,ат}, где А — множество путей нападения [3], а Р — множество мер безопасности [4, 9]. Игрок 1 выбирает один из элементов /с Р. Для нападения игрок 2 выбирает путь а1 с А. У каждого пути а1 с А есть стоимость нападения д(а) е М+ Очевидно, что множества Р и А можно рассматривать как множества стратегий игроков 1 и 2 соответственно. Дополним это множество А стратегией «Не нападать», которую обозначим а0. Выбор этой стратегии сводится к нулевой потере для защитника и нулевой выгоде для нападающего. Всякий раз, когда в игре используется путь нападения а и игрок 1 выбирает меру защиты /, он несет рисковую потерю Л(а. Следовательно, когда игроками выбрана пара стратегий (/ а), потеря первого игрока — Л/а, и чистая выгода [7] второго равна Ь1а — д(а).

Этот сценарий может быть смоделирован как биматричная игра с двумя игроками, где защитник и нападающий выби-

рают свои чистые стратегии / и а в непустых и конечных множествах Р и А соответственно (с |А| = т и |Р| = А). Для игроков матрицами выплат будут

H = [H I 0 ]и Q = [Q | 0 ],

(1)

где Н и О — матрицы размера №т; (Н,[Н]/а = Л/а) — неотрицательная матрица без нулевых строк (нулевая строка подразумевает отсутствие рисков для защитника и может быть исключена), и нет столбца в матрице О, который доминирует над всеми другими столбцами (наличие такого столбца означало бы однозначный выбор нападающего).

Q = н -

q(ai) q(a2) q(ai) q(a2)

q(ai) q(a2)

q(am)

q(am)

q(am)

(2)

«Последний» нулевой столбец в определении Н и О отражает нулевую потерю для защитника и нулевую выгоду для нападающего в случае, если последний выбирает «Не напа-

' - МГТУ МИРЭА, студент;2 - МГТУ МИРЭА, зам. зав. кафедрой.

дать». Далее для простоты будем обозначать эти матрицы Н и О.

Рассмотрим смешанные стратегии этой игры. Стратегией для защитника будет вероятностное распределение д:= (д, / е Р) на Р, и для нападающего вероятностное распределение (и(а), а е А^(а0}) на А^(а0}. Цель защитника состоит в том, чтобы минимизировать ожидаемую потерю

1 (' и )= X8/ Xй (а)к

/ ^

' /, а

(3)

=сопу(\,...,кы) + Жт+.

(5)

ф(Зн) = {уеЩ\уТх>1, ЧхеБн},

(6)

1. Ф ( ) = { х е К; |Нг > } .

2. Матрица Р — надлежащая, и Зя={хеЩ\?х>1к].

3. Ф ((Н )) = ^ .

(7)

(8) (9)

Применим это утверждение для решения следующей проблемы линейного программирования [8]:

Максимизировать х при условии Н х < Ьи х > 0,

(10)

в то время как нападающий пытается максимизировать ожидаемую выгоду

/ \

к(§'и) = Xм (а) X8fк(а - ■ (4)

а^Л ^ fsF У

Для простоты вектор-столбец из одних единиц длины |Р| = N будем обозначать 1Р, а аналогичный вектор-столбец длины |А| = т как 1А. Кроме того, запись е е Р, где Р — матрица, будет означать, что е принадлежит множеству строк матрицы Р. Многогранник БН, соответствующий матрице Н, в [2] определен как векторная сумма выпуклой оболочки ее строк сопу(к,..,^) и неотрицательного ортанта ПК™ .

Строка к матрицы Н называется несущественной, если она доминирует над выпуклой комбинацией других строк Н, иначе говорим, что к — существенная. Если все строки Н существенные, то матрица Н называется надлежащей. Множество существенных строк однозначно соответствует множеству экстремальных точек многогранника БН. Так как несущественные строки не важны для определения многогранника БН, то можно исключить их из матрицы Н и считать Н надлежащей.

