Игровые риск-модели защиты автоматизированной информационной системы (ИС) с помощью ложной ИС по различным игровым сценариям

Принципы функционирования ЛИС, причины их использования и классификация. Риск-моделирование защиты автоматизированной информационной системы посредством ЛИС. Управление эффективностью работы ЛИС. Расчет сметной стоимости и договорной цены исследования.

Рубрика Программирование, компьютеры и кибернетика
Вид дипломная работа
Язык русский
Дата добавления 04.02.2016
Размер файла 2,5 M

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

2 уровень хоста. Этот уровень соответствует парадигме "хостов-ловушек" ("Honeypot"). Данный уровень предполагает размещение компонентов ЛИС, имитирующих отдельные хосты, в компьютерной сети целевой системы;

3 уровень сегмента (основных компонентов целевой системы). На данном уровне ЛИС имитирует целевую систему в целом. При обнаружении атаки злоумышленник перенаправляется с целевой системы на ЛИС. Этот уровень соответствует сетям ловушек ("Honeynet") и, в большей степени, их развитию - парадигме "ферм ловушек" ("HoneypotFarms").

1.7 Постановка задач исследования

Таким образом мы рассмотрели механизм функционирования автоматизированной информационной системы с учетом работы ложной информационной системы, построили модель автоматизированной информационной системы, как среды реализации основных видов угроз реализации атак, определили понятии и область применения ложных информационных систем. Кроме того, мы оценили возможность применения теории игр для решения проблем, связанных с созданием ложных информационных систем и разработали модель, на базе которой выявили требования к разработке эффективных ЛИС.

Исходя из выше сказанного, можно сформулировать задачи исследования:

1 провести исследование ЛИС с учетом оценки сценариев поведения злоумышленника;

2 исследовать применимость теории игр в рамках принятия решений ЛИС по защите АИС;

3 разработать риск-модель защиты АИС на различных этапах противодействия атаки ЛИС;

4 исследовать функцию ущерба и провести оценку рисков реализации атак с учетом применения игровых сценариев взаимодействия ЛИС и злоумышленника;

5 разработать подход к оценке эффективности работы ЛИС с учетом вероятностного подхода;

6 разработать методику управления эффективностью работы ЛИС.

2. Риск-моделирование защиты автоматизированной информационной системы посредством ложной информационной системы

2.1 Принципы риск-моделирования защиты автоматизированной информационной системы посредством ложной информационной системы

При участии ЛИС в защите АИС "истинные" информационные объекты, находящиеся в АИС, защищаются путем создания "ложных" информационных объектов, которые и служат потенциальными целями для атак злоумышленника. В силу существования разнонаправленных способов построения ложных информационных систем, уровень защищенности информации в таких АИС различный. Чем больше в АИС ложных объектов, тем больше вероятность того, что злоумышленник выберет в качестве своей цели для атаки именно ложный объект. Однако для создания большого количества ложных объектов необходимы значительные ресурсы АИС и стратегия заманивания злоумышленника в ЛИС [34,37].

Таким образом, необходимо осуществлять обязательный учет возможных стратегий как самой ЛИС, так и злоумышленника, а также иметь четкую и актуальную модель реализации защиты ЛИС на различных этапах.

Осуществим моделирование реализации защиты АИС с учетом противодействия ЛИС. Любая ЛИС должна выполнять следующие функции [4,10,37]:

1 прослушивание сетевого трафика и захват данных для последующего анализа (фиксация действий нарушителя);

2 сбор и объединение данных от различных программных и аппаратных компонентов целевой АС;

3 переадресация несанкционированных запросов на компоненты ЛИС;

4 контроль действий нарушителя, в том числе оповещение администратора о компрометации, блокирование действий нарушителя;

5 обнаружение несанкционированных запросов и атак, включая атаки, осуществляемые по криптографическим соединениям;

6 заманивание и автоматическое реагирование на действия нарушителя с введением его в заблуждение.

Для описания модели реализации защиты ЛИС положим, что АИС является закрытой системой, т.е. нет никакой иммиграции или эмиграции объектов и узлов. Пусть в АИС общее количество элементов будем считать равнымN, а элементы сети обозначим ni, тогда

, (2.1)

где N - сеть;

ni-объекты сети;

l - номер набора параметра;

- множество всевозможных наборов параметров одного объекта;

- отображение, задающее соответствие между объектами сети и множеством комбинаций их параметров.

Пространство наборов зависит от выбора значимых параметров объекта при построении модели. Выбор множества влияет на степень детализации при имитации распределения параметров. Кроме этого, включение в рассмотрение нового значимого параметра означает, что он должен присутствовать как у реального объекта, так и у ЛИС, а значит, выбор влияет и на глубину имитации. Можно сказать, что задав пространство , мы, фактически, задаем степень реалистичности модели [84,88].

С целью введения злоумышленника в заблуждение ЛИС и злоумышленник должны работать во взаимосвязанных подсетях. Для любых n1, n2 N запись будет означать, что хосты n1 и n2 принадлежат одной подсети. Объект n1 находится в отношении принадлежности одной подсети с объектами n2 и R1, последний из которых представляет собой маршрутизатор. Построенная модель противодействия объектов ЛИС и злоумышленника посредством маршрутизатора R1 изображена на рисунке 2.1.

Размещено на http://www.allbest.ru/

Рисунок 2.1 - Модель противодействия объектов ЛИС и злоумышленника

Множество всех подсетей в сети обозначим через D. Вырожденный случай, когда сеть не разделена на подсети, записывается в этом случае так:

(2.2)

Таким образом, ЛИС может использоватьсяв противодействии со злоумышленником не только в рамках одной подсети, но возможную последовательную передачу информации одного объекта через другой. Разработаем модель защиты ЛИС при реализации атак на АИС.

2.2 Моделирование защитных действий ложной информационной системы на этапе анализа вредоносных воздействий злоумышленника

Смоделируем деятельность ЛИС при реализации защиты АИС от атаки злоумышленника. Пусть Z - злоумышленник, целью которого является НСД к информации, циркулирующей в АИС, L - ложная информационная система, осуществляющая защиту автоматизированной информационной системы.

