Математическая модель систем защиты информации для нормативного прогнозирования состояния защищаемого объекта Текст научной статьи по специальности «Компьютерные и информационные науки»

НАУЧНЫЙ ВЕСТНИК МГТУ ГА серия Радиофизика и радиотехника

УДК 621

МАТЕМАТИЧЕСКАЯ МОДЕЛЬ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ ДЛЯ НОРМАТИВНОГО ПРОГНОЗИРОВАНИЯ СОСТОЯНИЯ ЗАЩИЩАЕМОГО ОБЪЕКТА

Г.П. ЖИГУЛИН

Статья представлена доктором физико-математических наук, профессором Козловым А.И.

В статье рассмотрена математическая модель систем защиты информации для нормального прогнозирования состояния защищаемого объекта.

Автоматизированные системы управления широко применяются в атомной нефте- газоперерабатывающей, химической промышленности, на всех видах транспорта, в навигационных системах, в системах управления и других областях.

Вывод из строя АСУ может повлечь сбои технологического цикла предприятия, систем управления, навигации и сопровождения транспорта и, как следствие, привести к авариям и катастрофам с гибелью населения.

Математическое описание системы защиты информации должно отражать основные объекты, имеющие к ней отношение. Это, прежде всего, объект защиты как элемент некоторого множества объектов защиты. Кроме того, необходимо описывать потенциальные атакующие объекты (заинтересованные в информации организации). В модели также должны быть учтены ресурсы организаций (общие, используемые для атаки и используемые для построения системы защиты). Далее, необходимо описывать возможные угрозы и системы защиты.

Две основные проблемы математического описания системы защиты - это исследование системы защиты конкретного объекта и исследование общего уровня защищенности корпоративной среды. Исследование системы защиты объекта необходимо для выбора оптимальной системы его защиты, а исследование уровня защищенности корпоративной среды - для выработки общих рекомендаций по повышению защищенности.

При исследовании системы защиты объекта необходимо задать следующие множества:

1. X - Множество возможных объектов защиты. В этом множестве выбирается защищаемый объект х. Множество задается как непрерывное пространство, в котором объект задается набором характеристик.

2. О - Множество потенциальных атакующих объектов. Также непрерывно. Используется непрерывное пространство, так как множество организаций, имеющие возможность атаковать объект, очень велико, и исследование их по отдельности очень трудоемко.

3. У - Пространство угроз (методов атаки). Это многомерное пространство может быть введено двумя способами. Первый вариант - когда измерениями являются интенсивность, объем, динамичность, другие характеристики угрозы. Второй вариант - когда угроза воспринимается как сочетание различных методов атаки, интенсивности которых откладываются по различным осям координат. Преимущество второго варианта - более точное описание угрозы, но он требует значительно более подробного изучения технических методов ее реализации.

4. Я - пространство ресурсов, которые могут быть использованы атакующими организациями. Это многомерное непрерывное пространство (например Жп, в котором по одной оси откладывается уровень административных ресурсов, по другой - финансовых, по третьей - технологических и так далее).

5. Ъ - пространство возможных систем (методов) защиты информации. Описание системы защиты информации, так же как и описание угроз, очень сложно. Система может описываться либо своей реакцией на различные виды угроз, либо какими-то другими характеристиками.

Для того чтобы определить, какие функции должны быть заданы в этих пространствах, необходимо понять, что мы должны определить, анализируя системы защиты информации. В ходе анализа необходимо выяснить следующие вопросы:

1. Кому интересна эта информация?

2. Какими ресурсами располагают заинтересованные в информации организации?

3. Какие угрозы могут быть реализованы при данных ресурсах?

4. Как реагирует на эти угрозы система защиты информации?

