Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рисунок 2.3 - Противодействие ЛИС реализации атаки злоумышленника

В случае, когда злоумышленник предпринимает действия к реализации удаленной атаки, и компонент ЛИС K выявил некоторые нарушения, ложная информационная система блокирует действия злоумышленника (происходит разрыв сетевого соединения). ЛИС оповещает администратора безопасности A и записывается в журнал регистрации событий M сообщение об обнаружении злоумышленника, действующего с IP-адреса xxx.xxx.xxx.xxx. Анализ регистрационной информации в журналах аудита безопасности всех устройств и средств защиты и ее сопоставление является одним из важнейших мероприятий по обеспечению безопасности. События, зарегистрированные на одном узле сети могут не классифицироваться как несанкционированные действия, но в совокупности с событиями другого узла могут говорить об атаке. Противодействие ЛИС реализации атаки злоумышленника изображено на рисунке 2.3.

Программа swatch анализирует в режиме реального времени поступающие в журнал регистрации событий M сообщения и выполняет команду, изменяющую конфигурацию пакета iptables. Таким образом, все сетевые пакеты с IP-адреса xxx.xxx.xxx.xxx направляются на серверы сети-приманки [43,61].

Когда злоумышленник обнаруживает, что его запрос не был выполнен по какой-либо причине (одной из таких причин может быть потеря сетевого пакета во время маршрутизации), он пытается повторить его. При этом запрос идет на компоненты ЛИС, осуществляющих работу по выявлению узлов, с которых [42,43,61]:

1 происходит сканирование сети;

2 происходит несанкционированная отправка пакетов IP к несуществующим ресурсам сети;

3 происходят попытки или предпосылки для проведения DOS атаки;

4 происходит атака типа brute-force (подбор пароля методом перебора);

5 происходят попытки несанкционированной отправки писем;

6 происходят несанкционированные обращения к ресурсам сети;

7 происходит целенаправленная атака на ресурсы сети.

Запоминание злоумышленника является также важнейшим этапом, необходимым для того, чтобы, выявив несанкционированные воздействия и их источник, в дальнейшем ЛИС расценивала все его действия как несанкционированные и осуществляла введение его в заблуждение. Это позволяет не допустить дальнейших действий злоумышленника, даже если они не будут распознаны системой как враждебные [45, 61].

Таким образом, если злоумышленник Z попытается вновь (после закрытия сетевого соединения) произвести атаку, его запросы автоматически будут перенаправлены на сервер-приманку, где все его действия будут записаны для дальнейшего анализа.

2.3 Моделирование защитных действий ложной информационной системы на этапе эмуляции объектов

Использованием ЛИС в качестве своеобразной ловушки для злоумышленников можно повысить уровень информационной безопасности АИС при незначительных затратах. Трудности на данном этапе связаны с анализом типа вредоносных воздействий и оценке ресурсов, необходимых для эмуляции объектов на различных уровнях.

Смоделируем процесс заманивая злоумышленника в ЛИС и эмуляции объектов. Компонентой K ЛИС отслеживается вся сетевая активность . Пусть злоумышленник Z сформировал запрос . При приеме каждого очередного запроса ЛИС анализирует его на предмет того, не является ли источник этой активности уже зарегистрированным в системе:

1 в случае если данная активность не исходит от зарегистрированного злоумышленника, она анализируется на предмет идентификационных признаков несанкционированных воздействий в ней;

2 в случае если признаков несанкционированного воздействия в анализируемом запросе не выявлено, он передается дальше к элементам АИС.

Анализ повторных запросов злоумышленника изображен на рисунке 2.4.



Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рисунок 2.4 - Анализ ЛИС повторных запросов злоумышленника

В соответствии с описанным выше обобщенным алгоритмом функционирования ЛИС при выявлении признаков несанкционированных воздействий в анализируемом запросе адрес источника активности запоминают и оповещают об инциденте администратора ИБ.

Далее идентифицируется тип несанкционированного воздействия и выделяются свободные IP-адреса с различной степенью удаленности друг от друга. ЛИС заранее создает резерв свободных IP-адресов в сети (например, из диапазона 10.10.0.0/24 могут быть зарезервированы 10.10.0.15, 10.10.0.94, 10.10.0.212).

Случайным образом из предварительно заданного перечня эмулируемых ресурсов выбирается операционная система , выбираются сервисы, которые присущи выбранной операционной системе , и эмулируются в рамках того же объекта , после чего из перечня известных уязвимостей каждого сервиса выбираются уязвимости (или наборы уязвимостей) , и также эмулируются. Запрос злоумышленника направляется в эмулированный объект АИС, а его деятельность в системе в соответствии с выше описанным обобщенным алгоритмом функционирования ЛИС осуществляется регистрация действий нарушителя. Эмуляция ложных объектов изображена на рисунке 2.5.



Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рисунок 2.5 - Эмуляция ложных объектов ЛИС

За выделенными IP-адресами происходит создание имен, на ресурсы которых, может претендовать злоумышленник. Сетевая активность, направленная к выделенным IP-адресам, кроме широковещательных запросов, расценивается как атака. Это связано с тем, что данные IP-адреса не используются легальными ресурсами.

Таким образом, применение эмулированных объектов в работе ложной информационной системы позволяет не только предотвратить удаленную атаку, но и собрать информацию о злоумышленнике и самой атаке. Смоделировав процессы идентификации злоумышленника, эмуляции объектов и предотвращения атаки посредством ЛИС необходимо разработать концепцию работы ЛИС на основе применения теории игр.

2.4 Игровые сценарии взаимодействия ложной информационной системы и злоумышленника

Моделирование в условиях неопределенности соответствует полному отсутствию некоторых необходимых для этого данных (теория игр). Математические модели принятия оптимальных решений в конфликтных ситуациях строятся в условиях неопределенности. В теории игр оперируют следующими основными понятиями[12]:

1 ход (выбор и осуществление игроком одного из предусмотренных правилами игры действий);

2 стратегия (технология выбора варианта действий при каждом ходе в зависимости от сложившейся ситуации);

3 функция выигрыша (служит для определения величины платежа проигравшего игрока выигравшему).

Применяя теоретико-игровые подходы к решению задач безопасности АИС защищаемой посредством ЛИС необходимо рассматривать взаимодействие «нападение - защита», предсказывая действия злоумышленника и определяя ответные действия ЛИС (игры ведутся двумя игроками - «злоумышленником» и «ЛИС», и у каждого из них имеются всего по два возможных действия: {«нападать», «не осуществлять никаких действий»} и {«защищаться», «не осуществлять никаких действий»} соответственно). Выделим методы теории игр, в соответствии с которыми будем рассматривать взаимодействие злоумышленника и ЛИС[12].

Принцип минимакса. Принцип оптимальности в антагонистических играх, выражающий стремление ЛИС и злоумышленника к получению наибольшего гарантированного выигрыша, что, соответственно, максимально увеличит проигрыш соперника.

Решения игр в смешанных стратегиях. Если информация о действиях противной стороны будет отсутствовать, то игроки будут многократно применять чистые стратегии случайным образом с определенной вероятностью. Такая стратегия в теории игр называется смешанной стратегией. Смешанная стратегия игрока - это полный набор его чистых стратегий при многократном повторении игры в одних и тех же условиях с заданными вероятностями.

Игровые модели в условиях неопределенности. В таких случаях для определения наилучших решении используются следующие критерии: Максимакса, Вальда, Сэвиджа, Гурвица. Критерий максиимакса основан на том предположении, что принимающий решение действует осторожно и избирает чистую стратегию, гарантирующую ему наибольший (максимальный) из всех наихудших (минимальных) возможных исходов действия по каждой стратегии. С позиций максиминного критерия Вальда природа рассматривается как агрессивно настроенный и сознательно действующий противник типа тех, которые противодействуют в стратегических играх. В соответствии с критерием Вальда из всех самых неудачных результатов выбирается лучший. Риск является основой минимаксного критерия Сэвиджа, согласно которому выбирается такая стратегия, при которой величина риска принимает минимальное значение в самой неблагоприятной ситуации. Критерий пессимизма-оптимизма Гурвица при выборе решения рекомендует руководствоваться некоторым средним результатом, характеризующим состояние между крайним пессимизмом и безудержным оптимизмом.

В рамках нашей работы будут рассмотрены риск ориентированные подходы, которые используют в качестве входных данных предполагаемые стратегии злоумышленника и ЛИС. Используя данную методику мы получим оценки риска реализации атаки и анализ эффективности ЛИС. Сформулируем условия, в которых происходит взаимодействие ЛИС и злоумышленника, и разработаем для них чистые стратегии.

Разработка чистых стратегии ложной информационной системы и злоумышленника

Пусть - множество истинных объектов подлежащих защите, ,- ценность истинного объекта для АИС.

ЛИС имеет возможность создать для любого объекта с определенным набором параметров «ложную» эмуляцию . Тогда для любого истинного объекта стоимость создания одной его эмуляции одинакова и равна [34, 36].