Злоумышленник Z может являться как пользователем самой автоматизированной системы, так и находиться с внешней стороны АИС путем реализации атак удаленного доступа. Рассмотрим наиболее актуальный случай, когда злоумышленник Z реализует атаку удаленного доступа в отношении АИС (DDOS атака, сетевые черви, спам, скрытые каналы передачи информации, попытки сканирования сети).

Ложная информационная система в процессе защиты АИС направлена на выявление следующих нарушений () [36,37,42]:

1 политики межсетевых экранов АИС;

2 попыток сканирования состава АИС;

3 попыток сканирования портов узлов АИС;

4 попыток осуществления компьютерных атак на узлы АИС (в том числе воздействий вредоносного ПО, такого как сетевые черви, эксплоиты);

5 несанкционированных попыток осуществления доступа к узлам АИС;

6 неуспешных попыток подключения к любым ресурсам (файлы и папки в сетевом доступе, базы данных, прикладные системы), требующим прохождения процедуры аутентификации.

Положим, что злоумышленник Z производит соединение с web-сервером и передает GET-запрос или передает сетевые пакеты. Поступающие из вне сетевые пакеты сначала проходят предварительную фильтрацию посредством межсетевого экрана, затем анализируются на предмет наличия атак системой обнаружения вторжений. В случае, если пакет отнесен к категории подозрительных или обнаружена явная атака, он перенаправляется на компоненты ЛИC. Пусть K - компонент ЛИС, отвечающий за анализ обнаружения вторжений. Анализ ЛИС действий злоумышленника изображен на рисунке 2.2.

Размещено на http://www.allbest.ru/

Рисунок 2.2 - Анализ ЛИС действий злоумышленника

В случае, когда злоумышленник предпринимает действия к реализации удаленной атаки, и компонент ЛИС K выявил некоторые нарушения, ложная информационная система блокирует действия злоумышленника (происходит разрыв сетевого соединения). ЛИС оповещает администратора безопасности A и записывается в журнал регистрации событий M сообщение об обнаружении злоумышленника, действующего с IP-адреса xxx. xxx. xxx. xxx. Анализ регистрационной информации в журналах аудита безопасности всех устройств и средств защиты и ее сопоставление является одним из важнейших мероприятий по обеспечению безопасности. События, зарегистрированные на одном узле сети могут не классифицироваться как несанкционированные действия, но в совокупности с событиями другого узла могут говорить об атаке. Противодействие ЛИС реализации атаки злоумышленника изображено на рисунке 2.3.

Рисунок 2.3 - Противодействие ЛИС реализации атаки злоумышленника

Программа swatch анализирует в режиме реального времени поступающие в журнал регистрации событий M сообщения и выполняет команду, изменяющую конфигурацию пакета iptables. Таким образом, все сетевые пакеты с IP-адреса xxx. xxx. xxx. xxx направляются на серверы сети-приманки [43,61].

Когда злоумышленник обнаруживает, что его запрос не был выполнен по какой-либо причине (одной из таких причин может быть потеря сетевого пакета во время маршрутизации), он пытается повторить его. При этом запрос идет на компоненты ЛИС, осуществляющих работу по выявлению узлов, с которых [42,43,61]:

1 происходит сканирование сети;

2 происходит несанкционированная отправка пакетов IP к несуществующим ресурсам сети;

3 происходят попытки или предпосылки для проведения DOS атаки;

4 происходит атака типа brute-force (подбор пароля методом перебора);

5 происходят попытки несанкционированной отправки писем;

6 происходят несанкционированные обращения к ресурсам сети;

7 происходит целенаправленная атака на ресурсы сети.

Запоминание злоумышленника является также важнейшим этапом, необходимым для того, чтобы, выявив несанкционированные воздействия и их источник, в дальнейшем ЛИС расценивала все его действия как несанкционированные и осуществляла введение его в заблуждение. Это позволяет не допустить дальнейших действий злоумышленника, даже если они не будут распознаны системой как враждебные [45, 61].

Таким образом, если злоумышленник Z попытается вновь (после закрытия сетевого соединения) произвести атаку, его запросы автоматически будут перенаправлены на сервер-приманку, где все его действия будут записаны для дальнейшего анализа.

2.3 Моделирование защитных действий ложной информационной системы на этапе эмуляции объектов

Использованием ЛИС в качестве своеобразной ловушки для злоумышленников можно повысить уровень информационной безопасности АИС при незначительных затратах. Трудности на данном этапе связаны с анализом типа вредоносных воздействий и оценке ресурсов, необходимых для эмуляции объектов на различных уровнях.

Смоделируем процесс заманивая злоумышленника в ЛИС и эмуляции объектов. Компонентой K ЛИС отслеживается вся сетевая активность . Пусть злоумышленник Z сформировал запрос . При приеме каждого очередного запроса ЛИС анализирует его на предмет того, не является ли источник этой активности уже зарегистрированным в системе:

1 в случае если данная активность не исходит от зарегистрированного злоумышленника, она анализируется на предмет идентификационных признаков несанкционированных воздействий в ней;

2 в случае если признаков несанкционированного воздействия в анализируемом запросе не выявлено, он передается дальше к элементам АИС.

Анализ повторных запросов злоумышленника изображен на рисунке 2.4.

Размещено на http://www.allbest.ru/

Рисунок 2.4 - Анализ ЛИС повторных запросов злоумышленника

В соответствии с описанным выше обобщенным алгоритмом функционирования ЛИС при выявлении признаков несанкционированных воздействий в анализируемом запросе адрес источника активности запоминают и оповещают об инциденте администратора ИБ.

Далее идентифицируется тип несанкционированного воздействия и выделяются свободные IP-адреса с различной степенью удаленности друг от друга. ЛИС заранее создает резерв свободных IP-адресов в сети (например, из диапазона 10.10.0.0/24 могут быть зарезервированы 10.10.0.15, 10.10.0.94, 10.10.0.212).