Однако ресурсы организации не однозначно задают возможные угрозы. Необходимо задать следующие функции:

1) р: X х О ® Ж - функция, задающая плотность распределения вероятности в пространстве атакующих объектов для данного объекта защиты;

2) г: О ® Я - функция, задающая ресурсы той или иной организации;

3) рЯ: У х Я ®Ж - функция, задающая плотность распределения вероятности угроз для атакующего объекта с данными ресурсами (если атакующий объект располагает ресурсами г е Я, то вероятность, что созданная угроза будет находиться в окрестности точки у е У объемом ёУ (мерой ф) составит ря(у, г)ёУ (ря(у, г)ф));

4) р2: 2 х У х Ж ® Ж - плотность распределения вероятности ущерба при данной угрозе у и системе защиты г (если установлена система защиты г и создана угроза у, то вероятность того, что ущерб составит от а до а+ёа равна рЪ(г, у, а)ёа).

Задание этих функций позволяет в дальнейшем определить величины, необходимые для выбора оптимальной системы защиты информации, в частности:

1) если рО: У х О ® Ж - функция плотности распределения вероятности угроз со стороны данного атакующего объекта, то рО(у, g) = ря(у, г(§));

2) если рУ: Xх У ® Ж - общая функция плотности распределения вероятности угроз для

данного защищаемого объекта х, то рУ (х, у) = | рО (у, g)р(g)ф. О (g), До - мера пространства

К

О;

3) если р2Я: X х 2 хЖ ® Ж - плотность распределения вероятности ущерба при данной системе защиты г данного объекта х, то р2Я (х, г, г) = | рУ (х, у) р2 (г, у, г )ф( у) (ф - мера про-

У

странства У). Пространство У можно заменить выделенным полем угроз У1 и интегрировать по нему;

4) если т2: Xх 2 ® Ж - математическое ожидание ущерба при данной системе защиты г

данного объекта х, то mZ (x, z ) = J apZR (x, z, a)da .

0

Необходимо минимизировать mZ(x, z) выбором z. В динамической системе защиты информации все функции становятся функциями времени, а mZ(x, z, t) получает смысл математического ожидания ущерба в единицу времени. Минимизировать в последнем случае необходи-

t m ax

мо J m Z ( x, z, t) dt , где [tmin, tmax] - время работы системы защиты.

t min

Необходимость задания вышеперечисленных функций приводит к появлению некоторых требований к пространствам X, G, R, Y, Z.

Итак, при математическом исследовании систем защиты информации мы должны решать следующие проблемы:

1. Выбор представления пространств X, О, Я, У и Ъ. Требования к ним - возможность выполнения необходимых математических операций и корректное описание угроз для У, систем защиты информации для Ъ.

2. Определение функции р(х, g) - исследование потенциальных атакующих объектов. Для этого необходим сбор и анализ информации о конкурентах и других организациях, заинтересованных в защищаемой информации.

3. Определение функции г(§) - определение ресурсов атакующих объектов. Это вопрос выяснения финансового положения, административного влияния и других возможностей потенциально атакующих объектов. Если вторая задача уже решена, можно ограничиться исследованием тех организаций, для которых р(х, g) не может быть названо пренебрежимо малым.

4. Определение функции рЯ(у, г) - исследование потенциальных методов атаки. Это технический вопрос, требующий изучения затрат, необходимых для создания тех или иных угроз, распространенных представлений о сравнительной эффективности и т.д.

5. Определение функции рЪ(г, у, а) - исследование характеристик данной системы защиты информации. Вопрос также может быть назван техническим и требует исследования характеристик данной системы.

Таким образом, перед нами математико-методологическая проблема (ответ на первый вопрос), техническая проблема (четвертый и пятый вопросы) и организационно-экономическая (второй и третий вопросы).

Поскольку все функции определяются не идеально точно, необходимо исследовать устойчивость методов по всем четырем функциям. Возможен также переход к дискретным пространствам У и Ъ и замена интегрирования суммированием.