Взаимодействие злоумышленника и ЛИС представим в виде некоторой последовательности шагов. Каждый шаг порождает некоторый вид активности, обнаруживаемый ЛИС. После первой активности, которую ЛИС распознает как подозрительную, осуществляется попытка предсказать последующие шаги предполагаемого злоумышленника и расширяется множество наблюдаемых параметров. АИС наблюдает расширенный список параметров в течение некоторого периода времени . Обозначим множество дополнительных параметров наблюдения. До выявления подозрительной активности система обнаружения вторжений наблюдает базовый набор критических параметров (в это время цена системных ресурсов постоянна).

Пусть S(t) - цена дополнительных ресурсов, затрачиваемых на мониторинг множества :

(2.3)

где f - средний весовой коэффициент, определяющий цену одного наблюдаемого параметра;

k - количество наблюдаемых пар «объект - параметр».

Множество векторов вида (), которые характеризуют распределение эмуляций на множестве истинных объектов, можно определить следующим образом

(2.4)

Тогда вектор ?? является чистой стратегии ЛИС, а множество ?? совокупностью всех чистых стратегий ЛИС.

В случае если владелец АИС выбирает стратегию ??, ЛИС преобразует множество во множество , в котором объект присутствует раз [34, 36].

Пусть злоумышленник имеет возможность атаковать объектов. Тогда для любого истинного или ложного информационного объекта из множества стоимость успешной атаки на него одинакова и равна . Множество векторов вида , где - целые неотрицательные числа, которые характеризуют распределение количества успешных атак злоумышленника на множестве объектов АИС можно представить как

(2.5)

В таком случае вектор является чистой стратегией, а множество ??используется в качестве совокупности всех чистых стратегий злоумышленника [34, 36].

Тогда - ситуация игры, а функция - стоимость игры в ситуации .

Принятие решения ложной информационной системой в условиях неопределенности

Пусть ЛИС обдумывает принятие стратегии из N возможных решений. Но ситуация неопределённая, она может быть одной из N. Построим матрицу последствий.

(2.6)

Элемент этой матрицы показывает ущерб, нанесенный злоумышленником, если ЛИС принято i-е решение, а ситуация j-я.

Построим матрицу рисков

(2.7)



где - величина риска ЛИС при использовании хода i в условиях j;

- ущерб, который АИС получила бы, если не знала выбор хода злоумышленника;

- ущерб, если бы ЛИС знала, что установится условие .

Таким образом, матрица имеет вид

(2.8)

Если бы ЛИС реально знала, что будет j-я ситуация, то было бы выбрано решение с наименьшим ущербом. Однако в ситуации неопределенности ЛИС принимая i-е решение рискует увеличить ущерб - что и есть риск. В таких ситуациях, решения могут приниматься по следующим критериям [53, 54, 95, 98]:

1 правило Вальда (правило крайнего пессимизма).

Владелец АИС уверен, что какую бы стратегию не приняла ЛИС, ситуация сложится для него самая плохая, так что, принимая i-е решение, он получит максимальный ущерб. Затем из чисел владелец АИС выбирает минимальное и принимает соответствующее решение.

(2.9)

2 правило Сэвиджа.

Владелец АИС находит в каждой строке матрицы рисков минимальный элемент и затем из этих чисел находит максимальное и принимает соответствующее решение. Используя такой подход, владелец АИС принимает решение с минимальным риском.

(2.10)

3 правило Гурвица.

Для каждой строки матрицы ущербов находят следующую величину

(2.11)

Далее найдем из чисел и получим соответствующее решение.

Число для каждой АИС владелец выбирает индивидуально.отражает отношение успешного исхода к рискам, при приближении к 0 правило Гурвица приближается к Вальда, а к 1-правило розового оптимизма ( крайний пессимизм, крайний оптимизм).

Таким образом, на основе матрицы ущербов и матрицы рисков владелец АИС имеет возможность принимать решения в условиях неопределенности, отыскивая оптимальное решение. Однако такие решения являются грубой оценкой стратегий и не позволяют производить вычисления оптимальных стратегий по формулам с использованием вероятностей. В связи с этим, необходимо рассматривать принятие решений ЛИС в смешанных стратегиях, когда полный набор его чистых стратегий при многократном повторении реализации атак с заданными вероятностями.

Принятие решения ложной информационной системой в условиях риска

Принятие решений в условиях риска представляется возможным тогда, когда известна функция распределения вероятностей стратегий злоумышленника. Таким образом, смешанная стратегия игрока характеризуется распределением вероятности случайного события, заключающегося в выборе этим игроком хода.

