Содержание к диссертации
Введение
1. Анализ состояния вопроса и постановка задач исследования 13
1.1. Сопоставительный анализ методик и стандартов для качественной оценки и управления риском 13
1.1 1 .Стандарт BS 7799 15
1.1.2.Стандарт SCORE 19
1.1.3.Стандарт CobiT 20
1.1.4. МетодСЯАММ 22
1.1.5.Табличные методы анализа рисков 24
1.1.6.Инструментальные средства анализа рисков 26
1.2. Стохастическая сущность процессов атак «сканирование портов» на компьютерные системы 28
1.2.1.Специфика гипергеометрического распределения вероятностей ущерба в контексте рассматриваемого типа атак 28
1.2.2.Сущность атаки «сканирование портов» 30
1.3. Параметры и характеристики вероятностной модели предмета исследования 34
1.4. Выводы по первой главе и постановка задач дальнейшего исследования 39
2. Вероятностные риск-модели компьютерных систем в условиях реализации атак типа «сканирование портов» 41
2.1. Понятийный аппарат 41
2.2. Риск-модели компьютерных систем, подвергающихся атакам «сканирование портов» из одного источника угрозы 44
2.3. Риск-модели для компьютерных систем, подвергающихся распределенным атакам типа «сканирование портов» 52
Выводы по второй главе 60
3. Построение динамической модели риска компьютерной системы при изменении параметров атаки «сканирование портов» 61
3.1. Назначение и методика определения матрицы чувствительности риск-моделей компьютерной системы с атакуемыми портами 61
3.2. Уравнения дополнительного движения риск-моделей компьютерной системы при изменении параметров атаки «сканирование портов» 71
3.3. Численное моделирование динамики рисков компьютерной системы при изменении параметров атак «сканирование портов» 81
Выводы по третьей главе 86
4. Специфика управления риском компьютерных систем при атаках типа «сканирование портов» 87
4.1. К вопросу о критериях качества управления информационным риском атакуемых компьютерных систем 87
4.2. Введение ограничений и постановка задачи оптимального управления информационным риском в компьютерных системах, атакуемых посредством «сканирования портов» 96
4.3. Алгоритмы и оценочные функции управления информационным риском в компьютерных системах, атакуемых «сканированием портов» 109
4.4. Выводы по четвертой главе 123
Заключение 125
Список использованной литературы
- Стохастическая сущность процессов атак «сканирование портов» на компьютерные системы
- Риск-модели компьютерных систем, подвергающихся атакам «сканирование портов» из одного источника угрозы
- Уравнения дополнительного движения риск-моделей компьютерной системы при изменении параметров атаки «сканирование портов»
- Введение ограничений и постановка задачи оптимального управления информационным риском в компьютерных системах, атакуемых посредством «сканирования портов»
Введение к работе
Актуальность. Информационно-коммуникационные технологии (ИКТ) являются одними из наиболее важных факторов, влияющих на формирование общества XXI века. Их революционное воздействие касается образа жизни людей, их образования и работы, а также взаимодействия правительства и гражданского общества:
В отсутствие ИКТ уже трудно представить глобальное информационное общество, которое во многом существует благодаря использованию большого количества компьютерных систем (КС), что содержит в себе и ряд негативных факторов. Специалисты в области информационной безопасности все больше осознают необходимость анализа и управления потенциальными информационными рисками в современных сложных КС.
Риск — это комбинация вероятности события и его последствий. Всякие действия приводят к собьітиялі и последствиям, которые могут представлять собой как потенциальные «положительные» возможности, так и «опасности» для организации и общества в целом. В настоящее время менеджмент включает в себя понятия положительного и негативного аспектов риска. Стандарты управления рискалш, соответственно, рассматривают риск с этих позиций. В сфере информационной безопасности, последствия наступления события рассматриваются с негативной точки зрения. Соответственно управление рисками уделяет основное внимание превентивным мероприятиям или мероприятиям, упреэюдающим и смягчающим размеры последствий. Для качественного использования превентивных мер защиты необходимо проводить адекватную оценку рисков с использованием моделирования негативных процессов протекающих в информационно-телекоммуникационых системах.