В качестве пространства ресурсов Я используем пространство Ж2. По одной оси откладывается уровень финансовых ресурсов, по другой - административных. Это же пространство можно использовать в качестве множеств X и О. В этом случае необходимости в задании функции г(§) нет (она просто определяется как тождественная функция). Далее естественно предположить, что конкуренты данной организации принадлежат к тому же классу, что и она сама. Зададим функции плотности распределения вероятности атаки р(х, g) в виде

(х — § ) (х — § )

р(х1, х2, ^, £2) = п(g1, g2)ехр( — 1 21— — 2 22—). Здесь х1 - уровень финансовых ресур-

2а1 2а2

сов защищаемой организации, х2 - административных, g1 и g2 - то же для потенциального атакующего объекта. а1 и а2 задают характерное (среднеквадратичное без учета п(§ь§2)) отклонение уровня ресурсов атакующего объекта от уровня ресурсов защищаемого. Функция п(§1§2) задает долю организаций с данным уровнем ресурсов среди всех организаций. Эта функция нормируется так, чтобы р(х, g) было функцией плотности распределения вероятности (иначе

С С (х, — )2 (х2 — §2)2

ГОЮр^ ] р(х^ х 2 , gl, g 2 )dgl ^?2 = ] п( § 2 ) еХР( --— 2-2-¥§1 ¿§2 = 1). Определив таО 2—1-2— 2

ким образом функцию р(х, §), мы решаем экономическую часть задачи. При данных упрощениях анализ потенциальных атакующих объектов сводится к выяснению количества организаций того или иного уровня ресурсов, что значительно проще и надежнее, чем полный анализ информации о каждой конкретной организации, которая может показаться "подозрительной". В данном случае остается решить математико-методологическую проблему выбора пространств У и Ъ и техническую проблему определения функции плотности распределения вероятности угроз рЯ(у, г) и функции плотности распределения вероятности ущерба при данной атаке и системе защиты рЪ(г, у, а).

Наиболее простым вариантом характеристики угроз является характеристика угрозы с помощью одной скалярной величины - ее интенсивности. Иными словами, в качестве пространства У используется действительная ось. В этом случае для определения рЯ(у, г) можно считать,

, ч 1 , (у — у 0^ г2))2ч , ч г

что рн (у, г1, г2) = ,—--------ехр(—------------2—), где у0(г1,г2) - возрастающая функция г1 и

л/2ла( г!, г2) 2а(гl, г2)

г2, задающая наиболее вероятную интенсивность атаки при данном уровне финансовых и административных ресурсов, а(г1,г2) - функция, характеризующая степень неопределенности интенсивности в зависимости от ресурсов. Для построения функции у0(г1,г2) необходимо исследовать характер зависимости интенсивности атаки от используемых ресурсов, а определение а(г1,г2) -вопрос скорее психологического характера, так как неопределенность у связана прежде всего с человеческим фактором.

Для динамической системы защиты информации необходимо учесть, что угроза - не мгновенное явление, а процесс, и характеризовать ее в этом случае проще всего функцией интенсивности у(^). Считая зависимость интенсивности от времени одинаковой для всех возможных атак (считая у(0=уоАО, где А?) - заданная функция), нам достаточно задать распределение у0 для задания распределения у(^). Для задания же распределения у0 можно использовать приведенное выше:

, Л 1 , (у 0 — у 0(г^ г2))2,

рн ( у 0, гl, г2) = ^^---“ еХР( —----------72----).

л/2р-(г1, г2) 2a(гl, г2)

Последняя оставшаяся нерешенной проблема - определение пространства систем защиты Ъ и построение функции плотности вероятности определения ущерба при данной атаке и системе защиты рЪ(%, у, а). Очевидно, что с увеличением у функция плотности распределения вероятности должна изменяться так, чтобы математическое ожидание ущерба росло.

Окончательно для динамической системы защиты информации получаем следующую упрощенную модель с определением математического ожидания ущерба:

1. Используется пространство ресурсов Я вида Ж2 с уровнями финансовых и административных ресурсов как двумерное пространство.

2. Используется пространство угроз У как пространство функций вида у(0=у0ДО, где-заданная функция, показывающая характерное изменение атаки во времени.

3. Используется пространство систем защиты Ъ как пространство функций плотности распределения вероятности ущерба при данной угрозе и системе защиты рЪ(г, у, а).

