CC BY
32
УДК 004.056.5 В.Л. Токарев
Распознавание стратегии противодействующей стороны по текущим наблюдениям
Рассмотрен подход к распознаванию стратегии атаки на автоматизированную систему, основанный на предварительном построении нечетких моделей возможных стратегий, используемых для атак. Предложен метод, позволяющий по начальной последовательности действий атакующей стороны распознать выбранную ей стратегию и на этой основе прогнозировать её очередное действие с целью своевременного блокирования его реализации. Ключевые слова: условия противодействия, стратегия атаки, прогнозирование.
Далеко позади те дни, когда весь арсенал средств обеспечения информационной безопасности составляли устройства защиты и системы обнаружения вторжения. Сложность того, что и когда нужно защищать, налагающиеся к тому же правила и требования создают потребность в новом типе систем защиты информации, основанных на методах искусственного интеллекта. Одним из назначений таких систем является распознавание стратегии злоумышленника, начавшего атаку на защищенную автоматизированную систему хранения, и обработки конфиденциальной информации с целью прогнозирования очередного его шага получения доступа к защищаемой информации. Надежное прогнозирование действий злоумышленника дает возможность компьютерной системе поддержки принятия решений своевременно, в автоматическом режиме, создать барьеры на пути «движения» злоумышленника, что позволит: 1) сэкономить силы и средства, которые бы потребовались при выстраивании системы защиты информации, блокирующей все возможные пути несанкционированного доступа; 2) излишне не осложнять получение доступа санкционированным пользователям.
Некоторые вопросы построения компьютерных систем поддержки принятия решений рассмотрены в монографии [1]. В этой статье рассматривается один из подходов к задаче прогнозирования
действий противодействующей стороны (злоумышленника), основанный на оценивании в реальном времени стратегии, выбранной этой стороной для атаки на автоматизированную систему.
Для формализации задачи распознавания стратегии противодействующей стороны взаимодействие сторон можно представить схемой (рис. 1).
Процесс взаимодействия предлагается рассматривать как динамическую систему Е, состояние Ьк которой в каждый момент времени является функцией щ-1 - хода ЛПР (1-я сторона (1С)); хк - хода ПС (2-я сторона (2C)); мк — -действия окружающей среды (ОС - 3-я сторона). Под ходом понимается какое-либо действие, способное повлиять на состояние Ьк системы Е в дискретный момент времени к. Эволюцию системы Ек под воздействием ходов сторон в пространстве состояний можно представить в виде
sk+1 = Ек (к,хк,ик,мк ), е £, хк е X, ик е и, мк еЖ, к = п, (1)
где 5 - множество возможных состояний системы Е; Х - множество возможных ходов стороной 2С; и - множество возможных действий 1С, направленных на защиту информации в автоматизированной системе; Ж - множество ограничений (правил игры), установленных стороной 3С.
Действия (ходы) конфликтующих сторон (1С и 2С) преследуют противоположные цели
т(/)= 5-П/), / = 1С, 2С, пеК. Момент времени п соответствует достижению цели одной из сторон (вы-
Рис. 1. Схема взаимодействие сторон
pi sk 1=1
В.Л. Токарев. Распознавание стратегии противодействующей стороны по текущим наблюдениям 185
игрышу одной при поражении другой). 3-я сторона не имеет целью выигрыш, но она определяет правила взаимодействия и тем самым влияет на выбор пути достижения цели 1-й и 2-й сторон.
Предложена метрика p(,s^ ), k,n e K , позволяющая оценивать достижение цели j-й стороной, отвечающая требованию
1, если sn = т( j), vе[0,...,1], если kфn, (2)
L 0, если sn = т(—).
Процесс игры c точки зрения одного из игроков (1С) можно представить следующим образом:
g(2C) ( -ч;
h : (s0 ,U1,Х1)^ S1; g(2C) (s1 ,u2 x2;
^2 : (s0 ,U1,X1)^ S2; (3)
gPC) (п-1,ип ) хп; ^п • (п—1,ип , Хп ) ^ ^ *(
где - некоторая стратегия из множества О возможных стратегий, используемая 2С для
достижения цели т(2С).
Задача заключается в том, что по некоторой начальной последовательности процесса (3) требуется выбрать ¿(2С) е О(2С), наилучшим образом соответствующую полной последовательности (3).
Здесь О(2С) - множество возможных стратегий противодействующей стороны. Для четких множеств (/¡г.ь...А.к,...М.п) - это траектория, которая определяется выбранной стратегией £(2С). Для нечетких множеств (Д-.ц,...,А¿.к,...,Aг.n) - это стратегия, поскольку каждое Aг.k содержит некоторое множество ходов [к-к }, соответствующих одной стратегии £(2С). Здесь Aг.k - нечеткое множество, определяемое функцией принадлежности цлп (кг.к).
Тогда стратегию стороны 2С можно определить по последовательности ходов хк, сделанных в условиях -1,ик), и с учетом правил игры, установленных стороной 3С, при к = 1,...,п, т.е. в течение всего процесса (траектории).
Это позволяет определить путь достижения цели каждой стороной, как некоторую траекторию пар действий
{(хо,ио),...,(хк,ик),...,(Хп,ип); к,пеK} при м'к е№ . (4)
При этом каждой паре (Хк ,щ) соответствует к-е состояние sk, а паре (хп ,ип) - одно из состояний • ] = 1С или 2С. Отсюда стратегия поведения участников 1С и 2С определена как желаемая последовательность
Я(|) = [s0,...,ей)к,...5(>)}, ] =1С,2С. (5)
Тогда модель стратегии £(2С) можно определить как динамическую нечеткую модель вида
sk = gik (sk-1 ,(xk ,uk ^ (6)
где ¿к^ - функция перехода из состояния 5к в состояние 5к +1, которая определяется выбранной
стороной 2С стратегией gi. То есть эта функция является отображением стратегии gi на к-м шаге взаимодействия.
