I ПРИМЕР ИСПОЛЬЗОВАНИЯ ТЕОРЕТИКОИГРОВОГО ПОДХОДА В ЗАДАЧАХ ОБЕСПЕЧЕНИЯ КИБЕРБЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ
Калашников Андрей Олегович, доктор технических наук
В работе рассматривается пример использования теоретико-игрового подхода при решении задач обеспечения кибернетической безопасности информационных систем с использованием «ложных» информационных объектов.
Ключевые слова: антагонистическая игра, кибербезопасность, «ложный» информационный объект
EXAMPLE OF USING OF GAME-THEORETIC APPROACH IN PROBLEMS OF ENSURING CYBER SECURITY OF INFORMATION SYSTEMS
Andrey Kalashnikov, Doctor of Technical Sciences
In this paper we consider an example of using game-theoretic approach for solving the tasks of ensuring cyber security information systems, using false information objects.
Keywords: zero-sum game, cyber security, false information object
1.Введение
Приоритетной целью государственной политики на современном этапе является переход на инновационный путь развития. Данный переход характеризуется интенсивным внедрением и использованием передовых информационных технологий в сферах экономики и финансов, промышленности и энергетики, транспорта и связи, государственного управления и национальной безопасности, науки и культуры, образования и здравоохранения и многих других.
Однако, широкое и повсеместное использование информационных технологий немыслимо без повышенного внимания к проблемам их собственной безопасности [1]. Это внимание проявляется не только в развитии и совершенствовании традиционных методов и средств защиты информации, но и в появлении новых подходов к обеспечению кибербезопасности информационных технологий и систем. Одним из примеров подобного подхода может служить постепенное внедрение методов активной защиты, включающей, в том числе методы дезинформации потенциального нарушителя, введения его в заблуждение. Частым случаем такого подхода может служить метод защиты «истинных» информационных объектов, на-
ходящихся в системе, путем создания защитником «ложных» информационных объектов. Данный подход не является чем-то принципиально новым, поскольку давно используется в военных и специальных операциях, однако в сфере информационных технологий данный метод только начинает обретать популярность, подтверждением чему служат последние редакции документов отечественных регуляторов (смотри, например [2]).
Необходимо отметить, однако, что использование подобного подхода требует обязательного учета возможных стратегий потенциального нарушителя, собственных стратегий защитника, а так же ясного понимания возникающих при реализации тех и других стратегий угроз и рисков. Иными словами, защитнику необходимо уметь принимать эффективные решения в условиях конфликтного взаимодействия с потенциальным нарушителем. В тоже время, представляется достаточно очевидным, что добиться требуемой эффективности при принятии решений без использования определенного математического аппарата будет достаточно затруднительно. Учитывая изначальную конфликтность взаимодействия защитника и нарушителя представляется целесообразным рассмотреть возможность использования для указанных целей аппарат теории игр.
Ниже будет рассмотрен один из примеров использования теоретико-игрового подхода для решения задач обеспечения кибернетической безопасности информационных систем с использованием «ложных» информационных объектов.
2. Постановка задачи
Рассмотрим формальную постановку задачи.
Пусть 0 = {о1,...,оЛ-} - множество «истинных» информационных объектов. Обозначим -
ценность «истинного» информационного объекта .
Предположим, что Игрок I (защитник) имеет возможность создать «ложных» копий информационного объекта . Будем считать,
что для любого «истинного» информационного объекта стоимость создания одной его
«ложной» копии одинакова и равна .
Обозначим
N
2Л ={(т15...,/%)|тг >0,^Щ = т,т = \,...,М)
/=1
- множество векторов вида , где, для
всех г = 1,...,N, тг > 0 - целые неотрицательные числа, которые характеризуют распределение «ложных» копий на множестве «истинных» информационных объектов. Будем рассматривать вектор ТО в качестве чистой стратегии,
а множество ТО в качестве множества всех чистых стратегий Игрока I.
Фактически, можно считать, что выбирая стратегию ТО, Игрок I трансформирует
множество во множество
0(т1mN ) = {с>1 °1, °2 О2 V} °]^ }
в котором объект типа присутствует
раз. Будем также полагать, что никто кроме Игрока I не в состоянии отличить «истинный» информационный объект от «ложного».
Предположим, далее, что Игрок II (атакующий) имеет возможность атаковать информационных объектов типа . Будем считать, что
для любого «истинного» или «ложного» информационного объекта из множества стоимость успешной атаки на него одинакова и равна .