Сегодня одним из важнейших направлений совершенствования методического обеспечения информационной безопасности (ИБ) является переход от качественных и субъективных методов оценки рисков к количественным. Решение этих задач тесно связано с проведением оценок эффективности мер и средств защиты, под которой понимается способность системы защиты информации обеспечить достаточный уровень ее безопасности [2]. Вместе с тем, теоретические основы оценки защищенности и эффективности защиты информации в КС только начинают развиваться. Защищенность информации оценивается на основе проверки, соответствия совокупности принимаемых мер установленному для определенного класса защищенности КС перечню [1, 2]. Эффективность же мер и средств защиты, если и оценивается; то в основном на качественном и субъективном уровне, что значительно затрудняет адекватное их сравнение между собой, формирование формализованных процедур выбора, корректный учет процессов реализации угроз ИБ [7, 9, 10]. ;
Отсюда очевидно следует необходимость развития методического обеспечения количественной оценки эффективности необходимо разрабатывать математические модели процессов возникновения и реализации угроз безопасности информации.
Согласно Федеральному Закону от 27 декабря 2002 года N 184-ФЗ«0 техническом регулировании» под безопасностью понимают - состояние, при котором отсутствует недопустимый риск, связанный с причинением вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде [92]. Это определяет актуальность интегрирования процесса анализа рисков информационной безопасности в систему управления эюизненным циклом информационной технологии.
Угрозой безопасности информации принято считать совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с несанкционированными или непреднамеренными воздействиями на информацию [74].
Важнейшим фактором, определяющим защищенность КС, является наличие в них уязвимостей. Уязвимости могут быть обусловлены- как ошибками в конфигурации компонентов КС, так и другими причинами, в число которых входят ошибки и программные закладки в коде ПО, отсутствие механизмов безопасности, их неправильное использование, либо их неадекватность существующим рискам, а также уязвимости, обусловленные человеческим; фактором. Наличие уязвимостей в системе защиты КС, в конечном; счете, приводит к успешному осуществлению атак, использующих эти уязвимости.
Обычно реализация деструктивных действий с применением программных средств возможно только при проникновении нарушителям в операционную среду компьютера; Фактически проникновение в: операционную среду компьютера: — это: получение прав доверенного;; пользователя для выполнения некоторых штатных программ: и команд, предусмотренных в операционной системе. В1: общем; случае это . стохастическийіпроцесс
Поэтому в данной: работе предполагается построить вероятностную модель сетевой? атаки «сканирование портов» на компьютерную систему,,v содержащую конечное число уязвимых объектов. Данный класс атак, как это будет показано далее, базируется на; гипергеометрическом распределении вероятностей ущерба в силу фиксированное™ числа атак на заданные уязвимые: объекты. Причем многократное воздействие на однш и те: же уязвимости не допускается из-за специфики распределения, что характерно для процессов атак.сканирования сети;
Рипергеометрическое распределение возникает в- ситуациях, когда имеет место; выбор без возвращения. Структура многомерного гипергеометрического распределения-: довольно сложна. При? определенных условиях это распределение аппроксимируется . биномиальным распределением.
Неоднозначность изучаемых процессов и систем приводит к необходимости создания качественно новой методологии исследования, использующей имитацию и теорию вероятностей.
Имитационное моделирование — это метод исследования, основанный на том, что изучаемая система заменяется имитатором и с ним проводятся эксперименты с целью получения информации об этой системе. Как и любое компьютерное моделирование, оно дает возмоэ/сность проводить вычислительные эксперименты с еще только проектируемыми системами и изучать системы, натурные эксперименты с которыми из-за соображений безопасности или дороговизны нецелесообразны.
Математическим аппаратом для имитационного моделирования динамических дискретных систем служат так называемые сети Петри. Сеть Петри представляет собой двудольный ориентированный граф, состоящий из вершин двух типов — позиций и переходов, соединенных между собой дугами, вершины одного типа не могут быть соединены непосредственно. В позициях могут размешаться метки (маркеры), способные перемещаться по сети. Событием называют срабатывание перехода, при котором метки из входных позиций этого перехода перемещаются в выходные позиции.
Отсюда для более детального исследования оценки и управления рисками процессов сетевой атаки «сканирование портов» на компьютерную систему предполагается предварительно построить их имитационные модели и только после этого непосредственно перейти к моделированию их риск-анализа.
Сегодня в Российской Федерации отсутствуют единые методики оценки и управления рисками безопасности информационных систем: анализ рисков выполняется в соответствии с международным стандартом NIST 800-30; методика оценки риска нередко основывается на методе CRAMM и других подходах, носящих сугубо субъективный характер.
Адекватные риск-модели могли бы в перспективе решить многие из проблем принятия решений по защите от информационных атак, в частности от удаленного проникновения в операционную среду компьютера.