В работе [2] введено следующее определение. Определение 1. Блокатором Ф(БН) многогранника БН называется. многогранник

где Н — неотрицательная матрица и Ь — заданный неотрицательный вектор.

Лемма 1. Значение проблемы, линейного программирования, вида (10) больше 1, если и только если Ь принадлежит, многограннику БН, заданному матрицей Н. Доказательство:

Во-первых, заметим, что условие Слатера (достаточное условие сильной дуальности, т.е. эквивалентности решений основной и дуальной проблем выпуклой оптимизации) [6] удовлетворяется для положительного е. Тогда дуальная к (10) проблема формулируется в следующем виде:

Максимизировать ЬТу

(11)

при условии Ну > 1р и у > 0, Ограничения дуальной проблемы (11) задают множество точек | у е ]((( |Н.( > 1(. (. . равное многограннику Ф(БН) (см. (7)). Теперь, если Ь принадлежит многограннику БН, то для всех у е Ф(БН) выполняется Ьту > 1 (см. (8)).

Наоборот, если Ьту > 1 для любого у е Ф(БН), то Ь должна быть в Ф(Ф(БН)) (это легко проверить применением Утверждения 1 для многогранника Ф(БН) и его блокатора Ф(Ф(БН))), кроме того, Ф(Ф(БН)) = БН согласно Утверждению 1, следовательно, Ь е БН.

Поэтому значение дуальной проблемы больше 1. Теперь из-за сильной дуальности получаем, что значение основной проблемы также не меньше 1.

Далее Лемма 1 будет неоднократно использоваться для обоснования существования вероятностного распределения определенного вида, которое может быть получено путем нормализации решения проблемы линейного программирования вида (10).

Пусть БН — многогранник, соответствующий Н, а Ф(БН) — его блокатор. Из Утверждения 1 Ф(БН) — многогранник, соответствующий неотрицательной матрице Р, строки которой — вершины Ф (^л ( с МС . Из [2] известно, что Ф(БН) — векторная сумма выпуклой оболочки строк Р с положительным ортантом. БН — его блокатор согласно Утверждению 1, и

где у'х — скалярное произведение у и х.

Взаимосвязь многогранников и их блокаторов устанавливает следующее утверждение.

Утверждение 1. (Фалкерсон, 1971) Если матрица Н — надлежащая. и многогранник БН определен выражением. (5), и е1,..,ек — экстремальные точки блокатора Ф(БН), а Р — матрица, имеющая, эти точки в качестве строк, то

5н = {хеК;|Рх£1,}.

(12)

Теперь, для строки е матрицы Р пишем е = (е(а), а е А), и пусть в(А) := е( а) ■ Отметим, что т.к. е(а) > 0 для всех а е А и е(А) > 0, то

еМ ( (а )

(аеЛ| -

распределение вероятностей на А, которое будем называть распределением е. Также определим, для каждого е е Р. / / \ \

, (13)

< \ V е(а)

h (е):= тт > ' ; h

/ EF

г(Л)

/ ,а

Н (е) - £ ^д ),

аеЛ е\Л)

(14)

где Ь(е) — минимальная потеря защитника, если нападаю-

щий выбрал цель согласно распределению

еМ

.(А)

. а е А

v(e) может рассматриваться как ожидаемая выгода нападения в соответствии с распределением е. В самом деле, если нападавший должен был выбрать путь для нападения согласно распределению

Аа)

' (А );

а е А

то первое слагаемое выражения (14) будет потерей защитника, которую мы рассматриваем, как выигрыш нападающего. Второе слагаемое — средняя стоимость нападения, соответствующего распределению е.

Будем называть вершину е многогранника критической, если

V (е) = тах V (е).

е^р

(15)

То есть соответствующее критической вершине распределение вероятности дает максимум выгоды нападающему (в соответствии с оптимальным выбором защитника). Определим V := v(e), где е — критическая вершина, и пусть Рт„ обозначает матрицу, имеющую критические вершины Ф(БН) в качестве строк. Используем V в качестве оценки уязвимости с точки зрения защитника.