Смешанной стратегией ЛИС называют такой упорядоченный набор чисел (вектор) , который удовлетворяет двум условиям:

1 ?0 для , т.е. вероятность выбора каждой стратегии неотрицательна;

2 , т.е. выбор каждой из N стратегий в совокупности представляет полную группу событий.

Смешанной стратегией злоумышленника называют такой упорядоченный набор чисел (вектор) , который удовлетворяет двум условиям:

1 ?0 для , т.е. вероятность выбора каждой стратегии неотрицательна;

2 , т.е. выбор каждой из M стратегий в совокупности представляет полную группу событий.

Рассмотрим функцию ущерба, которая представляет собой функцию двух переменных k и m. Эти переменные входят в нее неравноправно, что является отражением неравноправия злоумышленника и ЛИС. Дело в том, что ЛИС имеет цель защитить АИС от реализации атаки, поэтому ее поведение носит целенаправленный характер.

Пусть с целью организации полноценной защиты АИС, ЛИС располагает сведениями о некоторой вероятностной мере, в соответствии с которой появляются те или иные решения злоумышленника. В том случае, когда множество ходов злоумышленника является конечным и вероятностные меры сводятся к заданию вероятностного вектора (априорного распределения вероятностей) , где , при этом есть вероятность появления состояния j.

Зададим матрицу ущерба KM=. При принятии решения в условиях риска ЛИС, выбирая стратегию i, получает ущерб с вероятностью Тогда для ЛИС принятие решения происходит в условиях риска и исходом, соответствующим выбору стратегии i, является случайная величина, распределение которой задано следующим рядом в таблице 1.1.

Таблица 2.1 - Распределение вероятностей при принятии решений ЛИС в условиях риска

		…		….

Тогда ЛИС целесообразно выбрать ту стратегию, для которой среднее значение ущерба минимально. В качестве оценки стратегии i используем математическое ожидание соответствующей случайной величины

(2.12)

Тогда оптимальную стратегию ЛИС можно получить следующим образом:

или

(2.13)

Математическое ожидание представляет собой величину, к которой будет приближаться средний ущерб ЛИС при выбора им стратегии I с ростом числа испытаний. При этом вероятность вероятность выбора хода ЛИС остается одной и той же. Риск в данном случае - это тот минимальный ущерб, которого невозможно избежать при выборе какой-либо чистой стратегии. Исследуем данный подход при помощи матрицы рисков:

(2.14)



Учитывая данный подход, принятие решения в условии риска ЛИС получим решение, соответствующие минимальному среднему риску

(2.15)

Таким образом, мы рассмотрели подход к принятию решения ЛИС в условии риска, при котором ЛИС имеет некоторое представление о распределении вероятностей принятия решения злоумышленником. В реальных же ситуациях работы ЛИС необходимо рассматривать процесс принятия решения учитывая распределение вероятностей не только злоумышленника, но и ЛИС.

Принятие решения ложной информационной системы в условиях дуэли

В противодействии ложной информационной системы и злоумышленника лежит борьба, основанная на совершении единовременного действия, которое заключается в создании ложного объекта. Злоумышленник принимает решение об атаке и подбирает для этого нужный момент, а ЛИС преждевременно создает ложный объект с целью введения в заблуждения злоумышленника [17,28,62].

Рассмотрим противодействие злоумышленника и ложной информационной системы пошагово в виде дуэли, при этом продвижение каждого из участников навстречу друг другу заключается в n шагах. После каждого сделанного шага злоумышленник получает все больше информации о ложной информационной системе и может провести или не провести атаку. Ложная информационная система в свою очередь также анализирует обстановки и может либо создать ложный объект либо не создать. При этом факт атаки или создания ложного объекта у каждого участника может быть у каждого только один.

Пусть вероятность выбора успешной стратегии, если продвинуться на l шагов, равна . Стратегия ложной информационной системы заключается в принятии решения создать ложный объект на i-м шаге.

В таком случае вероятность принятия решения реализации атаки злоумышленником на объект АИС будет , а - вероятность создания ложного объекта ЛИС.

Тогда в случае, еслиi<j и злоумышленник принимает решение произвести атаку на j-м шаге, то вероятность успешного отражения атаки ложной информационной системой задается произведением вероятностей

(2.16)

где - вероятность реализации атаки на объект АИС (истинный или ложный, в случае создания эмулированного объекта);

- вероятность создания эмулированного объекта.