4. Функция плотности распределения вероятности атаки имеет вид

, ч , ч , (х1 — §1)2 (х 2 — §2)\ _ _

р( х1, х 2, §1, § 2) = п( §1, § 2) ехр(—----------2-—-2-). а1 и а2 задают характерное отклонение

2_12 2_ 22

уровня ресурсов атакующего объекта от уровня ресурсов защищаемого, п(§1,§2) задает долю организаций с данным уровнем ресурсов среди всех организаций.

5. Функция плотности вероятности распределения угроз со стороны данного объекта определяется как:

, Л 1 , (у 0 — у 0(гl, г2))2,

рн ( у 0, гl, г2) = ^^--“ еХР( —-----------72----),

л/2р-(г1, г2) 2a(гl, г2)

где у(0=у0А0.

6. В этом случае общая плотность вероятности распределения угроз определяется как:

р¥ (х1 , х 2, у 0 ) = Ц рк ( у 0 , гl, г2 )р( х1 , х 2 , гl, г2 )^1 ^2 ,

н

где х1, х2 - уровни финансовых и административных ресурсов защищаемого объекта.

7. Плотность вероятности распределения "ущерба в единицу времени" определяется как:

Ра (а> *1> x2. z> t ) = J PZ (z> У 0 f(tX a)Pf (x1 > x2. У 0 УЬ0

для данного объекта защиты и системы защиты.

8. Математическое ожидание "ущерба в единицу времени" (в данный момент времени)

может быть найдено как m(x1, x2 z, t) = J apa (a, x1, x2 z, t)da, а общее математическое ожидание

0

t max

ущерба как m(x1, x 2, z) = J m(x1, x 2, z, t)dt. Это математическое ожидание и должно быть ми-

tmin

нимизировано выбором z.

Можно указать на следующие преимущества данной модели:

1. Модель не требует сбора информации о конкретных организациях, заинтересованных в объекте защиты.

2. Результатом моделирования является математическое ожидание ущерба за определенный промежуток времени.

Необходимо отметить и недостатки данной модели:

1. Модель применима лишь в случае, когда известен характер зависимости интенсивности угроз от времени.

2. Использование математического ожидания "ущерба в единицу времени" с последующим интегрированием невозможно в случаях, когда функция зависимости ущерба от времени не дифференцируема.

3. Для исследуемой системы защиты информации модель требует построения функции плотности вероятности распределения " ущерба в единицу времени" в каждый момент времени, то есть крайне требовательна к информации о системе защиты.

В том случае, если для нас необязательно получение математического ожидания ущерба при данной системе защиты информации, мы можем построить систему, лишенную вышеперечисленных недостатков.

Для построения такой модели будем задавать действия атакующей стороны функцией мощности Py(t), а действия системы защиты - функцией Px(t). Необходимо определить вероятность преодоления системы защиты Рпр. Если время атаки - от ti до t2, то можно задать такую функцию p(*), что:

P = J p()dt.

”р J Py (t)

Ясно, что функция p(*) должна быть убывающей. Однако при мощности атаки, существенно превышающей мощность защиты, данная вероятность будет равна 1. В этом случае важнейшей становится величина Ы^пр) - математического ожидания времени, необходимого для преодоления системы защиты информации. Можно ввести такую функцию /(•), что:

% P (t)

M )=JJ ()d‘ •

При этом функция /(•) должна быть возрастающей.

Функция Px(t) характеризует систему защиты и известна при моделировании. Функция же Py(t) при моделировании неизвестна, так как характеризует активность атакующей стороны. Однако если известны ресурсы атакующей стороны, то можно определить константы Ry и Pymax такие, что:

Py(t) <= Pymax,

ч

І Р? (I )Л = К? .

Разумеется эти условия не позволяют определить функцию Ру(г). Покажем алгоритм определения Рпр.

Пусть функция линейна или синусоидальна. Линейная функция определяется формулой:

К-у 2г - г, - г2

Ру (г) = ——+ь--------1—2,

у г2 - г, г2 - г,

к

при этом Ь е [0, Ру тах у— ] и при каждом Ь определяется функция Рпор(Ь) - вероятность ус-

г 2 - г1

пеха атаки при данной функции мощности.