Объект исследования. Объектом исследования являются компьютерные системы, подверженные атакам «сканирование портов».
Предмет исследования. Предметом исследования являются вероятностные риск-модели процессов атаки «сканирование портов» на компьютерную систему, основанные на соответствующем законе распределения вероятностей.
Цель и задачи исследования. Цель работы состоит в разработке вероятностных моделей атак удаленного проникновения в компьютерную систему на основе сканирования, портов, моделирующих состояние защищенности компьютерной системы на основе законов распределения вероятностей наступления ущерба.
Для достижения поставленной цели необходимо решить следующие задачи:
- адекватно описать процессы атаки типа «сканирование портов» с помощью соответствующего закона распределения вероятностей ущерба, а также — построит и исследовать вероятностные риск-модели атакуемой компьютерной системы на основе перехода от распределения вероятностей реализации процессов к распределению риска в зависимости от ущерба;
- на основе функций чувствительности исследовать движение параметров риска при изменении параметров атаки и построить тем самым динамическую риск-модель проецсса;
- обосновать критерии качества управления рисками в условиях рассматриваемой атаки и разработать алгоритм управления риском при заданных атаках.
Методы исследования. Для решения поставленных задач использованы методы теории вероятностей и математической статистики, аппарат теории чувствительности и теории оптимального управления, а
также стандарты и методики анализа и управления рисками информационной безопасности.
Научная новизна. В работе получены следующие результаты, характеризующихся научной новизной:
аналитический подход к риск-анализу в отношении объекта исследования, в отличие от аналогичных подходов открывающий перспективу многовариантного анализа и оптимизации;
- матрицы функций чувствительности к изменению параметров атакуемых компьютерных систем при заданном количестве потенциально уязвимых объектов, отличающихся от известных возможностью формирования динамических риск-моделей;
предложен алгоритм управления рисками применительно к атакуемым компьютерным системам при заданном количестве потенциально уязвимых объектов, в отличие от известных учитывающий специфику атак типа «сканирование портов». На защиту выносятся:
- аналитические выражения для расчета рисков и защищенности компьютерных систем, атакуемых посредством атаки типа «сканирование портов»;
- аналитические выражения функций чувствительности риска к изменению параметров компьютерной системы, подвергаемой атакам типа «сканирование портов»;
- алгоритм управления рисками в компьютерных системах, подвергаемых атакам «сканирование портов» при заданных количествах потенциально уязвимых объектов.
Практическая ценность. Практическая ценность заключается в том, что разработанные алгоритмы могут быть применены непосредственно при оценке рисков успешной атаки на компьютерные системы аудиторскими
компаниями при комплексной оценке эффективности защиты, информации компьютерных систем от рассмотренной сетевой атаки, а также специалистами при построении компьютерной системы и выборе средств и мер при проектировании и модификации системы защиты.
Реализация результатов работы. Результаты работы были использованы в НТЦ «Орион» и внедрены в учебный процесс Международного института компьютерных технологий.
Публикации. По материалам диссертационной работы опубликованы 12 научных статей и докладов [99-110], из них 2 - в издании, входящем в перечень ВАК России. Личный вклад соискателя в работах, опубликованных в соавторстве, состоит в следующем:
• /99/ - предложена методика риск-анализа;
• /101/ - выдвинута гипотеза о законе распределения;
• /102/ - постановка задачи анализа защищенности-и управления рисками;
• /103/ - предложено дляприменения гипергеометрическое распределение;
• /104/ - предложен подход к управлению рисками;
• /105/ - получены аналитические выражения чувствительности;
• /106/ - предложены аналитические выражения риска;
• /109/ - предложено описание конфликтных ситуаций с помощью определенного вида распределения;
• /ПО/ - предложено описание параметров пространства оценки.
Апробация работы. Основные результаты диссертационной работы докладывались и обсуждались на следующих конференциях:
1. Межрегиональной. научно-практической конференции «Информационные риски и безопасность». Воронеж, 2007г.
2. VL Всероссийской научно-практической конференции с международным участием «Современные информационные технологии в науке, образовании и практике». Секция «Вычислительные машины, комплексы и компьютерные сети», Оренбург, 2007 г.
3. Региональной научно-практической конференции «Методы, системы и процессы обеспечения безопасности». Воронеж, 2008 г.