Обозначим
Я= {(ки...,км) | > 0,£** = к,к =
1=1
- множество векторов вида (к1з..., kN), где, для
всех , - целые неотрицательные
числа, которые характеризуют распределение
количества успешных атак Игрока II на множестве «истинных» и «ложных» информационных объектов 0(т1,...,mN). Будем рассматривать вектор Я в качестве чистой стратегии, а множество Я в качестве множества всех чистых стратегий Игрока II.
Назовем пару векторов ((т1,...,тм),
(к1,...,км)) - ситуацией игры, а функцию
Н{{т1,...,ты),{к1,...,кИ)') - стоимостью игры
в ситуации ((;щ,...,тм),{к\,...,км)). Обозначим для всех :
к•
—!— (а, + ст1) - Лкг, если к( <т1+\ т{+1 .
(аг + ст1) - с1к1, если к{ > т1 +1
Рассмотрим выражение (1) более подробно. Учитывая ранее сделанное замечание о неразличимости «истинных» и «ложных» информационных объектов будем предполагать, что Игрок II выбирает объекты для атаки типа случай-
ным и равновероятным образом. Тогда, если
к, то выражение —+стг) представляет собой математическое ожидание ущерба Игрока I с учетом его затрат на создание «ложных» информационных объектов типа . Если же
(то есть Игрок II успешно атакует все «истинные» и «ложные» информационные объекты типа ), то ущерб Игрока I составит
(а{ +ст{) . В свою очередь, выражение йк1 представляет собой затраты Игрока II на проведение
успешных атак.
Учитывая выражение (1), определим стоимость игры в ситуации сле-
дующим образом:
(2)
Н ( т1,..., ^ ) (к,..., ^ ) =2 Ь(тг> к ) .
Будем считать, что в ситуации ((т1,...,тн), (к1,...,км)) выигрыш Игрока I равен Н1((т1,...,тн),(к1,...,кн))= -И((т1,...,т1Г),(к1,...,к1Г))1 а выигрыш Игрока II равен Нп((т1,...,тя),(к1,...,кя))=Н((т1,...,тя),(к1,...,кя)).
Поскольку значения М и К предполагаются конечными, то множества ТО и Я, так же конечны. Естественно предполагать, что в указанных выше условиях, Игрок I будет стремиться минимизировать, а Игрок II максимизировать свои выигрыши. Тогда имеем конечномерную антагонистическую матричную игру, решение которой в смешанных стратегиях может быть найдено с использованием известных методов линейного программирования [3].
(1)
к(т1,к,) = <
Обозначим рассмотренную выше игру Г1. Очевидно, что игра Г1 однозначно задается кортежем:
(3) Г1={(1,Д),М,М,К,(а1,...,а„),с,(1,Ни>) .
Выражение (3) фактически является аналогом традиционного представления игры Г1 в нормальной форме, где указываются множества игроков, их стратегий и выигрышей в различных ситуациях игры.
3. Анализ задачи
В рамках анализа приведенной выше задачи представляется целесообразным отметить следующие ее особенности.
Значения М и К задают для игроков I и II максимально возможные количества создаваемых «ложных» информационных объектов и успешных атак соответственно. В этом случае, максимальные затраты Игрока I будут равны С = с-М, а Игрока II - И = с1-К . Тогда, множество стратегий Игрока I можно представить в виде:
ЯП ={(/и1,...,шЛГ)|;и,. >0,£(с-/и,.)<С} ,
а Игрока II, в виде: лт <=1
■)<£»} .
Это дает возможность представить игру Г1 в альтернативной форме в виде кортежа:
Обозначим полученную игру Г2. Очевидно, что игры Г1 и Г2 эквивалентны и их нормальные формы совпадают. Выбор того или иного конкретного вида описания игры определяется исключительно удобством формулировок, зависящих от исходной постановки задачи.
Не смотря на то, что решение игры (3) существует (возможно, в смешанных стратегиях), его нахождение может вызвать определенные трудности, которые, прежде всего, связаны с размерностью задачи. Действительно, обозначим |ТО|
- мощность множества ТО, иными словами - количество чистых стратегий Игрока I. Обозначим ТО(т) - подмножество множества ТО, такое что
N
Щт) = | т1 > О= т}
1=1 '
где те М} и |ТО(т)| - мощность указанного подмножества. Очевидно, что
ЯК = Щ1) и...и ЩМ).