Случайным образом из предварительно заданного перечня эмулируемых ресурсов выбирается операционная система , выбираются сервисы, которые присущи выбранной операционной системе , и эмулируются в рамках того же объекта , после чего из перечня известных уязвимостей каждого сервиса выбираются уязвимости (или наборы уязвимостей) , и также эмулируются. Запрос злоумышленника направляется в эмулированный объект АИС, а его деятельность в системе в соответствии с выше описанным обобщенным алгоритмом функционирования ЛИС осуществляется регистрация действий нарушителя. Эмуляция ложных объектов изображена на рисунке 2.5.

Размещено на http://www.allbest.ru/

Рисунок 2.5 - Эмуляция ложных объектов ЛИС

За выделенными IP-адресами происходит создание имен, на ресурсы которых, может претендовать злоумышленник. Сетевая активность, направленная к выделенным IP-адресам, кроме широковещательных запросов, расценивается как атака. Это связано с тем, что данные IP-адреса не используются легальными ресурсами.

Таким образом, применение эмулированных объектов в работе ложной информационной системы позволяет не только предотвратить удаленную атаку, но и собрать информацию о злоумышленнике и самой атаке. Смоделировав процессы идентификации злоумышленника, эмуляции объектов и предотвращения атаки посредством ЛИС необходимо разработать концепцию работы ЛИС на основе применения теории игр.

2.4 Игровые сценарии взаимодействия ложной информационной системы и злоумышленника

Моделирование в условиях неопределенности соответствует полному отсутствию некоторых необходимых для этого данных (теория игр). Математические модели принятия оптимальных решений в конфликтных ситуациях строятся в условиях неопределенности. В теории игр оперируют следующими основными понятиями [12]:

1 ход (выбор и осуществление игроком одного из предусмотренных правилами игры действий);

2 стратегия (технология выбора варианта действий при каждом ходе в зависимости от сложившейся ситуации);

3 функция выигрыша (служит для определения величины платежа проигравшего игрока выигравшему).

Применяя теоретико-игровые подходы к решению задач безопасности АИС защищаемой посредством ЛИС необходимо рассматривать взаимодействие "нападение - защита", предсказывая действия злоумышленника и определяя ответные действия ЛИС (игры ведутся двумя игроками - "злоумышленником" и "ЛИС", и у каждого из них имеются всего по два возможных действия: {"нападать", "не осуществлять никаких действий"} и {"защищаться", "не осуществлять никаких действий"} соответственно). Выделим методы теории игр, в соответствии с которыми будем рассматривать взаимодействие злоумышленника и ЛИС [12].

Принцип минимакса. Принцип оптимальности в антагонистических играх, выражающий стремление ЛИС и злоумышленника к получению наибольшего гарантированного выигрыша, что, соответственно, максимально увеличит проигрыш соперника.

Решения игр в смешанных стратегиях. Если информация о действиях противной стороны будет отсутствовать, то игроки будут многократно применять чистые стратегии случайным образом с определенной вероятностью. Такая стратегия в теории игр называется смешанной стратегией. Смешанная стратегия игрока - это полный набор его чистых стратегий при многократном повторении игры в одних и тех же условиях с заданными вероятностями.

Игровые модели в условиях неопределенности. В таких случаях для определения наилучших решении используются следующие критерии: максиимакса, Вальда, Сэвиджа, Гурвица. Критерий максиимакса основан на том предположении, что принимающий решение действует осторожно и избирает чистую стратегию, гарантирующую ему наибольший (максимальный) из всех наихудших (минимальных) возможных исходов действия по каждой стратегии. С позиций максиминного критерия Вальда природа рассматривается как агрессивно настроенный и сознательно действующий противник типа тех, которые противодействуют в стратегических играх. В соответствии с критерием Вальда из всех самых неудачных результатов выбирается лучший. Риск является основой минимаксного критерия Сэвиджа, согласно которому выбирается такая стратегия, при которой величина риска принимает минимальное значение в самой неблагоприятной ситуации. Критерий пессимизма-оптимизма Гурвица при выборе решения рекомендует руководствоваться некоторым средним результатом, характеризующим состояние между крайним пессимизмом и безудержным оптимизмом.

В рамках нашей работы будут рассмотрены риск ориентированные подходы, которые используют в качестве входных данных предполагаемые стратегии злоумышленника и ЛИС. Используя данную методику мы получим оценки риска реализации атаки и анализ эффективности ЛИС. Сформулируем условия, в которых происходит взаимодействие ЛИС и злоумышленника, и разработаем для них чистые стратегии.

2.4.1 Разработка чистых стратегии ложной информационной системы и злоумышленника

Пусть - множество истинных объектов подлежащих защите, , - ценность истинного объекта для АИС.

ЛИС имеет возможность создать для любого объекта с определенным набором параметров "ложную" эмуляцию . Тогда для любого истинного объекта стоимость создания одной его эмуляции одинакова и равна [34, 36].

Взаимодействие злоумышленника и ЛИС представим в виде некоторой последовательности шагов. Каждый шаг порождает некоторый вид активности, обнаруживаемый ЛИС. После первой активности, которую ЛИС распознает как подозрительную, осуществляется попытка предсказать последующие шаги предполагаемого злоумышленника и расширяется множество наблюдаемых параметров. АИС наблюдает расширенный список параметров в течение некоторого периода времени . Обозначим множество дополнительных параметров наблюдения. До выявления подозрительной активности система обнаружения вторжений наблюдает базовый набор критических параметров (в это время цена системных ресурсов постоянна).

Пусть S (t) - цена дополнительных ресурсов, затрачиваемых на мониторинг множества :

(2.3)

где f - средний весовой коэффициент, определяющий цену одного наблюдаемого параметра;

k - количество наблюдаемых пар "объект - параметр".

Множество векторов вида (), которые характеризуют распределение эмуляций на множестве истинных объектов, можно определить следующим образом

(2.4)

Тогда вектор 5 является чистой стратегии ЛИС, а множество 5 совокупностью всех чистых стратегий ЛИС.