4. Межрегиональной научно-практической конференции «Проблемы обеспечения безопасности систем» Воронежского регионального отделения Академии проблем безопасности, обороны и правопорядка. Воронеж, 2008 г.
Структура и объем работы. Работа состоит из введения, 4 глав, заключения и списка литературы, включающего 110 наименований.
Во введении обоснована актуальность темы диссертации, сформулированы цель и задачи исследования, представлены основные научные результаты, выносимые на защиту, и описана их новизна.
В первой главе проведен анализ методик и стандартов для качественной оценки и управления рисками, рассмотрена специфика вероятностных задач и методов моделирования воздействия информационного оружия на компьютерные системы при фиксированном количестве объектов назначения, уязвимых и атакуемых объектов, обоснована возможность применения гипергеометрического закона распределения для построения вероятностных моделей воздействия на компьютерные системы атак рассматриваемого класса.
Во второй главе выдвинута и обоснована гипотеза о применимости гипергеометрического распределения для построения риск-моделей компьютерных систем, подвергающихся атакам типа «сканирование портов»; получены аналитические выражения параметров и характеристик риск-модели, описывающие компьютерные системы при рассматриваемом типе атак из одного источника; разработана аналитическая риск-модель для распределенных атак «сканирование портов» компьютерных систем, включая выражение ее параметров и характеристик.
В третьей главе проведено соответствующее аналитическое исследование и получена матрица чувствительности риска при изменении параметров компьютерной системы, атакуемой посредством «сканирования портов»; осуществлено численное моделирование динамики рисков для различных примеров атак типа «сканирование портов»; сформированы уравнения дополнительного движения риска и реализовано соответствующее численное моделирование с помощью построенных уравнений.
В четвертой главе в качестве критериев управления риском предложены соответствующие аналитические соотношения; выделены ограничения на процесс управления риском; формализована задача минимизации риска нанесения ущерба компьютерной системе при атаках типа «сканирование портов»; описан алгоритм выбора оптимальной системы защиты от данных атак; в качестве возможного решения задачи оптимального управления риском предложен алгоритм минимизации ущерба для атакуемой компьютерной системы.
Содержание работы изложено на 136 страницах машинописного текста, проиллюстрировано 25 рисунками и 25 таблицами.
Стохастическая сущность процессов атак «сканирование портов» на компьютерные системы
Исследуемое гипергеометрическое распределение вероятностей относится к классу дискретных распределений, где законом распределения является множество пар {х,,р,), где х, -это возможные значения случайной величины, а р, - вероятность появления данного значения, т.е. /?, = Р{Х = х,). Закон задается или в форме таблицы, или в виде формулы (выражающей зависимость вероятности от значения случайной величины) или в виде рекуррентной формулы [18].
Гипергеометрический закон распределения вероятностей позволяет оценить вероятность, с которой m атак злоумышленника на М компонентов системы приведёт ровно к х критическим атакам (атакам на уязвимости). При этом каждую новую атаку злоумышленник проводит только на уязвимости ещё не атакованные им ранее [17, 18].
Из описания гипергеометрического распределения можно выделить, следующие особенности: - в рассматриваемом информационном конфликте каждая новая атака должна проводится только на совокупность (объект, уязвимость) еще не атакованные ранее; - в рассматриваемом информационном конфликте не существует зависимости вероятности успеха последующего события от вероятности успеха предыдущего события; - в рассматриваемом информационном конфликте все события должны быть равновероятны.
Обозначим информацию, необходимую для успешной реализации атаки U = {и],и2,...,ип}} а информацию, необходимую для абсолютной защиты системы — Z = {z\ z2» -- zm}. Таким образом, под предметной областью описания информационных конфликтов компьютерной системы с помощью гипергеометрического распределения будем понимать t/uZnG, то есть всю совокупность информации, которой могут обладать атакующая и защищающаяся стороны при условии, что вероятностная модель атаки/защиты построена по гипергеометрическому распределению G.
Первый этап — удаленный сбор информации об атакуемой системе. Этот процесс используется для построения модели атакуемого компьютера и облегчает в будущем попытки проникновения. В настоящее время для удаленного сбора информации используются следующие документированные методы: - обнаружение хоста; , - обнаружение портов; - обнаружение сетевой топологии; - обнаружение операционной системы.
В рамках вероятностного моделирования в качестве первого этапа будем рассматривать «обнаружение портов».