В соответствии с [4] имеем:
т?п)\= Е —=мт
УУ1 I И1 I
т1+...+тя=т *1—' ЧУ , тогда мощность множества ТО, или, иными словами, количество чистых стратегий Игрока I, будет равна:
м
|$Ш| = ^лгт.
т=1
Аналогично, количество чистых стратегий
к
Игрока II будет равно: |Я| = Е-^* . В этом случае
к=1
общее количество ситуаций игры может быть оценено величиной |ТО|х|Я|. Очевидно, что уже при достаточно скромных значениях N М и К размерность задачи линейного программирования для поиска решения игры Г1 становится чрезвычайно большой.
Большая размерность игры Г1, определяется, в первую очередь, тем фактом, что выбор игроками своих стратегий предполагается одновременным и независимым. Если отказаться от этого предположения, то размерность игры, в определенных случаях, может быть снижена.
Рассмотрим, например, следующую игру: сначала Игрок I выбирает свою стратегию из множества ТО, а затем, Игрок II, зная выбор Игрока I, осуществляет выбор своей стратегии из множества Я. Выигрыши и проигрыши в данной игре задаются функцией Н, определяемой выражениями (1) и (2). Обозначим полученную игру Г3. Несложно показать, что размерность игры Г3 равна
Л7-М+К
N и, соответственно, меньше размерности игры Г1. Может показаться, что в игре Г3 Игрок I находится в гораздо менее выгодных условиях, чем Игрок II. В общем случае это действительно так, однако в определенных случаях, как это показано ниже, у Игрока I может существовать оптимальная стратегия, не зависящая от действий Игрока II. Размерность игры Г3 при этом становится приблизительно равной N.
Возможен и иной путь снижения размерности игры Г1. Если, например, стоимость создания «ложного» информационного объекта удовлетворяет соотношению: с -аг < 0, для всех г = 1,..., N , то, как нетрудно показать, функция из
выражения (1) будет монотонно невозрастающей по т1 . Аналогично, если стоимость успешной атаки удовлетворяет соотношению:
-----~(а{ +стг)-<^ > 0 , для всех , то
т1 +1
функция , при дополнительном усло-
вии: к1 < т1 +1, будет монотонно неубывающей функцией по к . Тогда, в условиях игры Г1 Игроку I имеет смысл ограничить область поиска свои оптимальные стратегии только множеством ТО(М), а Игроку II - множеством Я(К). Обозначим подобную игру Г1 (М,К). Несложно показать, что размерность игры Г1 (М,К), как и размерность игры Г3, равна NM+K и, соответственно, так же меньше размерности игры Г1.
Игра Г1 , так же может быть обобщена следующим образом. Предположим, что стоимость
создания «ложного» информационного объекта равна , а стоимость успешной атаки на него - di > 0 для всех г = 1,...,N. Тогда выра-же ние (1) примет вид:
(4)
й(т,,£г) =
к;
ТП; +1
(аі + с,-тг) - с1{к{, если кі < тх +1
(аі + с,/иг) - сіікі, если кі >ті+\
(7) #(г',у') =
^ (а,- +с)-й?, если г = у а ■ - сі, если і ^ у
(8) Я(і,у) =
^(аг + с), еслм г = у aj,ecлuiФ у
Учитывая выражения (4) и (2), можно определить стоимость игры Н в ситуации
Обозначим рассмотренную выше игру Г4 . Игра Г4 однозначно задается кортежем:
(54)
Очевидно, что возможности по дальнейшему обобщению игры Г выражением (5) не исчерпываются.
4. Пример решения задачи
Пусть в условиях игры Г1 имеем: М=1 и К=1. То есть, Игрок I имеет возможность создать лишь один «ложный» информационный объект, а Игрок II имеет возможность успешно атаковать один из N+1 информационных объектов. Будем так же считать, что для значений и выпол-
нено следующее соотношение:
(6) а1 > а2 >... > aN > с > 0.
Последнее неравенство в выражении (6) отражает предположение, что стоимость создания «ложного» объекта меньше ценности любого «истинного» информационного объекта из множества . В этих условиях имеем:
-2(аг + с) < аг для любого г = 1,...,N.
Чистой стратегией Игрока I, в таком случае, можно считать порядковый номер I информационного объекта ог е О, для которого создается «ложный» объект, а чистой стратегией Игрока II, соответственно, порядковый номер у информационного объекта, на который совершается атака. В этом случае пара (1,у) будет являться ситуацией игры, а функция Н(1,у)- стоимость игры будет иметь вид:
В ситуации ([,]) выигрыш Игрока II составит Н1(1,у)=Н(1,]), а проигрыш Игрока I Н(1,у)= =—Н(1,у). Обозначим и чистые оптималь-
ные стратегии Игроков I и II, соответственно.