В случае если владелец АИС выбирает стратегию 5, ЛИС преобразует множество во множество , в котором объект присутствует раз [34, 36].

Пусть злоумышленник имеет возможность атаковать объектов. Тогда для любого истинного или ложного информационного объекта из множества стоимость успешной атаки на него одинакова и равна . Множество векторов вида , где - целые неотрицательные числа, которые характеризуют распределение количества успешных атак злоумышленника на множестве объектов АИС можно представить как

(2.5)

В таком случае вектор является чистой стратегией, а множество 5 используется в качестве совокупности всех чистых стратегий злоумышленника [34, 36].

Тогда - ситуация игры, а функция - стоимость игры в ситуации .

2.4.2 Принятие решения ложной информационной системой в условиях неопределенности

Пусть ЛИС обдумывает принятие стратегии из N возможных решений. Но ситуация неопределённая, она может быть одной из N. Построим матрицу последствий.

(2.6)

Элемент этой матрицы показывает ущерб, нанесенный злоумышленником, если ЛИС принято i-е решение, а ситуация j-я.

Построим матрицу рисков

(2.7)

где - величина риска ЛИС при использовании хода i в условиях j;

- ущерб, который АИС получила бы, если не знала выбор хода злоумышленника;

- ущерб, если бы ЛИС знала, что установится условие .

Таким образом, матрица имеет вид

(2.8)

Если бы ЛИС реально знала, что будет j-я ситуация, то было бы выбрано решение с наименьшим ущербом. Однако в ситуации неопределенности ЛИС принимая i-е решение рискует увеличить ущерб - что и есть риск. В таких ситуациях, решения могут приниматься по следующим критериям [53, 54, 95, 98]:

1 правило Вальда (правило крайнего пессимизма).

Владелец АИС уверен, что какую бы стратегию не приняла ЛИС, ситуация сложится для него самая плохая, так что, принимая i-е решение, он получит максимальный ущерб. Затем из чисел владелец АИС выбирает минимальное и принимает соответствующее решение.

(2.9)

2 правило Сэвиджа.

Владелец АИС находит в каждой строке матрицы рисков минимальный элемент и затем из этих чисел находит максимальное и принимает соответствующее решение. Используя такой подход, владелец АИС принимает решение с минимальным риском.

(2.10)

3 правило Гурвица.

Для каждой строки матрицы ущербов находят следующую величину

(2.11)

Далее найдем из чисел и получим соответствующее решение.

Число для каждой АИС владелец выбирает индивидуально. отражает отношение успешного исхода к рискам, при приближении к 0 правило Гурвица приближается к Вальда, а к 1-правило розового оптимизма ( крайний пессимизм, крайний оптимизм).

Таким образом, на основе матрицы ущербов и матрицы рисков владелец АИС имеет возможность принимать решения в условиях неопределенности, отыскивая оптимальное решение. Однако такие решения являются грубой оценкой стратегий и не позволяют производить вычисления оптимальных стратегий по формулам с использованием вероятностей. В связи с этим, необходимо рассматривать принятие решений ЛИС в смешанных стратегиях, когда полный набор его чистых стратегий при многократном повторении реализации атак с заданными вероятностями.

2.4.3 Принятие решения ложной информационной системой в условиях риска

Принятие решений в условиях риска представляется возможным тогда, когда известна функция распределения вероятностей стратегий злоумышленника. Таким образом, смешанная стратегия игрока характеризуется распределением вероятности случайного события, заключающегося в выборе этим игроком хода.

Смешанной стратегией ЛИС называют такой упорядоченный набор чисел (вектор) , который удовлетворяет двум условиям:

1 ?0 для , т.е. вероятность выбора каждой стратегии неотрицательна;

2 , т.е. выбор каждой из N стратегий в совокупности представляет полную группу событий.

Смешанной стратегией злоумышленника называют такой упорядоченный набор чисел (вектор) , который удовлетворяет двум условиям:

1 ?0 для , т.е. вероятность выбора каждой стратегии неотрицательна;

2 , т.е. выбор каждой из M стратегий в совокупности представляет полную группу событий.

Рассмотрим функцию ущерба, которая представляет собой функцию двух переменных k и m. Эти переменные входят в нее неравноправно, что является отражением неравноправия злоумышленника и ЛИС. Дело в том, что ЛИС имеет цель защитить АИС от реализации атаки, поэтому ее поведение носит целенаправленный характер.

Пусть с целью организации полноценной защиты АИС, ЛИС располагает сведениями о некоторой вероятностной мере, в соответствии с которой появляются те или иные решения злоумышленника. В том случае, когда множество ходов злоумышленника является конечным и вероятностные меры сводятся к заданию вероятностного вектора (априорного распределения вероятностей) , где , при этом есть вероятность появления состояния j.

Зададим матрицу ущерба KM=. При принятии решения в условиях риска ЛИС, выбирая стратегию i, получает ущерб с вероятностью Тогда для ЛИС принятие решения происходит в условиях риска и исходом, соответствующим выбору стратегии i, является случайная величина, распределение которой задано следующим рядом в таблице 1.1.

Таблица 2.1 - Распределение вероятностей при принятии решений ЛИС в условиях риска

….

Тогда ЛИС целесообразно выбрать ту стратегию, для которой среднее значение ущерба минимально. В качестве оценки стратегии i используем математическое ожидание соответствующей случайной величины

(2.12)

Тогда оптимальную стратегию ЛИС можно получить следующим образом:

или (2.13)

Математическое ожидание представляет собой величину, к которой будет приближаться средний ущерб ЛИС при выбора им стратегии I с ростом числа испытаний. При этом вероятность вероятность выбора хода ЛИС остается одной и той же. Риск в данном случае - это тот минимальный ущерб, которого невозможно избежать при выборе какой-либо чистой стратегии. Исследуем данный подход при помощи матрицы рисков:

(2.14)

Учитывая данный подход, принятие решения в условии риска ЛИС получим решение, соответствующие минимальному среднему риску

(2.15)

Таким образом, мы рассмотрели подход к принятию решения ЛИС в условии риска, при котором ЛИС имеет некоторое представление о распределении вероятностей принятия решения злоумышленником. В реальных же ситуациях работы ЛИС необходимо рассматривать процесс принятия решения учитывая распределение вероятностей не только злоумышленника, но и ЛИС.