Ртах

Р®

^2-М)

Ку Ху 2як

Синусоидальная функция имеет вид Р (г) =-------+ А зт(м>г + ф) =-------+ А зт(----г + ф).

12 |1 12 |1 12 |1

2Рк ^ Г

Условие ^ =----------необходимо для соблюдения требования I Ру (г)ёг = Яу .

г 2 - г1 г

В данном случае к должно быть натуральным, А е [0, Рутах ---— ], фе[0,2р]. Можно

12 |1

ввести функцию Рпор(к, А, ф) - вероятность успеха при данном виде РУ(г).

Допустим, что с вероятностью р1 функция Ру(г) линейна, с вероятностью р2=1-р1 синусоидальна. В случае линейной функции известна функция плотности вероятности распределения параметра Ь рЬ(Ь). Для синусоидальной функции известны вероятности значений натурального параметра к рк(к). При каждом к известны функции плотности вероятности распределения параметров ф Рф(ф) и А рА(А). И в этом случае вероятность успеха может быть определена как:

Ry Ry

P —— P ——

1 max 1 max

t2 -ti ¥ 2я t2 -ti

Рпр = Р1 | Рь (Ь)Рпр (Ь)йЬ + Р2 Р(ф)^ф I Рл (А)Рпр (^ А .

0 ¿=1 0 0

Как уже указывалось при высоком уровне ресурсов атакующего объекта и низком уровне ресурсов системы защиты вероятность преодоления системы защиты становится равной 1. В этом случае основным показателем становится математическое ожидание времени преодоления системы защиты, определяемое как:

Ry

P ——

М<Хр ) = Р J Pl (L)M(t пр X L)dL+Р2 ZJ p(j)dj J Pa (A)M(t пр )(KA j)dA,

0 k=1 0 0

где M (tn р )(k, A, j), M (tn р )(L) - математического ожидания времени преодоления системы защиты при данном виде Py(t).

Итак, мы можем определить вероятность преодоления системы защиты и математическое ожидание времени преодоления, зная уровень ресурсов атакующей стороны, заданный константами Ry и Pymax такими, что:

Py(t) <= Pymax,

t2

J Py ( t )dt = Ry .

ti

Если ценность информации задана константой V, то существует возрастающая по обоим аргументам функция r(Ry, Pymax) такая, что плотность вероятности распределения параметров Ry и Pymax может быть задана как:

( R Г ) ( ("(Ry, Py max) - V )2)

Pr (Ry , Py max ) = с exp( -----^----------) ,

где: о - некоторое среднее отклонение; с - нормировочный коэффициент.

Если вероятность преодоления системы защиты составляет при данных Ry и Pymax P^Rj,, Pymax), то общая вероятность преодоления системы защиты определяется как:

^р = J J ^р (Ry , Py max)Pr (Ry , Py max)dRydPy

Таким образом, использование вероятностных, статистических принципов моделирования естественно в области систем защиты информации, в том числе при исследовании системы защиты конкретного объекта.

Возможно два варианта выходных данных - это математическое ожидание ущерба при данной системе защиты информации или вероятность преодоления системы и математическое ожидание времени преодоления системы защиты информации. В первом случае нам удается получить большую информацию о системе. В этом варианте происходящие в системе процессы описываются более качественно. Однако вторая схема менее требовательна к анализу последствий тех или иных воздействий. Второй вариант не требует денежной или иной численной оценки ценности информации и различных ее фрагментов.

Кроме того существуют два различных способа получения информации о возможных уровнях ресурсов атакующей организации и вероятности различных уровней этих ресурсов. Первый вариант - анализ конкретных возможных атакующих организаций, вероятностей атак со стороны этих организаций и уровней их ресурсов. Второй вариант - непосредственное определение возможных уровней ресурсов, исходя из того, что информация неинтересна как существенно более крупным, так и существенно более мелким организациям. Первый вариант позволяет получить более точные данные, но значительно более требователен к исходной информа-

Ry

U -t

U -t

ции и чувствителен к ее ошибкам. Второй вариант более прост в реализации и использован в этой работе.