Сканирование портов осуществляется с целью определения состояния порта и, если порт включен, то. какая служба к нему подключена. Потенциально уязвимыми портами являются те порты, которые являются, включенными и вход осуществляется от имени сетевой службы (например: DNS-клиент, ASP.NET State Service, журналы и оповещения производительности, координатор распределенных транзакций, локатор удаленного вызова процедур (RPC), удаленный вызов процедур (RPC)). Сущность данной процедуры заключается в передаче запросов сетевым службам хостов компьютерной сети и анализе ответов от них. [14,19,20].
Пусть множество имеющихся в системе портов состоит из М элементов, причем перечень открытых портов состоит из Mi элементов, а перечень закрытых соответственно (M-Mj). Будем считать, если порт открыт, то следовательно он уязвим, а если закрыт — уязвимость отсутствует.
В качестве подтверждения данной гипотезы проведем эксперимент. Возьмем два компьютера, соединенных между собой, и просканируем с одного компьютера другой при помощи утилиты nmap. Известно, что на атакуемом компьютере всего М=100 портов, из них Mi=40 открытых, атакующий компьютер может осуществить только т=60 атак. Таким образом, видно, что атака "сканирование сети" описывается по гипергеометрическому закону с вероятностью р = 0,99.
Второй этап рассматриваемой атаки заключается в запуске на атакуемом хосте различных программ, основная цель запуска которых - нарушение конфиденциальности, целостности, доступности информации и полный контроль за работой хоста [14,19,20]. Каждый порт предоставляет пользователям сети определенный сервис, через который запускается определенное приложение.
В качестве уязвимостей в данном случае выступает недостаточная защита (отсутствие защиты) от рассматриваемого вида атаки компьютерной системы. Таким образом, под объектом для данной атаки будем понимать перечень приложений, открытых для удаленного запуска непосредственно через уязвимые порты. При отсутствии защиты все атаки на уязвимые объекты будут успешными. При недостаточной защите количество успешных атак распределяется по гипергеометрическому закону.
Таким образом, полученное в результате успешного проведения первого этапа множество приложении, состоящее из т—L элементов, может быть подвержено атаке на втором этапе. Пусть Nj — количество уязвимых приложений в атакуемой компьютерной системе. При помощи гипергеометрического распределения можно построить вероятностную модель атаки «сканирования портов».
Для подтверждения данного предположения организуем новый эксперимент. Возьмем два компьютера соединенных между собой и будем последовательно запускать приложения через открытые порты. Из предыдущего эксперимента известно, что среднее значение успешных атак «сканирование сети» равное матожиданию случайной величины X, по формуле (1.5) соответствует значению M[XJ=24. Итак: количество приложений на атакуемой системе М[Х]=24, количество уязвимых приложений (тех у которых отсутствует защита) Nj =14, число атак п=\6. Случайная величина Г принимает значения успешных атак к. В ходе проведения 100 опытов была получена статистика, представленная в таблице 1.4.
Обычно под угрозой принято понимать потенциальную возможность нанесения компьютерной системе определенного ущерба. В связи с тем, что ущерб мы рассматриваем как одномерную случайную величину, то для ее дискретного распределения можно найти ряд числовых характеристик, которые помогут построить модели для риск-анализа атакуемых систем.
Объектом исследования настоящей работы является компьютерная система, подвергающаяся воздействию комбинированной атаки. Конечными уязвимыми объектами информационного конфликта будем считать набор приложений, выполнение кода которых возможно через уязвимые порты.
Риск-модели компьютерных систем, подвергающихся атакам «сканирование портов» из одного источника угрозы
Для атакуемой КС ущерб от деструктивного воздействия будем рассматривать как одномерную случайную величину. Поэтому для ее дискретного распределения (гипергеометрического) найдем ряд числовых характеристик, которые могут быть использованы для построения риск-модели атакуемых КС.
Используя гипергеометрическое распределение вероятностей наступления ущерба, определим риск и проведем оценку эффективности защиты КС. Относительную эффективность защиты системы в общем случае будем рассчитывать как отношение суммы величин, дополняющих Risk до единицы, к сумме вероятностей рисков.
Попытаемся определить величину риска как произведение величины ущерба на вероятность возникновения ущерба, тогда выражение для расчета риска для дискретного распределения вероятностей ущерба можно записать в следующей форме [57, 58].
В выражение (2.3) осуществим подстановку формулы гипергеометрического распределения (1.1). К примеру, если открыт 21 порт, то это означает, что в системе запущен и работает FTP-сервер (таблица 2.1). FTP-сервер предоставляет пользователям сети файлы с различными расширениями, в том числе и с расширение .ехе. Иными словами, злоумышленник в случае уязвимости какого- либо .ехе файла способен запустить его исполняемый код и использовать в своих целях, нанося ущерб организации, в ведении которой находится атакуемая система.