2.4.4 Принятие решения ложной информационной системы в условиях дуэли

В противодействии ложной информационной системы и злоумышленника лежит борьба, основанная на совершении единовременного действия, которое заключается в создании ложного объекта. Злоумышленник принимает решение об атаке и подбирает для этого нужный момент, а ЛИС преждевременно создает ложный объект с целью введения в заблуждения злоумышленника [17,28,62].

Рассмотрим противодействие злоумышленника и ложной информационной системы пошагово в виде дуэли, при этом продвижение каждого из участников навстречу друг другу заключается в n шагах. После каждого сделанного шага злоумышленник получает все больше информации о ложной информационной системе и может провести или не провести атаку. Ложная информационная система в свою очередь также анализирует обстановки и может либо создать ложный объект либо не создать. При этом факт атаки или создания ложного объекта у каждого участника может быть у каждого только один.

Пусть вероятность выбора успешной стратегии, если продвинуться на l шагов, равна . Стратегия ложной информационной системы заключается в принятии решения создать ложный объект на i-м шаге.

В таком случае вероятность принятия решения реализации атаки злоумышленником на объект АИС будет , а - вероятность создания ложного объекта ЛИС.

Тогда в случае, еслиi<j и злоумышленник принимает решение произвести атаку на j-м шаге, то вероятность успешного отражения атаки ложной информационной системой задается произведением вероятностей

(2.16)

где - вероятность реализации атаки на объект АИС (истинный или ложный, в случае создания эмулированного объекта);

- вероятность создания эмулированного объекта.

Таким образом, оценка проигрыша или победы заключается в разности вероятностей успешного отражения атаки ложной информационной системой и успешного проведения атаки злоумышленником. В случае i>j первым атакует игрок 2 и . Если i=j, то полагаем . Игровая матрица, умноженная для удобства на 5, при n=5 имеет вид

В связи в вышеизложенным, мы получили подход к оценке вероятности успешного отражения атаки. Получим функции риска и эффективности работы ЛИС. Для этого разработаем подход к оценке функции ущерба от успешной реализации атаки (обход ложного объекта).

Сформулируем принцип оценки ущерба для АИС с учетом работы ЛИС. Ложный объект создается с целью недопущения проникновения злоумышленника к истинному объекту. Таким образом ущерб необходимо рассматривать с учетом потери пользы, приносимой истинным объектом с момента преодоления злоумышленником ложного объекта. Пусть усредненная польза от работы истинного объекта может быть найдена в следующем аналитическом виде:

(2.17)

где -

(2.18)

где - момент завершения работы истинного объекта.

Рассмотрим график функции полезности истинного объекта ЛИС на рисунке 2.6.

Рисунок 2.6 - График функции полезности истинного объекта

Функцию полезности истинного объекта ЛИС можно представить с учетом процесса создания и завершения работы, учитывая этапы приносимой пользы: период развития, обусловленный развертыванием и введением в эксплуатацию - коэффициент нелинейности и период деградации, обусловленный устареванием и последующем выводом из эксплуатации процесса - . Тогда функцию полезности можно представить следующим образом

(2.19)

Ущерб для АИС от обхода злоумышленником ложного объекта представляет собой упущенную пользу, которую мог бы приносить истинный объект, если бы в момент времени объект не утратил свою работоспособность вследствие реализации атаки (площадь ). Тогда, функцию нормированного ущерба можно получить проинтегрировав функцию полезности в интервале от до .

(2.20)

где

- момент прекращения работы ложного объекта.

Учитывая специфику работы АИС, можно принять, что на этапе развертывания истинного объекта атака злоумышленнику мало вероятна и не является для него информативной. Этап деградации также носит формальный характер, т.к. вывод из рабочего состояния объекта АИС занимает малейший промежуток времени относительно закладываемой продолжительности жизни объекта.

Тогда применим нормирование по, в пределах которого будем изучать поведение функций ущерба и пользы

(2.21)

С учетом стоимости создания ложного и истинного объектов ущерб можно определить следующим образом:

(2.22)

где - стоимость создания истинного объекта АИС;

- стоимость создания ложного объекта АИС;

- этап прекращения работы ложного объекта.

Нормированный ущерб можно получить следующим образом

(2.23)

где W - проектная польза истинного объекта.

Тогда риск реализации атаки злоумышленником (обход созданного ложного объекта или реализация атаки до создания ложного объекта) для одной дуэли на l-ом шаге можно оценить следующим образом

(2.24)

В таком случае эффективность работы ЛИС для одного ложного объекта можно оценить как отношение шанса успешного отражения атаки к риску:

(2.25)

Таким образом, мы получили функцию эффективности работы ЛИС.

2.4.5 Вероятностный подход к принятию стратегии в условиях реализации атаки с учетом защиты ложной информационной систем

В силу того, что злоумышленник и ЛИС имеют множество стратегий, решение задачи отсутствует в чистых стратегиях, а также ее невозможно решить графически из-за значительной размерности. Исследование данной задачи с использованием критериев также имеет ограниченную область применения. Используем следующий подход, рассматривающий множество принимаемых решений ЛИС и злоумышленником.