На основании этого предложено задачу оценивания стратегии свести к задаче оценивания функции gi по имеющейся последовательности
{ho,hi,...,hk,...,hm}, Ьк =(sk,(xk,uk)), m <n . (7)
Разнообразие ходов сторон щ eU, xk eX на каждом шаге к взаимодействия приводит к «размытости» траекторий в рамках одной стратегии g(2C). При отсутствии такой «размытости» и ограничении числа шагов к = m, i-ю стратегию g(2C) можно определить как отображение,
позволяющее определить (т+1)-е состояние:
(2C) ч (2C) е . л gi ^ Sim+1 e S, i =1,...,P .
С учетом размытости каждую стратегию противодействующей стороны можно представить как
o-(2C) (2C):
множество Hi 'траекторий достижения цели т ;
Hi2C) ={(hi.1,...,hi.k,...,hi.n), i = 1,2,..}, (8)
hi i ehi.к eHk "'An eHn. «Размытость» траекторий (8) предложено учесть с помощью нечеткой динамической модели вида
A e Ai.1 л• • • л hk e Ai.k л • • • л hm e Ai m ^ sm +1 e Bi, (9)
где нечеткие множества Аi k определены на множестве значений Hi~2<C), а нечеткое множество Bi -на множестве значений S.
Тогда в нечеткой модели (9) i-й стратегии вместо sK будем использовать bK - нечеткое множество с функцией принадлежности |Vbk (sk) , вместо uK будем использовать cK - нечеткое множество с функцией принадлежности |vCk (uk), а вместо xK будем использовать dK - нечеткое множество с функцией принадлежности |dk (xk), можем первый этап обработки последовательности (Ai.1,...,Ai.k,. .,Aim), для которой m < n, свести к получению оценки по правилу:
Если истинна нечеткая импликация (|bk (sk),VCk (uk)) ^ Vdk X), то истинна оценка gi^ , где
К (Xk)}.
истинность импликации соответствует max
i I' dk
Совокупность таких моделей, построенных для каждой цели т(2С), каждой ситуации, включающей исходное состояние s0, имеющиеся ресурсы r0 составляют базу знаний компьютерной системы оценивания нечеткого множества состояний системы F:
gfC): (A1.1,..., A1.k v^ A1.m ) b1.m+1,
g 22C): (A2.1,..., A2.k,..., A2.m ) b2.m+1, (10)
§p ):(Ap.1,...,Ap.k^.^Ap.m))bp.m+1, где р - число возможных стратегий для каждой четверки <т(2С), s0, r02C), h0>, T(2C)eT - конечное множество возможных целей, s0eS, r02C) e R ; hike Hi: запятая внутри скобки означает конъ -юнкцию.
Тогда на всем множестве полученных оценок gfk\ k = 1,...,m,i = 1,...,p , отыскивается страте-
гия, оценка которой определяется правилом
g *(2C)
= max {Ni/m},
k=1,...,m, i=1,..., p
где N - число оценок г-й стратегии.
Полученная оценка позволяет своевременно сделать прогноз следующего хода противодействующей стороны. Поскольку на момент прогноза известны значения ,ит+1) , то можем использовать полученную оценку стратегии ,(2С), а обратившись к соответствующей записи
В.Л. Токарев. Распознавание стратегии противодействующей стороны по текущим наблюдениям 187 (srn >Mm+l)^Mv? (xk) , хранящейся в базе знаний системы поддержки принятия решений [2],
можем получить оценку х^ , используя любой способ дефаззификации [3].
Рассмотрен подход к распознаванию стратегии атаки на автоматизированную систему, основанный на предварительном построении нечетких моделей возможных стратегий, используемых при атаках. Получен метод, позволяющий по начальной последовательности действий атакующей стороны распознать выбранную ей стратегию и на этой основе прогнозировать её очередное действие, с целью своевременного блокирования его реализации. На основе этого подхода можно создавать компьютерные системы поддержки принятия решений, позволяющие своевременно в автоматическом режиме выстраивать барьеры на пути «движения» злоумышленника к защищаемой информации, экономя при этом временные и материальные затраты.
Литература
1. Токарев В. Л. Компьютерная поддержка принятия решений. - М.: Изд-во СГУ, 2007. - 162 с.
2. Токарев В. Л. Интеллектуальная поддержка выбора решения по защите информации // Проблемы правовой и технической защиты информации: сб. научных статей. - Барнаул: Изд-во Алт. унта, 2008. - С. 141-144.
3. Борисов В.В. Нечеткие модели и сети / В.В. Борисов, В.В. Круглов, А.С. Федулов. -М.: Горячая линия - Телеком, 2007. - 284 с.
Токарев Вячеслав Леонидович
Д-р техн. наук, профессор каф. информационной безопасности Тульского государственного университета
Тел.: +7-910-943-74-36
Эл. почта: [email protected]
Tokarev V.L.
Recognition of rival's strategy using actions detection
The approach to recognition of attack strategy to computerized system is considered. This approach is based on fuzzy models of possible attack strategy beforehand building. The method permitted on initial sequence of rival's actions to recognize strategy selected him for attack is suggested. That estimation of strategy makes it possible to forecast the next rival's operation and its implementation to block promptly. Keywords: counteraction, attack strategy, forecasting.