Таким образом, оценка проигрыша или победы заключается в разности вероятностей успешного отражения атаки ложной информационной системой и успешного проведения атаки злоумышленником. В случае i>j первым атакует игрок 2 и . Если i=j, то полагаем . Игровая матрица, умноженная для удобства на 5, при n=5 имеет вид

В связи в вышеизложенным, мы получили подход к оценке вероятности успешного отражения атаки. Получим функции риска и эффективности работы ЛИС. Для этого разработаем подход к оценке функции ущерба от успешной реализации атаки (обход ложного объекта).

Сформулируем принцип оценки ущерба для АИС с учетом работы ЛИС. Ложный объект создается с целью недопущения проникновения злоумышленника к истинному объекту. Таким образом ущерб необходимо рассматривать с учетом потери пользы, приносимой истинным объектом с момента преодоления злоумышленником ложного объекта. Пусть усредненная польза от работы истинного объекта может быть найдена в следующем аналитическом виде:

(2.17)

где -

(2.18)

где - момент завершения работы истинного объекта.

Рассмотрим график функции полезности истинного объекта ЛИС на рисунке 2.6.

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рисунок 2.6 - График функции полезности истинного объекта

Функцию полезности истинного объекта ЛИС можно представить с учетом процесса создания и завершения работы, учитывая этапы приносимой пользы: период развития, обусловленный развертыванием и введением в эксплуатацию - коэффициент нелинейности и период деградации, обусловленный устареванием и последующем выводом из эксплуатации процесса - . Тогда функцию полезности можно представить следующим образом

(2.19)

Ущерб для АИС от обхода злоумышленником ложного объекта представляет собой упущенную пользу, которую мог бы приносить истинный объект, если бы в момент времени объект не утратил свою работоспособность вследствие реализации атаки (площадь ). Тогда, функцию нормированного ущерба можно получить проинтегрировав функцию полезности в интервале от до .

(2.20)

где

- момент прекращения работы ложного объекта.

Учитывая специфику работы АИС, можно принять, что на этапе развертывания истинного объекта атака злоумышленнику мало вероятна и не является для него информативной. Этап деградации также носит формальный характер, т.к. вывод из рабочего состояния объекта АИС занимает малейший промежуток времени относительно закладываемой продолжительности жизни объекта.

Тогда применим нормирование по, в пределах которого будем изучать поведение функций ущерба и пользы

(2.21)



С учетом стоимости создания ложного и истинного объектов ущерб можно определить следующим образом:

(2.22)

где - стоимость создания истинного объекта АИС;

- стоимость создания ложного объекта АИС;

- этап прекращения работы ложного объекта.

Нормированный ущерб можно получить следующим образом

(2.23)

где W - проектная польза истинного объекта.

Тогда риск реализации атаки злоумышленником (обход созданного ложного объекта или реализация атаки до создания ложного объекта) для одной дуэли на l-ом шаге можно оценить следующим образом

(2.24)

В таком случае эффективность работы ЛИС для одного ложного объекта можно оценить как отношение шанса успешного отражения атаки к риску:



(2.25)

Таким образом, мы получили функцию эффективности работы ЛИС.

Вероятностный подход к принятию стратегии в условиях реализации атаки с учетом защиты ложной информационной систем

В силу того, что злоумышленник и ЛИС имеют множество стратегий, решение задачи отсутствует в чистых стратегиях, а также ее невозможно решить графически из-за значительной размерности. Исследование данной задачи с использованием критериев также имеет ограниченную область применения. Используем следующий подход, рассматривающий множество принимаемых решений ЛИС и злоумышленником.

Пусть задана матрица ущербов размерности MN:

(2.26)

Найдем вероятности , с которыми ЛИС должна выбирать свои ходы для того, чтобы данная смешанная стратегия гарантировала нанесение ущерба АИС не более величины независимо от выбранной стратегии злоумышленника. Тогда для каждого хода злоумышленника нанесенный ущерб определяется зависимостями:



(2.27)

Разделим обе части неравенств на

(2.28)

(2.29)

В силу того, что ЛИС необходимо минимизировать ущерб , обратную величину необходимо привести к максимуму. Тогда задача линейного программирования для злоумышленника примет вид [29, 67]:

(2.30)

Найдем вероятности , с которыми злоумышленник должен выбирать свои ходы для того, чтобы данная смешанная стратегия гарантировала нанесение ущерба АИС не менее величины независимо от количества созданных ложных объектов ЛИС. Для злоумышленника необходимо получить максимальное значение ущерба , тогда обратная величина



(2.31)

Таким образом, необходимо получить минимум :

(2.32)

Тогда решением задачи будем считать

(2.33)

Такая задача разрешается только с использованием метода линейного программирования. Задача линейного программирования состоит в том, что необходимо максимизировать или минимизировать некоторый линейный функционал на многомерном пространстве при заданных линейных ограничениях.