Наконец третьей проблемой является представление информации о возможных угрозах и различных системах защиты информации. Ясно, что минимальная информация об угрозе - это скалярное значение ее интенсивности или зависимость мощности угрозы от времени. Аналогично систему защиты информации можно описывать скалярным значением интенсивности защиты или зависимостью от времени мощности защиты. Однако в этом случае различие между техническими методами защиты информации неизбежно будет утеряно, как и различие между техническими методами реализации атаки. Поэтому потребуется моделирование различных атак при различных системах защиты, определение последствий и т.д. Итак, в этой ситуации вновь необходимо делать выбор между точностью моделирования и удобством его реализации. Компромиссным вариантом для описания систем защиты информации может быть описание их через "передаточную функцию" - вероятность преодоления системы защиты информации, математическое ожидание времени преодоления или плотность вероятности распределения ущерба при данной угрозе и данной системе защиты информации.

Для исследования уровня защищенности корпоративной среды могут применяться статические или динамические модели.

При статическом описании корпоративной среды число атак может быть определено как:

N

А = X ДА1,

/=1

где N - общее число объектов в среде, Яд; - уровень атакующих ресурсов данной организации. Число результативных атак определяется как:

N N Д Арез = сХ X ДА-,

>=1 '=и' & ДЗ]

где с - некоторая константа. Тогда результативность поля угроз может быть определена как отношение числа результативных атак к общему числу атак Арез/А.

В связи с этим интересен вопрос связи атакующих и защитных ресурсов организаций. Предлагается использовать зависимость вида:

ДА =—^~+Т ,

А Дз + т 2

где: К - коэффициент среды; Т1 и Т2 - параметры, характеризующие данную организацию.

Динамическая система защиты информации должна описываться во времени, и понятие атакующих и защитных ресурсов ЯА и ЯЗ сменяется понятием мощности атакующего и защитного воздействий РДХ) и РЗ0). Характер взаимосвязи атакующей и защитной производительности можно считать аналогичным взаимосвязи ресурсов:

К

РА V) = —-— + т2.

А рЗ V)+т 2

Число атак в зависимости от атакующей производительности определяется как:

а число результативных атак как:

N кон

а=ІІр* (> & ■

N N ‘кон р

а = І І І &.

рез /-і /-і J Р )

і=1 ]=и*]^. РЗі( !

і=і í

Інач

Отношение этих величин Лрез/Л определяет результативность поля угроз, а 1- Арез/А является показателем защищенности среды.

Функция связи атакующих и защитных ресурсов имеет, как показано выше, вид гиперболы. В случае динамического описания системы фиксированная гипербола взаимосвязи атакующих и оборонительных ресурсов сменяется «плавающей» гиперболой взаимосвязи мощностей атакующего и оборонительного воздействий.

На основании данного исследование можно сделать вывод:

Динамическое описание системы предпочтительнее, поскольку реальная мощность воздействий переменна и точность динамического моделирования выше. Описание системы через постоянные уровни атакующих и защитных ресурсов, с другой стороны, значительно проще в реализации. В то же время конкретный вид функции мощности зависит от технических способов реализации атаки и выбора этих способов управленческими решениями руководства организаций.

THE MATHEMATICAL MODEL OF INFORMATION DEFENSE SYSTEMS FOR NORMATIVE PROGNOSTICATION OF DEFENDED OBJECT CONDITIONS

Zigulin G.P.

The mathematical model of information defense systems for normative prognostication of defended object conditions is considered.

Сведения об авторе

Жигулин Георгий Петрович, 1957 г.р., окончил ВВМКУ им. М.В. Фрунзе (1980), кандидат технических наук, доцент, декан института комплексного военного образования Санкт-Петербургского государственного университета ИТМО, профессор кафедры мониторинга и прогнозирования ЧС, автор 86 научных работ, область научных интересов - информационная безопасность, защита информации.