Пусть задана матрица ущербов размерности MN:

(2.26)

Найдем вероятности , с которыми ЛИС должна выбирать свои ходы для того, чтобы данная смешанная стратегия гарантировала нанесение ущерба АИС не более величины независимо от выбранной стратегии злоумышленника. Тогда для каждого хода злоумышленника нанесенный ущерб определяется зависимостями:

(2.27)

Разделим обе части неравенств на

(2.28)

Тогда

(2.29)

В силу того, что ЛИС необходимо минимизировать ущерб , обратную величину необходимо привести к максимуму. Тогда задача линейного программирования для злоумышленника примет вид [29, 67]:

(2.30)

Найдем вероятности , с которыми злоумышленник должен выбирать свои ходы для того, чтобы данная смешанная стратегия гарантировала нанесение ущерба АИС не менее величины независимо от количества созданных ложных объектов ЛИС. Для злоумышленника необходимо получить максимальное значение ущерба , тогда обратная величина

(2.31)

Таким образом, необходимо получить минимум :

(2.32)

Тогда решением задачи будем считать

(2.33)

Такая задача разрешается только с использованием метода линейного программирования. Задача линейного программирования состоит в том, что необходимо максимизировать или минимизировать некоторый линейный функционал на многомерном пространстве при заданных линейных ограничениях.

(2.34)

В том случае, когда злоумышленник успешно атакует больше объектов, чем ЛИС сможет эмулировать , ущерб от реализации атаки злоумышленником можно представить следующим образом [35, 37]:

(2.35)

В случае, если ЛИС справится с защитой АИС и , тогда

(2.36)

Используя метод линейного программирования, можно представить риск реализации атаки на АИС с учетом защиты ЛИС следующей системой уравнений

(2.37)

Тогда эффективность работы ЛИС можно оценить следующим образом

(2.38)

Таким образом, мы получили функции ущерба и эффективности работы ЛИС с учетом многомерного пространства принятий решения ЛИС и злоумышленника.

Рассмотрим эффективность работы ЛИС, основываясь на выборе функции распределения вероятности нанесения ущерба. Предположим, что владельцу АИС необходимо сохранить работоспособность максимального числа объектов на первых этапах работы с целью получения максимальной пользы от системы. В последующие этапы работы владелец АИС жертвует защищенностью системы с целью минимизации издержек на поддержание высокого уровня производительности ЛИС. Тогда ЛИС принимает решения согласно гамма-распределению, выбрав параметры распределения таким образом, что в начальные моменты работы вероятность нанесения ущерба минимальна. Функция гамма-распределения:

(2.39)

где График функции плотности распределения с различными параметрами и изображен на рисунке 2.7.

Рисунок 2.7 - График функции плотности распределения с различными параметрами и

Гамма-распределение задается формулой:

(2.40)

Тогда риск нанесения ущерба системе злоумышленником, учитывая стратегию владельца АИС минимизации ущерба на первых этапах работы, можно оценить следующим образом

(2.41)

Таким образом, рассматривая вероятность принятия решений в соответствии с математическим распределением, можно оценить риск реализации атаки с учетом работы ЛИС.

2.5 Выводы по второй главе

В результате работы были определены принципы риск-моделирования защиты автоматизированной информационной системы посредством ложной информационной системы, разработаны новые математические модели атак, учитывающие этапность протекания процесса выбора стратегий защиты ложной информационной системы в рамках игровых риск-моделей. Разработаны игровые сценарии взаимодействия ложной информационной системы и злоумышленника как в условиях неопределенности, так и в условиях риска. Вариативность сценариев выбора стратегий злоумышленника и ЛИС позволяет имитировать разнообразные варианты построения и функционирования ЛИС. Кроме того, разработан вероятностный подход к принятию стратегии в условиях реализации атаки с учетом защиты ложной информационной систем.

3. Управление эффективностью работы ложной информационной системы

3.1 Управление эффективностью работы ложной информационной системы c учетом оптимизации расходуемых ресурсов

Под эффективностью ЛИС понимается степень достижения цели отвлечения нарушителя от защищаемого объекта при условии, что ЛИС не влияет существенным образом на функционирование защищаемой АИС.

Вероятность возможности предотвращения атаки к защищаемой информации за счет использования ЛИС при условии отсутствия превышения затрат вычислительных ресурсовАИС установленного уровня в общем случае зависит от времени и может быть оценена следующим образом [95]:

(3.1)

Где - вероятность успешной реализации атаки к защищаемой информации;

- допустимый уровень затрат вычислительных ресурсов АИС.

Тогда эффективность ЛИС как средства защиты можно рассчитать с использованием разностного показателя [95]:

(3.2)

где - вероятность предотвращения атаки к защищаемой посредством ЛИС информации.

Разработаем подход к управлению эффективностью ЛИС в соответствии с игровой моделью принятия решений. В связи с тем, что наиболее актуальной проблемой эффективной работы ЛИС является неопределенность в части необходимости создания эмулированных объектов и расхода ресурсов АИС, за основу методики возьмем модель реализации защиты ЛИС, в которой создание эмулированного объекта будет гарантировать защиту истинного объекта, а эффективность работы целиком и полностью зависит от правильности распределения ресурсов и своевременности создания ложного объекта [77, 78, 89].

Пусть - функция, описывающая число эмулированных объектов ЛИС в момент времени . Отсутствие ложных объектов не допускается, т.е. при всех .

В любой момент времени ложная информационная система с использованием различных средств анализирует траффик, направляемый в АИС. Злоумышленник с некоторой интенсивностью посылает пакеты, обрабатываемые ЛИС [62, 65, 68].

В процессе работы ЛИС детектирует выявленные нарушения безопасности и эмулирует ложные объекты с некоторой интенсивностью , напрямую зависящую от интенсивности анализа траффика, т.е. за интервал времени ЛИС эмулирует объектов.

В моменты времени ЛИС анализирует ситуацию и сменяет интенсивность создания ложных объектов в зависимости от стратегии злоумышленника, увеличивая производительность системы величиной соответственно. Таким образом, изменение во времени производительности , заключающейся в возможности эмуляции ложных объектов, изображается зубчатой ломаной линией (рисунок 3.1), состоящей из наклонных и вертикальных звеньев.

Размещено на http://www.allbest.ru/

Рисунок 3.1 - Изменение производительности ЛИС в части запаса к созданию эмулированных объектов

В момент производительность ЛИС в части создания ложных объектов скачком увеличивается на . Следовательно, функция имеет разрывы в точках . В рамках исследования оптимальности стратегии владельца АИС будем считать, что эта функция непрерывна справа.