(2.34)

В том случае, когда злоумышленник успешно атакует больше объектов, чем ЛИС сможет эмулировать , ущерб от реализации атаки злоумышленником можно представить следующим образом [35, 37]:

(2.35)

В случае, если ЛИС справится с защитой АИС и , тогда

(2.36)

Используя метод линейного программирования, можно представить риск реализации атаки на АИС с учетом защиты ЛИС следующей системой уравнений

(2.37)

Тогда эффективность работы ЛИС можно оценить следующим образом

(2.38)

Таким образом, мы получили функции ущерба и эффективности работы ЛИС с учетом многомерного пространства принятий решения ЛИС и злоумышленника.

Рассмотрим эффективность работы ЛИС, основываясь на выборе функции распределения вероятности нанесения ущерба. Предположим, что владельцу АИС необходимо сохранить работоспособность максимального числа объектов на первых этапах работы с целью получения максимальной пользы от системы. В последующие этапы работы владелец АИС жертвует защищенностью системы с целью минимизации издержек на поддержание высокого уровня производительности ЛИС. Тогда ЛИС принимает решения согласно гамма-распределению, выбрав параметры распределения таким образом, что в начальные моменты работы вероятность нанесения ущерба минимальна. Функция гамма-распределения:

(2.39)

где График функции плотности распределения с различными параметрами и изображен на рисунке 2.7.

Рисунок 2.7 - График функции плотности распределения с различными параметрами и

Гамма-распределение задается формулой:

(2.40)

Тогда риск нанесения ущерба системе злоумышленником, учитывая стратегию владельца АИС минимизации ущерба на первых этапах работы, можно оценить следующим образом



(2.41)

Таким образом, рассматривая вероятность принятия решений в соответствии с математическим распределением, можно оценить риск реализации атаки с учетом работы ЛИС.

В результате работы были определены принципы риск-моделирования защиты автоматизированной информационной системы посредством ложной информационной системы, разработаныновые математические модели атак, учитывающие этапность протекания процесса выбора стратегий защиты ложной информационной системы в рамках игровых риск-моделей. Разработаны игровые сценарии взаимодействия ложной информационной системы и злоумышленника как в условиях неопределенности, так и в условиях риска. Вариативность сценариев выбора стратегий злоумышленника и ЛИС позволяет имитировать разнообразные варианты построения и функционирования ЛИС. Кроме того, разработан вероятностный подход к принятию стратегии в условиях реализации атаки с учетом защиты ложной информационной систем.



3. Управление эффективностью работы ложной информационной системы

3.1 Управление эффективностью работы ложной информационной системы c учетом оптимизации расходуемых ресурсов

Под эффективностью ЛИС понимается степень достижения цели отвлечения нарушителя от защищаемого объекта при условии, что ЛИС не влияет существенным образом на функционирование защищаемой АИС.

Вероятность возможности предотвращения атаки к защищаемой информации за счет использования ЛИС при условии отсутствия превышения затрат вычислительных ресурсовАИС установленного уровня в общем случае зависит от времени и может быть оценена следующим образом [95]:

где - вероятность успешной реализации атаки к защищаемой информации;

- допустимый уровень затрат вычислительных ресурсов АИС.

Тогда эффективность ЛИС как средства защиты можно рассчитать с использованием разностного показателя[95]:

,

где - вероятность предотвращения атаки к защищаемой посредством ЛИС информации.

Разработаем подход к управлению эффективностью ЛИС в соответствии с игровой моделью принятия решений. В связи с тем, что наиболее актуальной проблемой эффективной работы ЛИС является неопределенность в части необходимости создания эмулированных объектов и расхода ресурсов АИС, за основу методики возьмем модель реализации защиты ЛИС, в которой создание эмулированного объекта будет гарантировать защиту истинного объекта, а эффективность работы целиком и полностью зависит от правильности распределения ресурсов и своевременности создания ложного объекта [77, 78, 89].

Пусть - функция, описывающая число эмулированных объектов ЛИС в момент времени . Отсутствие ложных объектов не допускается, т.е. при всех .

В любой момент времени ложная информационная система с использованием различных средств анализирует траффик, направляемый в АИС. Злоумышленник с некоторой интенсивностью посылает пакеты, обрабатываемые ЛИС [62, 65, 68].

В процессе работы ЛИС детектирует выявленные нарушения безопасности и эмулирует ложные объекты с некоторой интенсивностью , напрямую зависящую от интенсивности анализа траффика, т.е. за интервал времени ЛИС эмулирует объектов.