Далее рассмотрим ущерб, наносимый злоумышленником в рамках анализируемой атаки. Если наносимый ущерб не будет зависеть от выбранного потенциально уязвимого объекта и будет одинаковым для каждой успешной реализации атаки, то ущерб равен у = — . Будем рассматривать более общий случай, то есть для различных атак ущерб будет также различным.
Определив параметры информационного риска, перейдем к анализу защищенности системы. Защищенность - способность системы противостоять несанкционированному доступу к конфиденциальной информации, ее искажению или разрушению. На основе (2.4) получим аналитическое выражение для расчета абсолютного показателя защищенности &абс для компьютерных систем с заданным количеством потенциально уязвимых объектов согласно следующей формуле [57, 58].
Обычно под источником угрозы понимается субъект, материальный объект или физическое явление, физическое поле, создающие ту или иную угрозу безопасности информации [38]. В соответствии с предметной областью данной работы для гипергеометрического распределения рассмотрим возможность существования нескольких источников угроз для атак типа "сканирование портов ".
Структурная схема процесса распределенной атаки «сканирование портов» При реализации атак "сканирование портов" при наличии нескольких источников угроз возможна атака каждого источника угроз на выбранные подмножества множества уязвимостеи Sot т.е. S0 — {Sol,So2,...,Soa} на первом этапе воздействия и Z0 = {Zal,Zo2,...,Zob} на втором этапе воздействия, причем пересечение подмножеств уязвимостеи для всех источников угроз должно образовывать пустое множество Sgi ri5o2 r\...r\Sob =Ф и ZoXc\Zo2C\...r\Zob =Ф. Однако между подмножествами 5",. и 5Hj Z; и Z,-./ существуют зависимости, поскольку множество потенциально уязвимых объектов S0 (ZJ одно. Поэтому при деструктивном воздействии на элемент st є S0 остальные атаки через другие уязвимости, нацеленные только на s, є Sa будут неуспешными.
При этом из условия гипергеометрического распределения, каждая новая атака проводится только на уязвимости ещё не атакованные ранее [57, 58]. То есть каждая атака на выбранную уязвимость будет проводиться только один раз. Это означает невозможность организации одновременных, периодических и однотипных атак на компьютерную систему, имеющих гипергеометрическое распределение. Количество источников угроз должно быть равно г є М При наличии источников угроз, число которых не равно г, атаки на каждую уязвимость должны проводиться последовательно и результаты каждого этапа атак должны быть известны всем источникам угроз. Таким образом, данная модель во многом аналогична модели атаки из одного источника угрозы.
Для атак, описываемых гипергеометрическим распределением, можно выявить несколько закономерностей, связанных, в первую очередь, с особенностями распределения: - из множества уязвимостей S0 можно сформировать такие непересекающиеся, подмножества S0 = {Sol,So2,...,Soa} } что компьютерная система может быть атакована одновременно из нескольких источников угроз; - атаки должны последовательно переходить из S0 в Z0, поскольку между предыдущими подмножествами и последующими существуют зависимости, т.е. в- вероятностных моделях для второго этапа атаки "сканирование портов" группа атак может быть успешной только при условии успеха предыдущих атак первого этапа . При этом в силу специфики гипергеометрического распределения периодичность атак не рассматривается.
Кроме того, для рассматриваемой комбинированной атаки можно проанализировать зависимости случайных величин X и Y первого и второго этапа реализации воздействия. Из проведенных экспериментов объективно видно, что они связаны между собой. Меру зависимости между величинами наносимого ущерба определяет корреляция. Наиболее известна линейная корреляция (корреляция Пирсона). При вычислении коэффициента корреляции предполагается, что переменные измерены, как минимум, в интервальной шкале. Коэффициенты корреляции изменяются в пределах от -1.00 до +1.00.
Появление условной зависимости объясняется целями атаки. В случае сканирования портов это невозможность дальнейшего исследования компьютерной системы без сбора элементарных данных о системе (есть ли доступ к сети у компьютерной системы, ее физический адрес, а уже потом будут определяться операционная система и перечень включенных служб). В случае атаки «сканирование портов» нет смысла организовывать дальнейшие атаки, если объект уже успешно атакован.