Пусть - плата за обслуживание единичного ложного объекта в течение единицы времени. Поскольку можно считать, что величина запаса объектов к эмуляции не меняется в течение малого интервала времени (дифференциал, т.е. бесконечно малая), то затраты за выделенные ресурсы в течение интервала времени , где - интервал планирования, пропорциональны (с коэффициентом пропорциональности) площади под графиком и равны

(3.3)

Пусть - плата за увеличение производительности ЛИС. В рамках нашего исследования учтем, является разовой затратой на изменение ресурсов ЛИС и не зависит от размера изменения производительности.

Пусть - число изменений производительности, пришедших в интервале . При этом включаем изначальную производительность в момент и не включаем изменение в момент (если такая происходит). Тогда суммарные издержки на изменение производительности на протяжении исследования равны . Следовательно, общая стоимость смены стратегий защиты ЛИС и расходов на содержание ложных объектов за время равны

(3.4)

означает, что общие издержки работы ЛИС зависят от значений функции при всех . Область определения при фиксированном - не множество чисел, а множество функций. Общие издержки, очевидно, возрастают при росте активности злоумышленника. Поэтому можем использовать средние издержки, приходящиеся на единицу времени. Средние издержки на поддержание эффективной работы ЛИС за время равны

(3.5)

Поскольку эмуляция объектов происходит с постоянной интенсивностью и дефицит не допускается, то польза от работы ЛИС пропорциональна горизонту планирования, а средняя польза постоянна. Следовательно, максимизация пользы эквивалентна минимизации издержек или средних издержек на поддержание эффективной работы ЛИС.

Если задать моменты увеличения производительности ЛИС и величины числа эмулированных объектов, то будет полностью определена функция при всех . Верно и обратное - фиксация функции , полностью определяет моменты увеличения производительности ЛИС и количество эмулированных объектов. И то, и другое будем называть планом работы управления ресурсами ЛИС. Для его оптимизации необходимо выбрать моменты времени . увеличения производительности и размеры увеличения числа эмулированных объектов .

Таким образом, модель работы ЛИС в рамках теории игр описывается четырьмя параметрами - (интенсивность эмуляции ложных объектов), (плата за обслуживание единичного ложного объекта в течение единицы времени), (плата за увеличение производительности ЛИС), (горизонт планирования). В целях оптимизации эффективности ЛИС необходимо выбрать значения параметров так, чтобы минимизировать средние издержки работы ЛИС при фиксированном.

В связи с тем, что владелец АИС заинтересован в минимизации расходов на излишнюю производительность, оптимальный план следует искать среди тех планов, у которых все зубцы доходят до оси абсцисс, т.е. увеличение производительности необходимо проводить в момент, когда запас объектов к эмуляции равен 0.

План, для которого запас производительности для эмуляции равен 0 (т.е. назовем напряженным.

Покажем, что от произвольного плана всегда можно перейти к напряженному, уменьшив при этом издержки. Пусть с течением времени при приближении к моменту увеличения производительности уровень ресурсов не стремится к 0, а лишь уменьшается до . Тогда рассмотрим новый план увеличения производительности с теми же моментами увеличения и их величинами, за исключением величин в моменты и .

А именно, заменим:

- на ;

- на .

Тогда график уровня ресурсов ЛИС параллельно сдвинется вниз на интервале (0,, достигнув 0 в , и не изменится правее точки (рисунок 3.2).

Размещено на http://www.allbest.ru/

Рисунок 3.2 - Графическое представление напряженного плана

Таким образом, издержки по увеличению производительности не изменятся, а издержки по излишнему выделению ресурсов уменьшатся на величину, пропорциональную с коэффициентом пропорциональности площади параллелограмма, образованного прежним и новым положениями графика уровня ресурсов на интервале (0,

В результате первого шага получен план, в котором крайний слева зубец достигает оси абсцисс. Следующий шаг проводится аналогично, только момент времени заменяется на . Если есть такая возможность, второе наклонное звено графика уровня ресурсов ЛИС параллельно сдвигается вниз, достигая в крайней правой точке оси абсцисс. Аналогично поступаем со всеми остальными зубцами, двигаясь слева направо. В результате получаем напряженный план. На каждом шаге издержки по излишнему выделению ресурсов либо сокращались, либо оставались прежними (если соответствующее звено графика не опускалось вниз). Следовательно, для полученного в результате описанного преобразования напряженного плана издержки по излишнему выделению ресурсов меньше, чем для исходного плана, либо равны (если исходный план уже являлся напряженным).

Следующим шагом необходимо оптимизировать интервалы между увеличением производительности.

При фиксированном числе поставок затраты на увеличение ресурсов не меняются. Следовательно, достаточно минимизировать затраты на обслуживание ложных объектов.

Для напряженных планов увеличение производительности однозначно определяются с помощью интервалов между увеличением производительности:

(3.6)

(3.7)

Действительно, очередное увеличение производительности совпадает с размером ресурсов в момент , расходуется с интенсивностью единиц эмулированных объектов в одну единицу времени и полностью исчерпывается к моменту .

Для напряженного плана издержки на обслуживание эмулированных ложных объектов

(3.8)

Следовательно, для минимизации обслуживания ложных объектов среди напряженных планов с фиксированным числом поставок достаточно решить задачу оптимизации

(3.9)

Введем новые переменные

(3.10)

Тогда

(3.11)

Поскольку то , следовательно, с учетом предыдущего равенства имеем

(3.12)

Сумма квадратов всегда неотрицательна. Она достигает минимума, равного 0, когда все переменные равны 0, т.е. при . Тогда

(3.13)

При этих значениях выполнены все ограничения оптимизационной задачи по снижению затрачиваемых ресурсов. Таким образом, издержки по обслуживание эмулированных ложных объектов равны

(3.14)

Средние издержки (на единицу времени) таковы:

(3.15)

Поскольку к моменту T ресурсы должны быть израсходованы, общий объем увеличения производительности за время T должен совпадать с общим объемом запросов злоумышленника, следовательно, равняться . Тогда справедливо балансовое соотношение (аналог закона Ломоносова-Лавуазье сохранения массы при химических реакциях):

или(3.16)

Средние издержки (на единицу времени) можно выразить как функцию размера партии Q:

(3.17)

Задача состоит в минимизации по Q. При этом возможная величина поставки принимает дискретные значения, так как. Изучим функцию , определенную при Q > 0. При приближении к 0 она ведет себя как гипербола, при росте аргумента - как линейная функция. Производная имеет вид

(3.18)

Производная монотонно возрастает, поэтому рассматриваемая функция имеет единственный минимум

(3.19)

где - функция, описывающая запас ресурсов ЛИС;

- интенсивность эмуляции ложных объектов;

- плата за увеличение производительности ЛИС;

- плата за обслуживание единичного ложного объекта в течение единицы времени.