Пусть ^е, е е Ртсх) — дискретное вероятностное распределение на Ртах, где все ze > 0 и

I ^ = 1 .

е ^Рты

Теорема 1. Для. рассматриваемой игры, всегда выполняется следующее:

A. Если V < 0, то стратегия. «Не нападать» (то есть и(а0) = 1) является оптимальной стратегией нападающего и находится, в равновесии Нэша со стратегией защитника (д,, / е Р), удовлетворяющей неравенствам

К (а):= Х^А а ^ Я (а), е А. (16)

/ ^

Соответствующие выплаты. (3), (4) нулевые.

B. Если V > 0, то для. каждого распределения, вероятности ^е, е е Ртах) стратегия. нападающего(и(а), а е А), определен-

I {а)= £

еМ

*(А) ,

(17)

Если все д(а) = 0, то каждая пара равновесия Нэша соответствует этому пункту.

Отметим, что V = 0 — особый случай, которому могут соответствовать оба пункта «А» и «В». В обеих ситуациях максимальная достижимая награда нападения равна 0. Существует равновесие, при котором нападающий выбирает стратегию «Не нападать». Защитник должен выбрать д согласно (16). Также может существовать равновесие, при котором нападающий начинает атаку, но получает нулевую ожидаемую выгоду. При таком равновесии стратегия д должна удовлетворять соотношениям (18).

Доказательство теоремы 1

1. Стратегия «Не нападать»

Покажем, что если V < 0, то «Не нападать» и стратегия защитника д, удовлетворяющая (16), являются лучшими ответами друг другу.

Заметим, что если нападающий не выберет стратегию «Нападение», то любая стратегия д приведет к минимальной потере для защитника (0). Теперь предположим, что д удовлетворяет (16). Тогда, а0 = «Не нападать» является доминирующей стратегией нападающего. Фактически ожидаемая выгода нападения:

Е(&>и)= Xй (а(а)- Я(а))'

(20)

которая меньше 0 для любого и, если ^ (а)- q (а) < 0 и У а е А. С другой стороны, нулевая выгода может всегда быть достигнута выбором а0. Как следствие, стратегия «Не нападать» — лучший ответ на д, удовлетворяющей (16). Теперь докажем существование распределения д, которое удовлетворяет (16) при V < 0. Ищем д в соответствии со следующей системой ограничений:

' я * 0,

£ я = 1

Нтя < д. Лемма 2. V < 0 ^ д е 5Н.

Доказательство:

Если V < 0, то для всех е е Р

(21)

Ее (а) , . —:—т д (а ) > Ш1 п а., е (А ) 1 } /^

Или, эквивалентно

у 44 и

ОЬ е (А)

/, а

/

находится, в равновесии Нэша с любой стратегией (д, / е Р) защитника, которая, удовлетворяет, следующим, условиям.:

ш (а) — q (а ) = V для всех а е А при и (а) > 0

| hg (а)-q(а) < V для всех а е А. (18)

Более того, существует, по крайней мере, одна такая, стратегия. (д, / е Р).

Соответствующие выплаты.: V — для. нападавшего, и г^) — для. защитника, где

г ():= Е 2е к(е) (19)

/ е > шт

/<=-р

Xе (а

'/, а

у а^Л

Так как е е Ф(5Н), то

, ее Р.

Xе (аа > 1 ,

(22)

(23)

(24)

откуда дте > 1, Уе е Р, следовательно, д е БН. Используя Лемму 1, мы приходим к заключению, что значение следующей проблемы линейного программирования больше 1.

Максимизировать \ГРх

(25)

при условии

Их < q и х > 0.