Предположим, что в каждом подмножестве Sm только одна уязвимость, тогда модель риск-анализа компьютерной системы, атакуемой из нескольких источников сводится к модели риск-анализа компьютерной системы, атакуемой из одного источника. Определим основные параметры и характеристики риска для нормированного ущерба.
Уравнения дополнительного движения риск-моделей компьютерной системы при изменении параметров атаки «сканирование портов»
Ограничимся рассмотрением функции чувствительности первого порядка, считая это достаточным для решения поставленных в данной работе задач. Для проведения дальнейших расчетов найдем вектор чувствительности первого порядка, подставив в формулу (3.23) выражения (3.4), (3.6), (3.8) , (3.10), (3.12), (3.14).
Поскольку гипергеометрическое распределение является дискретным и все параметры распределения для данной работы являются- целыми неотрицательными числами, то Ах = \, поскольку при Дх = 0 производную рассчитать невозможно.
Запишем уравнение движения риска и его основных параметров. Однако, для построения уравнения движения моделей риск-анализа компьютерной системы необходимо определить взаимосвязи каждого из начальных параметров с моделью риск-анализа компьютерной системы, к каким последствиям для компьютерной системы может привести изменения того или иного параметра. Для определения данных взаимосвязей возьмем пример, приведенный в главе 1, для атаки типа "сканирование сети и удаленный запуск приложений".
Компьютерная система подвергается атаке, реализуемой посредством сканирования портов. К примеру, в данной системе: М — 100, М} = 40 JV, = 14, п = 16, т= 60. Изменяя начальные значения параметров, определим движения риск-моделей компьютерной системы.
Очевидно, величина риска Risk(y,k,n,M,Mx,m,Nx) чувствительна к изменениям параметра М (количество объектов в компьютерной системе) при к = 0. Это утверждение подтверждается определением гипергеометрического распределения, поскольку при М— оо, возрастает вероятность того, что к будет равно либо нулю либо единице и само распределение будет приближаться к биномиальному распределению. Величина риска также зависит от параметров п и Mi, причем данные параметры постоянно оказывают свое воздействие на риск. Наиболее чувствительна величина риска Risk к параметру М} (количество потенциально уязвимых объектов).
Как видно из рис.3.1, при небольших значениях параметра п величина риска наиболее чувствительна при больших і и не чувствительна при к - О, к= 1. С увеличением параметра п (с приближением параметра п к параметру N) появляется обратная закономерность. То есть при малых значениях к чувствительность достигает своего наибольшего значения, а при к =9 (максимальном значении параметра к) - своего наименьшего значения. Это связано с тем, что чем больше объектов будет атаковано, тем большая вероятность того, что атака будет успешной. В свою очередь, зависимость значения параметра относительной чувствительности SM от числа объектов, содержащихся в компьютерной системе иллюстрирует рисунок 3.2.
Особое поведение проявляет чувствительность при к= 0. В данной точке чувствительность достигает своего наибольшего значения. В точке к=9 чувствительность от параметра М достигает своего наименьшего значения. Динамика значения параметра относительной чувствительности л/, при изменении числа потенциально уязвимых объектов М; , содержащихся в компьютерной системе показана на рисунке 3.3. Рисунок 3.3. Огибающая зависимости значения параметра относительной чувствительности "- л/ от количества потенциально уязвимых объектов Mi в компьютерной системе
По отношению к параметру к закономерность аналогична закономерности чувствительности от параметра п, но менее ярко выражена. То есть при небольших значениях М/ с увеличением параметра к, наблюдается рост чувствительности. При увеличении М\ данная закономерность ослабевает, а при Мх - М наблюдается обратная закономерность (при увеличении к параметр Nt уменьшается).
С увеличением параметра т (с приближением параметра m к параметру М) появляется обратная закономерность. То есть при малых значениях к чувствительность достигает своего наибольшего значения, а при к =9 (максимальном значении параметра к) - своего наименьшего значения. Это связано с тем, что чем больше объектов будет атаковано, тем большая вероятность того, что атака будет успешной.
1. В целях построения динамической риск-модели проведено соответствующее аналитическое исследование и получена матрица чувствительности риска при изменении параметров компьютерной системы, атакуемой посредством «сканирования портов».
2. На этой основе осуществлено численное моделирование динамики рисков для различных примеров атак типа «сканирование портов».
3. Сформированы уравнения дополнительного движения риска и реализовано соответствующее численное моделирование с помощью построенных уравнений.