В моменты времени ЛИС анализирует ситуацию и сменяет интенсивность создания ложных объектов в зависимости от стратегии злоумышленника, увеличивая производительность системы величиной соответственно. Таким образом, изменение во времени производительности ,заключающейся в возможности эмуляции ложных объектов, изображается зубчатой ломаной линией (рисунок 3.1), состоящей из наклонных и вертикальных звеньев.



Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рисунок 3.1 - Изменение производительности ЛИС в части запаса к созданию эмулированных объектов

В момент производительность ЛИС в части создания ложных объектов скачком увеличивается на . Следовательно, функция имеет разрывы в точках . В рамках исследования оптимальности стратегии владельца АИС будем считать, что эта функция непрерывна справа.

Пусть - плата за обслуживание единичного ложного объекта в течение единицы времени. Поскольку можно считать, что величина запаса объектов к эмуляции не меняется в течение малого интервала времени (дифференциал, т.е. бесконечно малая), то затраты за выделенные ресурсы в течение интервала времени , где - интервал планирования, пропорциональны (с коэффициентом пропорциональности) площади под графиком и равны

(3.3)



Пусть - плата за увеличение производительности ЛИС. В рамках нашего исследования учтем, является разовой затратой на изменение ресурсов ЛИС и не зависит от размера изменения производительности.

Пусть - число изменений производительности, пришедших в интервале . При этом включаем изначальную производительность в момент и не включаем изменение в момент (если такая происходит). Тогда суммарные издержки на изменение производительности на протяжении исследования равны . Следовательно, общая стоимость смены стратегий защиты ЛИС и расходов на содержание ложных объектов за время равны

(3.4)

означает, что общие издержки работы ЛИС зависят от значений функции при всех . Область определения при фиксированном - не множество чисел, а множество функций. Общие издержки, очевидно, возрастают при росте активности злоумышленника. Поэтому можем использовать средние издержки, приходящиеся на единицу времени. Средние издержки на поддержание эффективной работы ЛИС за время равны

(3.5)

Поскольку эмуляция объектов происходит с постоянной интенсивностью и дефицит не допускается, то польза от работы ЛИС пропорциональна горизонту планирования, а средняя польза постоянна. Следовательно, максимизация пользы эквивалентна минимизации издержек или средних издержек на поддержание эффективной работы ЛИС.

Если задать моменты увеличения производительности ЛИС и величины числа эмулированных объектов, то будет полностью определена функция при всех . Верно и обратное - фиксация функции , полностью определяет моменты увеличения производительности ЛИС и количество эмулированных объектов. И то, и другое будем называть планом работы управления ресурсами ЛИС. Для его оптимизации необходимо выбрать моменты времени . увеличения производительности и размеры увеличения числа эмулированных объектов .

Таким образом, модель работы ЛИС в рамках теории игр описывается четырьмя параметрами - (интенсивность эмуляции ложных объектов), (плата за обслуживание единичного ложного объекта в течение единицы времени), (плата за увеличение производительности ЛИС), (горизонт планирования). В целях оптимизации эффективности ЛИС необходимо выбрать значения параметров так, чтобы минимизировать средние издержки работы ЛИС при фиксированном.

В связи с тем, что владелец АИС заинтересован в минимизации расходов на излишнюю производительность, оптимальный план следует искать среди тех планов, у которых все зубцы доходят до оси абсцисс, т.е. увеличение производительности необходимо проводить в момент, когда запас объектов к эмуляции равен 0.

План, для которого запас производительности для эмуляции равен 0 (т.е.назовем напряженным.

Покажем, что от произвольного плана всегда можно перейти к напряженному, уменьшив при этом издержки. Пусть с течением времени при приближении к моменту увеличения производительности уровень ресурсов не стремится к 0, а лишь уменьшается до . Тогда рассмотрим новый план увеличения производительности с теми же моментами увеличения и их величинами, за исключением величин в моменты и .

А именно, заменим:

- на ;

- на .

Тогда график уровня ресурсов ЛИС параллельно сдвинется вниз на интервале (0,, достигнув 0 в , и не изменится правее точки (рисунок 3.2).