е =

ная как

е

Получим д, удовлетворяющую (16), нормализуя любое решение этой проблемы. 2. Стратегия «Всегда нападать»

Как в предыдущем разделе, сначала докажем, что стратегии, удовлетворяющие условиям Теоремы 1, являются лучшими ответами друг другу. Затем покажем существование распределения (д,, , е Р), которое удовлетворяет (18). Лемма 3. Если V > 0, то стратегия. «Не нападать» является строго доминируемой стратегией нападающего. Доказательство:

Предположим, что е е Ртах является критической вершиной Ф(БН), и пусть

и =

е (а)

еА:

а е А

Я (' и Ы^Т 18 А а - Я (а)

г(Л)

= 18Г 1 ^ / ( -1 44 я (а)

/ ^

((Л)

<Л)

/ ^

8/ А (е)-1~П Я (а) =1

(Л)

.у = V.

/ ^

Таким образом, R (g, и) = V > 0.

е(а) г{А)

для некоторого распределения % = (%е, е е Ртах) позволяет получить выгоду V. Это максимальная возможная выгода, которую может получить нападающий. Для любого и

^ и,«)=Xм И (Ма) ~ # И) - Xм Иу -у-

аеЛ аеА

Верхняя граница V достигается любым

'е(а)

и =

, аеА

и е е Ртах, потому что для любого такого и подстановкой в (26) получим

Я (, й )> V.

(29)

Как следствие, любое распределение

е (а)

, а е А

Покажем, что нападающий может достигнуть положительной выгоды выбором и (независимо от д). При выборе стратегии и ожидаемой выгодой нападающего для любой стратегии защиты д будет

Ка)

для е е Ртах является лучшим ответом, и любая выпуклая комбинация этих распределений — также лучший ответ. Теперь предположим, что и удовлетворяет (17) для некоторого распределения (ге, е е Ртах). Тогда распределение (д,, , е Р), удовлетворяющее (18), соответствует потере

г (2) = X к(е) .

Это минимальная возможная потеря для игрока 1, что видно из следующего соотношения:

/ \

1 (8'и) = Х8/ Xм(а)к

= V (т { V г (а)

X8/ X X ( л)

fsF I а еЛ V геРтах г (Л)

(26)

ел

Г /

= Х8/ X 2г X

/е

\ \

hf,

\\

(30)

fеF

-X 8/ X 2гЬ (е) =X 8/Г (2 )= Г (2 )•

/ еF

(27)

Отметим, если V > 0, все шаги доказательства сохраняются. Однако стратегия «Не нападать» будет только слабо доминируемой, и, как замечено в предыдущем случае, будет существовать равновесие, для которого нападающий решит не начинать атаку. Другими словами, если V = 0, то существует равновесие, для которого U): = 1 , так же, как равновесие, для которого и^ = 0 .

Как следствие этой леммы мы приходим к заключению, что если V > 0, то нападающий никогда не выберет «Не нападать».

Учитывая множество критических строк матрицы Ртах и распределение д, удовлетворяющее (18), любое распределение и вида

Нижняя граница г(г) может быть достигнута выбором д таким образом, что

X 8/к/, а = у + ?(а)

/ ^

для каждого а е А при и(а) > 0 (существование такого д показано далее).

Это можно увидеть, переписав Ь(д,и) как ( \

Ь & и ( = 5> И X . = Xм (в) (с+Я И = у+иТЧ> (31)

аеА / а(=А

и с помощью простых преобразований

V + итд = V + X

1

г(А]

т

е д

— г (г) + г (г) =

= V + X ге

г(А]

ет д — к (е) + г (г ) =

(32)

= V + X 2е (—V) + г (г) = V — V + г (г) = г (г).

(28)

Таким образом, для множества критических вершин Ртах распределения, описанные в Теореме 1, являются лучшими ответами друг другу. Как следствие, они формируют равновесие Нэша в случае существования д.

Теорема 2. Предположим, что V > 0 и пусть Ртах — множество критических вершин. Пусть х* — решение следующей задачи линейного программирования:

Максимизировать 1 TFx при условии HТx < b u x > 0.