Игрок I будет стремиться минимизировать свой проигрыш, тогда, если он выбирает любую стратегию I 1, то, поскольку Игрок II будет стремиться максимизировать свой выигрыш, то он выберет стратегию у = 1, обеспечивая себе максимально возможный выигрыш и, соответственно, максимально возможный проигрыш Игроку I, что, разумеется, не может того устроить. Следовательно, не зависимо от действий Игрока II, оптимальной стратегией Игрока I будет стратегия ¡*= 1.
В свою очередь, Игрок II будет стремиться максимизировать свой выигрыш, тогда, поскольку оптимальной стратегией Игрока I будет стра-
__ 1 V
тегия I =1, то, как легко показать, оптимальной стратегией Игрока II будет стратегия ]*=1, если
-2(а1 + с) > а2 или стратегия]*=2, если
.
Приведенное выше решение для игры Г1(1,1) представляет собой в известной степени «вырожденный» случай. Тем не менее, это решение иллюстрирует подход, которого может придерживаться Игрок I при формировании своей оптимальной стратегии и в более общем случае. В своих дальнейших рассуждениях будем опираться на результаты, изложенные в [5], не приводя при этом строгих доказательств.
Рассмотрим игру Г1(М,К). Предположим, для простоты, что выполнено соотношение (6), причем с = 0 и ё =0. Чистая стратегия Игрока I : ТО(М), чистая стратегия Игро-
ка II: (к1з...,kN) е Я(К). Тогда в ситуации игры ((т1,...,тя),(к1,...,кя)) для всех 1 = 1,...,М
к! , ! а1, если к1 <т(+1
(9)
Цт1,к1) = -I т1 +1
а, , если к{ > /и, +1
Предположим, что существует стратегия ТО(М) такая, что:
Несложно показать, что без ограничения общности можно полагать, что стоимость успешной атаки Игрока II , тогда выражение (7) примет вид:
(10)
т1 +1
1
■
тогда, как несложно показать, стратегия
*
, ч
1 будет оптимальной стратегией Игрока I. Действительно, пусть (к1з...,kN) е Я(К) некоторая стратегия Игрока II, тогда его выигрыш (соответственно, проигрыш Игрока I) с учетом (9) будет равен:
(11) Я = аК.
1=1
Выберем произвольную пару индексов и ¡2 таких, что и построим, если это воз-
можно, стратегию (т1 ,...,тN ) е ТО(М) так, что для всех г = 1,...,N:
*
т1 , если г ^ г), г Ф г2
* 1 • •
/и, -1, если г = ?! .
т* +1,если г - г2
(12) т,° =
Тогда имеем:
N
(13) /и/ =
АН = Н((щ°,...,тн°),(к(,...,кнУ)-Н((щ = ^(/г(тг°Д1)-/г(/иД^)) =
¡=1
= (Л(т^* - ) - Кщ*,кк)) + (АО,.* +1,^ ) - Ктп^,кк )) = (Дт------------5!—-)аг + ( ^----------------:)аг2 =
1 1 11 ^ 2 2 2 /и,- »г, +1 1 /и, +2 /и,- +1 2
'1 Ч 12 '2
/и, а, + а, - /и,- а, А:, /и, а,- + £ а- - к; /и, а,- - 2к= а, к,■ а к, а
_ ^ *1 г1 *1 ’1 ’1 *1 *1 *1 _|_ *2 *2 г2 ’2 *2 *2 *2 *2____________*2 г2 ^ _______________»2 ^
тч*(тч* +1) (/и,2* + 2)(т,2*+1) я^* (тк* + 2)
к1 а к1 а а
Из (6) и (10) следует, что , тогда: -:---- -------:---- -----;---- .
(тг2 +1) (т2 +1) (т2 +1)
Откуда АН > 0, если существует некоторая стратегия (к1з...,км^) е Я(К) Игрока II, такая, что кг > кг . Очевидно, что такая стратегия существует.
Построим теперь, если это возможно, стратегию (т11,...,mN1) е ТО(М) так, что для всех г = 1,...,N:
*
т1 , если i Ф ^, г Ф г2
/я, +1, если I = ц .