Введение ограничений и постановка задачи оптимального управления информационным риском в компьютерных системах, атакуемых посредством «сканирования портов»
Способ управления, который удовлетворяет всем поставленным ограничениям и обращает в минимум (максимум) критерий качества управления, называют оптимальным управлением. Для уменьшения области поиска способов управления используют ограничения 2 видов: 1 Ограничения первого вида, которые определяются законами среды в соответствии, с которыми происходит изменение управляемого объекта, чаще всего это целевая функция и представляются эти ограничения в виде алгебраических, дифференциальных или разностных уравнений; 2 Ограничения второго вида, которые вызваны ограниченностью ресурсов используемых при управлении. Математически они выражаются, системой алгебраических уравнений или неравенств. Математическая постановка задачи оптимального управления включает следующие элементы: 1 Математическое описание объекта управления. Обозначим через X состояние объекта, управления. В экономических системах для описания объекта управления не одна, а несколько переменных, то есть состояние объекта описывается векторной переменной X = (xj, х2, , x,J, где х;- компоненты состояния объекта, =1,..., п (количество деталей, -ая составляющая себестоимости), х{ может изменяться непрерывно или принимать конечное множество значений, к-ое значение имеет вид XfK)=z(x/K\ , хп(к)).
Тогда множество Х={х(1), , х(п)} называется пространством возможных состояний объекта управления, где X— это пространство решений, a xt не может принимать любые значения, то есть существуют ограничения на ресурсы. fi(x], ,х,){ = }0 при =1,..., ш; причем m не обязательно равно п. Для экономических задач удобно введение условие не отрицательности. Если Х/ а,-, где а, - произвольные числа, но не отрицательные, то для соблюдения условия не отрицательности следует ввести новую величину .у, = хга, 0. 2 Описания состояния внешней среды. Состояние внешней среды обозначим через 3. Воздействие внешней среды можно с некоторыми допущениями свести к конечному числу возможных состояний, тогда i9 . Тогда Є = {$!), , & } называется пространством состояния внешней среды, где / = 1,...., 1. Часто невозможно заранее знать точное значение 3, поэтому задаются не сами значения, а вероятности их распределения Р(3). 3 Описание управляющего воздействия. При управлении сложными объектами (экономическими системами) обычно используют несколько управляющих воздействий.U = (щ, и2, , и .Ъ реальных системах и, не могут быть какими угодно, то есть всегда рассматривается допустимое множество управляющих воздействий, 11= {и(1\ тР\ , и }, где г — конечное число. 4 Математическое описание критерия качества управления. Критерий качества управления, или q зависит: от состояния объекта управления, управляющего воздействия и внешней среды, то есть Q = (х, и, &). Часто q называют целевой функцией. 5 Описание изменения (движения) объекта управления.
Переменную t, которая является независимой, назовем аргументом процесса. Аргументом процесса может быть любая величина, но чаще всего — время. Переменная t может пробегать некоторый отрезок числовой прямой или отрезок натурального ряда t = t0 , to + 1, 1/4, Т. В первом случае процесс, происходящий в системе, называется непрерывным, во втором случае — дискретным или многошаговым. Системы в этих случаях называются соответственно непрерывными и дискретными (многошаговыми).
Множество допустимых процессов в задачах оптимального управления представляет собой множество М допустимых элементов. Теперь для постановки оптимизационной задачи необходимо ввести в рассмотрение целевую функцию или функционал J, заданный на множестве М. Задача оптимального управления будет состоять в выборе такого элемента Von = \Х0п(0 Uon(0) множества М, на котором функционал J достигает экстремального значения. Такой процесс мы будем называть оптимальным процессом, управление Uon(f) - оптимальным управлением, а траекторию Хоп (t) - оптимальной траекторией.
Первое из этих слагаемых оценивает качество процесса на \X(t), U(t)) на всем промежутке [0, 7], второе слагаемое - качество конечного состояния системы. Иногда в задачах оптимального управления конечное состояние системы Х(Т) задается. В этом случае второе слагаемое функционала (4.13) есть величина постоянная и, следовательно, не влияет на его минимизацию. Такие задачи называются задачами с фиксированным правым концом траектории. Условие X(T)=Xi следует добавить в качестве дополнительного ограничения: к условиям, определяющим множество допустимых процессов. Функционал (4.12) выбирается таким образом, чтобы содержательный смысл входящих- в него слагаемых отвечал цели управления в конкретной задаче.