где b = v(A)1A + q. Тогда

a) 1F x* = 1,

b) (HT x*) (a) = b(a), Va eA при u(a) > 0.

(33)

(34)

(35)

Как следствие, х* удовлетворяет (18) и подразумевает существование д. Доказательство

А. Для доказательства х* < 1 рассмотрим следующее:

/ \

THTx* = Ix* Iu (a)h

/eF Va£^ f /

I** I I

e (a) KA)

/, a / У

= I* í I z, [i ^ h 4 '

v«(A) /a,y

/ eF

= Ix* I zh (e) =Ix*r (z) = r (z)1

Tx*.

/ eF

uTHT x" < uT (v1A + q) = v + uTq = r (z ). Комбинируя (36) и (32), получим r(zx* < uTHT x' < r(z).

eTb = veT 1A + eTq = e (A)

v + -

1

■(A)

T

e q

-e (A(h (e)-e(i)eTq+eA)eTq

= e (A)h (e) = e (A)min | £ ^f -

fiF {—e (

= min

f iF

V aiA y

-1,

^e(a) f a > 1 , V/ e F

равно 1; следовательно, любое решение х* является распределением вероятности на Р. В. Заметим, что

uTH T x* = r (z )lf x* = r (z ).

(41)

Также НТх' < г1А + q из ограничений проблемы (33) линейного программирования, указанной выше. Теперь предположим, что (Нтх ) (а) < V + q(а) для некоторого а е А при и(а) > 0. Тогда

uTHTx' = Y"(a)(HTx')(a) <

a eA

< Yu(a) (v + q(a)) =

a eA

= v +YU (a)q(a) = r (z),

(42)

(36)

С другой стороны, из ограничения HTx* < b, где b = v(A)1A + q, и из (32) имеем:

где первое равенство доказывается аналогично доказательству (32). Неравенство (42) противоречит выражению (41). Как следствие, Нтх' (а) = V + q (а) для всех а е А при и(а) > 0. На этом завершается доказательство существования д, удовлетворяющего (18), для любого и вида (17). 3. Случай игры с нулевой суммой

В этом разделе мы рассматриваем игру с нулевой суммой, где все д(а) = 0. Мы покажем, что для любой пары стратегий защиты (д,, / е Р) и нападения (и(а), а е А), которые находятся в равновесии Нэша, должно выполняться равенство:

(37)

(38)

' (a )= X ;

e (a)

М)

(43)

Таким образом, х' < 1, для всех допустимых х*, то есть значение задачи линейного программирования (33) не больше 1. Покажем, что Ь принадлежит многограннику БН. Для этого докажем, что Ьте > 1 для всех е е Р. Действительно,

для некоторого распределения вероятности е е Ртах). Как следствие этого, придем к заключению, что стратегия равновесия Нэша д должна быть в форме, данной в Теореме 1. Прежде всего, заметим, что если все д(а) = 0, то Ь(е) = v(e). Затем, используя структуру игры с нулевой суммой, замечаем, что

v = max

e sP

(h (e)) =

max

e sP

mm

f sF

V

yeía! h

^ e(A)hf'a

a sA

(44)

Таким образом, для любой пары равновесия Нэша (д, и) выполняется

с

(39)

л

> 0.

(45)

что следует из факта, что е е Ф(БН). Если е е Ф(БН), то по определению блокирующего многогранника

(40)

Тогда РЬ > 1, откуда следует, что Ь принадлежит блокатору блокатора Ф(Ф(БН)), который эквивалентен БН. Теперь, используя Лемму 1, мы приходим к заключению, что значение проблемы больше 1. Это вместе с выводом из неравенства (38) подразумевает, что значение проблемы

у = Е^ё/и (а)к/, а = X8/ Xм (а)к/,

/ ер ае А / ер \а еЛ У

Из предыдущего неравенства мы можем утверждать что существует коэффициент масштабирования к > 0 — такой, что (ки (а), а е А) принадлежит блокатору Ф(БН), или ана-

^ku(a)hf a >1, V f e F. (46)

a eA

Пусть gmax — максимум gf, и

~ Ng ~

к = —v max , тогда (leu (a), a eA) удовлетворяет (46).