* 1 • •
/и, -1, если I = 12
Тогда имеем:
АН - Н((т1\...,тм\(к1,...,к„))-Н((т1\...,тм*),(к^...,км)) - Е(Л(тД^) -Л(тД*,)) =
1=1
= (Кщ* +1.^ ) - )) + (КЩ2* -1Л2)- Кщ*А2 )) = (—-----------г—)а,- + (—^--------г—)«г2 =
1 1 1 1 2 2 2 2 /и,- +2 /и,- +1 1 т1 т{ +1 2
Ч Ч 2 >2
♦ * * * к т, а, + к; а,- - к; т, а, - 2к, а,■ к т, а, + Ь а,- - к, т= а, к; а к, а
_ ^ ‘1 Ч Ч Ч ‘1 Ч ‘1 ‘1_____‘1 ‘1 _|_ 12 12 12 2 12 12 12 12 ^ ^_______Ч____|_ 12 ^
{т* + 2){т* +\) тк*(т12*+\) К-/ + 2) т*
к, а к: а а
Из (6) и (10) следует, что тг > т1 +1, тогда: АН >(----------------1--------;---------------) =-;-(кг -к1).
(тк +1) (тч +1) (тк +1) 2 1
Из (6) и (10) следует, что тч > тг +1, тогда: АН > (----*2----------*----) =------*------(кг - к1).
Откуда , если существует некоторая стратегия Я(К) Игрока II, такая, что к1 < к2
Очевидно, что такая стратегия так же существует.
Таким образом, показано, что даже при минимально возможном в условиях игры Г (М,К) отступлении Игрока I от своей оптимальной стратегии ТО(М) у Игрока II появляется возможность
увеличить свой выигрыш. Приведенные выше рассуждения не являются, конечно, строгим доказательством данного факта, но показывают путь, на котором указанное доказательство может быть получено.
5. Заключение
В работе был рассмотрен пример использования теоретико-игрового подхода для решения за-
дач обеспечения кибернетической безопасности информационных систем с использованием «ложных» информационных объектов. Был сформулированы ряд теоретико-игровых задач, в том числе, в форме антагонистических матричных игр и рассмотрены пути их решения. Большинство рассмотренных задач носило постановочный характер, что оставляет широкий простор для будущих исследований.
Литература
1. Калашников А.О. Модели и методы организационного управления информационными рисками корпораций. М.: Эгвес, 2011. - 312 с.
2. Приказ ФСТЭК России от 11.02.2013 №17 «Об
утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» ^ес. гиЛекИтсНеБкауа^аБИсН^ачг^огт^Би^окитег^уЛЮ-ІекНтсНеБкауа^аБНсИгїа-іг^огтаІБИ^окитепІу/ pг¡kazy/703-pг¡kaz-fБtek-гoББ¡¡-ot-11-fevгalya-2013-g-n -17).
3. Протасов И.Д. Теория игр и исследование операций: Учебное пособие. - М.: Гелиос АРВ, 2003. - 368 с.
4. Сачков В.Н. Введение в комбинаторные методы дискретной математики. М.: Наука. Главная редакция физико-математической литературы., 1982. - 384 с.
5. Калашников А.О. Арбитражная модель ресурсного обеспечения информационной безопасности организационных систем// Управление большими системами. - 2006. - № 14. - С. 91 - 105.
References
1. Kalashnikov A.O. Modeli i metodi organizacionnogo upravleniya informatsionnimi riskami korporatsii. M.: Egves, 2011. - 312 s.
2. Prikaz FSTEK Rossii ot 11.02.2013 №17 «Ob utverjdenii Trebovanii o zashchite informatsii ne sostavlyayushei gosudarstvennuyu tainu soderjasheisya v gosudarstvennih informatsionnih sistemah» (fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/110-tekhnicheskaya-zashchita-informatsii/ dokumenty/prikazy/703-prikaz-fstek-rossii-ot-11-fevralya-2013-g-n-17).
3. Protasov I.D. Teoriya igr I issledovanie operatsii: Uchebnoe posobie. - M.: Gelios ARV, 2003. - 368 s.
4. Sachkov V.N. Vvedenie v kombinatornie metodi diskretnoi
matematiki. M.: Nauka. Glavnaya radaktsiya fiziko-
matematicheskoi literature., 1982. - 384 s.
5. Kalashnikov A.O. Arbitrajnaya model resursnogo
obespecheniya informatsionnoi bezopasnosti
organizatsionnih sistem // Upravlenie bolshimi sistemami. -2006. - № 14. - S. 91 - 105.