Сформируем алгоритм максимизации эффективности работы ЛИС и схематично изобразим на рисунке 3.3.

Таким образом, исследовав функцию, описывающую затраты на поддержание производительности ЛИС с целью своевременного создания эмулированных объектов, мы разработали формулу по управлению оптимальностью запаса ресурсов, необходимого ЛИС для поддержания успешного противостояния злоумышленнику.

Размещено на http://www.allbest.ru/

Рисунок 3.3 - Алгоритм управления эффективность работы ЛИС

3.2 Оптимизация ресурсов, расходуемых ЛИС в процессе работы

Рассмотрим проблему оптимизации ресурсов ЛИС с заданными параметрами с последующим управлением. Пусть ЛИС с целью поддержания защищенности АИС в течении 60 секунд от реализации атаки злоумышленника с интенсивностью необходимо эмулировать 20ед. ложных объектов за 1 сек. Стоимость поддержания одного эмулированного объекта в работоспособном состоянии в течении 1 секунды составляет 50 руб. Периодическая плата за увеличение производительности ЛИС составляет 15.000руб. Сформируем оптимальный план поддержания ЛИС в состоянии постоянной защищенности в течении 60 сек. и исследуем оптимальность при изменении параметров.

В таком случае = 20 (ед/сек), S =50 (руб. /ед. сек), g =15000 (руб. /ресурсы),

T = 30 (сек). По формуле (3.17) рассчитываем

Множество допустимых значений для Q имеет вид

Таким образом, и =120. Первое значение определяет напряженный план с шестью зубцами, второе - с пятью.

(3.20)

В таком случае

Поскольку , то .

Таким образом, можно сделать вывод о том, что оптимальным является напряженный план с шестью зубцами.

Размещено на http://www.allbest.ru/

Рисунок 3.4 - Оптимальное управление ресурсами ЛИС

Оценим излишние затраты на ресурсы по сравнению с планом . Для плана с интервал между поставками составляет Таким образом пополнения ресурсов ЛИС с целью эмуляции объектов произойдут в моменты

;

;

;

;

;

Следующий этап пополнения ресурсов должен был бы состояться за пределами планированного промежутка защищенности Т=30сек., в момент .

Размещено на http://www.allbest.ru/

Рисунок 3.5 - Оценка оптимальности управления ресурсами ЛИС

Таким образом, оптимальный уровень ресурсов состоял бы из 5 полных циклов увеличения производительности и одного неполного. К моменту Т=30сек. пройдет с момента последнего увеличения ресурсов. Таким образом к моменту T будут содержаться ресурсы, дающие возможность к эмулированию 328 ед. ложных объектов. План не является напряженным, а потому не является оптимальным в рамках данной задачи. Т.к. осталась возможность эмулировать 328 ложных объектов, за обслуживание необходимо платить.

Таким образом, общие издержки в плане можно оценить за вычетом стоимости шестого роста производительности

Таким образом, из-за дискретности множества допустимых значений издержки возросли на 1400 руб. При этом оптимальный размер партии (100 ед/сек.) отличается от = 109,5 ед/сек на 9,5ед., т.е. - различие на 9,5%.

3.3 Выводы по третьей главе

Таким образом, мы разработали уникальный подход к управлению работой ЛИС, основанный на оптимизации производительности, выделяемой ложной информационной системе для создания эмулированных объектов. Кроме того, мы разработали алгоритм управления эффективностью ЛИС, доказали оптимальность полученного значения ресурсов для максимальной эффективности и практичность применения разработанной нами методики, рассчитав необходимую производительность для ЛИС с конкретными заданными параметрами.

4. Организационно-экономическая часть

4.1 Формирование этапов и перечня работ по оценке рисков и анализа эффективности работы ложной информационной системы по различным игровым сценариям

В ходе выполнения данной работы были исследованы и разработаны методики оценки информационных рисков реализации атак с учетом работы ложной информационной системе. Рассмотренные в работе вопросы в совокупности являются новым подходом к решению проблемы обеспечения безопасности с точки зрения противодействия атакам.

Данный раздел включает в себя расчет затрат на тему исследования, определение договорной цены разработки и ее экономическую эффективность.

4.2 Определение трудоемкости исследования по оценке рисков и анализа эффективности работы ложной информационной системы по различным игровым сценариям

Разработка политики безопасности прикладного характера осуществляется в несколько этапов, содержание и организацию выполнения которых регламентирует ГОСТ 15101-2010 "Порядок проведения научно-исследовательских работ":

- разработка технического задания исследования;

- выбор направления исследования;

- теоретические и аналитические исследования;

- обобщение результатов исследования;

- оценка результатов исследования.

Для определения трудоемкости разработки математических моделей был использован метод удельных весов. Для этого экспертным путем установим удельные веса вышеперечисленных этапов разработки в общей трудоемкости исследования (таблица 4.1).

Таблица 4.1 - Соотношение этапов исследования по трудоемкости

Наименование этапа исследования

Удельный вес этапа

исследования, %

Разработка технического задания исследования

5

Выбор направления исследования

15

Теоретические и аналитические исследования

65

Обобщение результатов исследования

10

Приемка результатов исследования

5

Итого:

100


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.