Пусть k обозначает наименьший такой коэффициент из всех возможных k > 0 .

Также отметим, что k — наименьший неотрицательный коэффициент масштабирования (u(a), a е A) — такой, что

e

логично

(ки(а), а е А) принадлежит Ф(БН), следовательно, здесь должно существовать такое ,0 е Р, для которого

2ки ( а )к'(0 а = 1 .

а^Л

Это так, потому что для Уки е Ф(БН) и V, е Р имеем

X ки (а) Ъ, а - 1 .

а^Л

Если бы это неравенство было строгим для всех , е Р, то рассмотрение стратегии ,шпп, которая минимизирует сумму

ки ( a)hf| ( , позволило бы построить, к

=2*

eeP

1

- 2е ( а) = 2

1

в (А)к(е) 4 7 £ ' к(е) (51)

Теперь, т.к. р = т|рх ((е)) , делаем вывод, что может быть отличным от нуля только для строки е е Р, которая удовлетворяет соотношению к (е ) = п^ ((е )) . Другими словами, > 0 только для е е Ршах. Откуда

е(а)

u

(a)= 1

Z-

(52)

k =

2 u (a )hf

(47)

ееРтах е(А)

Для завершения доказательства Теоремы 1 покажем, что если стратегии (д,, , е Р) и (и(а), а е А) находятся в равновесии Нэша, и (и(а), а е А) имеет вид (17), то (д,, , е Р) должна иметь вид (18). При (и(а), а е А) вида (16) для каждой стратегии (д,, , е Р) выполняется

( ( ' 4 лЛ X ё f Ъ* (а)к/, а = Х ё f X X

zeR h

; J

где к удовлетворяет к < к и ки принадлежит Ф(БН). Это противоречит выбору к как наименьшему к . Теперь рассмотрим следующую лемму.

Лемма 4. Если стратегии (д,, , е Р) и (и(а), а е А) формируют, равновесие Нэша игры, то можно написать

е(а)

К^Ж (48)

для. некоторого распределения, вероятности (ге, е е Ршах). Приведем доказательство этой леммы позже. Используя выражение (48) для ки(а) покажем, что

= X gf х

f tF

х 44 h

(A)

f, a

sf х

f tF

(53)

= v.

ku (a ) =

1 ( ) 1 ( ( = zXgf Xku (a)hf a =Tbf X Ъ

' ft=F \aeA

( f

■ f eF

\^aEA \e

e(A)h(e

'f ,a 'J J

Минимальное значение V может быть достигнуто выбором д — такого, что ^8/hflа = р для всех и(а) > 0. Это следует из

X 8/X" (а )hf| ( = Xм (а) X 8 / а ■ (54)

/ аеЛ аеЛ у / у

Существование такой стратегии д показано в предыдущем разделе. Также было показано, что такая д — лучший ответ на стратегию (и(а), а е А). Для того чтобы и была лучшим ответом на д, стратегия д должна удовлетворять неравенству:

(55)

- f eF

= tX gf Xze TU X

Y\

h (e)):Ae (A)

'f ,a

> )

-\Xgf ( X

K f eF V eEP

zt

\eEp J

= U (49) k

X 8/ а ^ V ( V а е А.

/ е-

Предположим, неравенство (54) не выполняется (то есть существуют некоторые а е А, для которых

где для доказательства неравенства в третьей строке использовался факт, что

e(a) h(e) < 2 "И h

X g fhf

> v

К A)

'f, a

для Vf e F.

Теперь, т.к. (д, и) — пара стратегий равновесия Нэша, выражение

2м (a)h

У, a

минимально для каждого , е Р, для которого д, > 0. Кроме того, это минимальное значение равно V. Тогда

v = mm

f eF

-^u(a) h

f, a

1 . = — mm

к f eF

^\ku (a)h

f, a

\aeA

< 1 к ,

(50)

/

Тогда нападающий предпочтет переключиться на игровую стратегию а с вероятностью 1 для получения более высокой выгоды. Это нарушает предположение, что (д,, , е Р) и (и(а), а е А) находятся в равновесии Нэша. Таким образом, д удовлетворяет (55). Теорема 1 доказана при условии, что верна Лемма 4.

Доказательство Леммы 4

Идея доказательства состоит в том, что, если стратегии (д,, , е Р) и (и. (а), а е А) находятся в равновесии Нэша, и к > 0 обозначает наименьший к > 0, для которого (ки.(а), а е А) принадлежит Ф(БН), то должно выполняться равенство:

где используем факт, что минимум меньше выражения ^ки (а) Ь.0 а = 1 . Следовательно, V = 1/к.

ku (a) =

e(a)

*(A)h (e)

(56)

Отсюда, используя (48), получим:

е (а)

для некоторого распределения вероятности (ге, е е Ршах). Это утверждение требует доказательства, потому что априорно можно написать только

1 = k = 2ku (a)=22z

;(A)h (e)

ku (a ) =

Aa)

iA)h (e)

■ d (a )

(57)

v

!ЛЕД

для некоторого распределения вероятности ^е, е е Ртах) и некоторого d(a), а е А, где d(a) > 0.

Рассмотрим (ки(а), а е А), для которого ^•= ^^име-

аеЛ

ет наименьшее возможное значение. Предположим, что d(A) > 0 для выражения (57), и докажем формулу (56) от противного. Пусть

,тогда V,

е Р.

X" (а )Ь/, а = 1 X Ы (а )Ь/, а =

=1XIX

аеЛ

е

(а)

г(А)к (е)

+ й (а)

а =

= 1 Х*е Т7-Т Х

. (а )

Ь (е) О^е (А)

у, а

+ 1 Xй (а )Ь/, а -

К аеА

- 1 X*е + 1 (/) = 1 +

л ееР л л

1

1 (/)

Теперь получаем

шт

/

Xм (а)Н

-/, а

уаеЛ

> — + шт

к /^

Г Ъ (/)л

V к у

/

Xм (аа = тш Xм (

Из (55) и (60) следует, что

/, а

1

< — к'

шт

/ ^

X")а = 1 и dh(f) = 0

для любого элемента , е Р — такого, что д, > 0.

е (а)

и

(а) = !Т4гл X

к - й (Л)£ее (Л)к (е)

Тогда

X" (а)= 1 и й(а)> 0

для всех а е А.

к = )ки (а) = ) )

аеЛ /

й (а)

'(а)

г (Л)к(е)

+а(л)=

у

5 Ц^е (Л)й (е)

= (к - а (л))) и (а)+а (л).

аеЛ

Из последнего уравнения получаем

( Ч к - й(А) , >, г/ (а) =-7—7 = 1.

± 1 ; к - й (А)

(63)

Для стратегии нападающего(и(а), а е А) в ответ на стратегию защиты (д,, , е Р) выгода нападающего численно не меньше 1/(к — d(A)). В самом деле,

X ё/ X й (а а =

/еР аеА

( /

= Х ё/ X

/е Р ^аеЛ \

1

к - а(Л)

X

Аа)

1

к - а (Л) /ЕР 1

Хё/ X

к (е)

г(А)к (е)

X Ф) к,

ОЬе(л)

\\

(64)

1

(58)

к - а (л/^ к - а (л) •

Однако для V, е Р, при условии д, > 0 выполняется d(f) = 0. Следовательно, выгода нападающего в случае использования им стратегии равновесия Нэша (и(а), а е А) равна

1 1

— < -

(59)

Отметим, что стратегии (д,, , е Р) и (и(а), а е А) находятся в равновесии Нэша, поэтому для всех , е Р — таких, что д, > 0 значение^и(а)Ь/,. одинаковое:

(60)

(61)

Отсюда (и(а), а е А) — распределение вероятности на А, которое может быть рассмотрено в качестве стратегии нападающего. Доказать этот факт можно просуммировав (57) по а е А:

(62)

k k - d(А) '

Отсюда, если d(A) > 0, нападающему может быть выгодно изменить стратегию. Это противоречит предположению, что (д, и) формируют равновесие Нэша. Таким образом, из d(A) = 0 следует, что d(a) = 0 для всех а е А, что мы и хотели показать.

Применение результатов

На основании рассматриваемой теоретико-игровой модели можно предложить следующий алгоритм принятия решений по управлению рисками ИБ:

1) Формируем множества Р и А.

2) Находим кЬа е К для всех а е А и всех , е Р; а также д(а) е К+ для всех а е А.

3) Для многогранника БН (формула (5)) строим одну из возможных матриц Р по формуле (12).

4) Для всех е е Р считаем значения h(e) и v(e) по формулам (13) и (14).

5) По формуле (15) определяем критические строки матрицы Р и вычисляем V как максимально достижимое значение в этой формуле. Формируем Ртах как матрицу, состоящую из критических строк матрицы Р.

ба) Если V < 0, то стратегия «Не нападать» (то есть и(а0) = 1) — оптимальная стратегия нападающего. Ищем стратегию защитника (д,, , е Р), находящуюся в равновесии Нэша с указанной стратегией нападающего в соответствии с неравенствами (16). В этом случае потеря защитника и выигрыш нападающего равны нулю.

бб) Если V > 0, то для стратегии нападающего (и(а), а е А), соответствующей выражению (17), ищем стратегию (д,, , е Р) защитника, которая удовлетворяет условиям (18). При этом потеря защитника равна значению выражения (19), а выигрыш нападающего равен V.

Примечание 1: Если д(а) = 0 для всех а е А, то всегда выполняется шаг 6б).

Примечание 2: Распределение (ге, е е Ршах) позволяет описать множество равновесий Нэша игры. Оно может использоваться, например, для моделирования предпочтений нападающего при атаке. В простейшем случае это распределение является распределением равновероятных событий.

7) Смешанная стратегия (д,, , е Р) позволяет осуществлять распределение ресурсов при управлении рисками ИБ: каждая вероятность события д, отражает пропорцию ресурсов, приходящихся на соответствующий элемент , е Р. Смешанная стратегия (и(а), а е А) отражает наиболее вероятные пути нападения на систему защиты игрока 1

Литература

1. ISO/IEC 27005:2011, Information technology — Security techniques — Information security risk management. Geneva, 2011.

2. D.R. Fulkerson. Blocking and Anti-Blocking Pairs of Polyhedra./ Math. Programming, 1971. — No. 1. — PP. 168 — 194.

3. BSI: Attack Pattern Glossary. — Cigital Inc., 2006.

4. NISTIR 7298 Revision 1. — Glossary of Key Information Security Terms, 2011

5. Данилов В.И. Лекции по теории игр. — М.: Российская, экономическая, школа, 2002.

6. S. Boyd, and L. Vandenberghe. Convex Optimization. — Cambridge University Press, March 2004.

7. Гальперин В.М., Игнатьев С. М., Моргунов В.И. Микроэкономика. В 2-х томах. — СПб: Институт. «Экономическая, школа», 2004.

8. L.A. Wolsey and G.L. Nemhauser. Integer and. Combinatorial Optimization. /1st ed. — Wiley-Interscience, November 1999.

9. Национальный стандарт. Российской Федерации ГОСТР 53114-2008. «Защита информации. Обеспечение информационной безопасности в организации. Основные термины, и определения».