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рисунок 3.2 - Графическое представление напряженного плана

Таким образом, издержки по увеличению производительности не изменятся, а издержки по излишнему выделению ресурсов уменьшатся на величину, пропорциональную с коэффициентом пропорциональности площади параллелограмма, образованного прежним и новым положениями графика уровня ресурсов на интервале (0,

В результате первого шага получен план, в котором крайний слева зубец достигает оси абсцисс. Следующий шаг проводится аналогично, только момент времени заменяется на . Если есть такая возможность, второе наклонное звено графика уровня ресурсов ЛИС параллельно сдвигается вниз, достигая в крайней правой точке оси абсцисс. Аналогично поступаем со всеми остальными зубцами, двигаясь слева направо. В результате получаем напряженный план. На каждом шаге издержки по излишнему выделению ресурсов либо сокращались, либо оставались прежними (если соответствующее звено графика не опускалось вниз). Следовательно, для полученного в результате описанного преобразования напряженного плана издержки по излишнему выделению ресурсов меньше, чем для исходного плана, либо равны (если исходный план уже являлся напряженным).

Следующим шагом необходимо оптимизировать интервалы между увеличением производительности.

При фиксированном числе поставок затраты на увеличение ресурсов не меняются. Следовательно, достаточно минимизировать затраты на обслуживание ложных объектов.

Для напряженных планов увеличение производительности однозначно определяются с помощью интервалов между увеличением производительности:

(3.6)

(3.7)

Действительно, очередное увеличение производительности совпадает с размером ресурсов в момент , расходуется с интенсивностью единиц эмулированных объектов в одну единицу времени и полностью исчерпывается к моменту .

Для напряженного плана издержки на обслуживание эмулированных ложных объектов



(3.8)

Следовательно, для минимизации обслуживания ложных объектов среди напряженных планов с фиксированным числом поставок достаточно решить задачу оптимизации

(3.9)

Введем новые переменные

(3.10)

Тогда

(3.11)

Поскольку то , следовательно, с учетом предыдущего равенства имеем

(3.12)

Сумма квадратов всегда неотрицательна. Она достигает минимума, равного 0, когда все переменные равны 0, т.е. при . Тогда



(3.13)

При этих значениях выполнены все ограничения оптимизационной задачи по снижению затрачиваемых ресурсов. Таким образом, издержки по обслуживание эмулированных ложных объектов равны

(3.14)

Средние издержки (на единицу времени) таковы:

(3.15)

Поскольку к моменту T ресурсы должны быть израсходованы, общий объем увеличения производительности за время T должен совпадать с общим объемом запросов злоумышленника, следовательно, равняться . Тогда справедливо балансовое соотношение (аналог закона Ломоносова-Лавуазье сохранения массы при химических реакциях):

или

(3.16)

Средние издержки (на единицу времени) можно выразить как функцию размера партии Q:

(3.17)



Задача состоит в минимизации по Q. При этом возможная величина поставки принимает дискретные значения, так как.Изучим функцию , определенную при Q > 0. При приближении к 0 она ведет себя как гипербола, при росте аргумента - как линейная функция. Производная имеет вид

(3.18)

Производная монотонно возрастает, поэтому рассматриваемая функция имеет единственный минимум

(3.19)

где - функция, описывающая запас ресурсов ЛИС;

- интенсивность эмуляции ложных объектов;

- плата за увеличение производительности ЛИС;

- плата за обслуживание единичного ложного объекта в течение единицы времени.

Сформируем алгоритм максимизации эффективности работы ЛИС и схематично изобразим на рисунке 3.3.

Таким образом, исследовав функцию, описывающую затраты на поддержание производительности ЛИС с целью своевременного создания эмулированных объектов, мы разработали формулу по управлению оптимальностью запаса ресурсов, необходимого ЛИС для поддержания успешного противостояния злоумышленнику.



Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рисунок 3.3 - Алгоритм управления эффективность работы ЛИС



3.2 Оптимизация ресурсов, расходуемых ЛИС в процессе работы

Рассмотрим проблему оптимизации ресурсов ЛИС с заданными параметрами с последующим управлением. Пусть ЛИС с целью поддержания защищенности АИС в течении 60 секунд от реализации атаки злоумышленника с интенсивностью необходимо эмулировать 20ед. ложных объектов за 1 сек. Стоимость поддержания одного эмулированного объекта в работоспособном состоянии в течении 1 секунды составляет 50 руб. Периодическая плата за увеличение производительности ЛИС составляет 15.000руб. Сформируем оптимальный план поддержания ЛИС в состоянии постоянной защищенности в течении 60 сек. и исследуем оптимальность при изменении параметров.

В таком случае = 20 (ед/сек), S =50 (руб./ед.сек), g =15000 (руб./ресурсы),

T = 30 (сек). По формуле (3.17) рассчитываем

Множество допустимых значений для Q имеет вид

Таким образом, и =120. Первое значение определяет напряженный план с шестью зубцами, второе - с пятью.

(3.20)



В таком случае

Поскольку , то .

Таким образом, можно сделать вывод о том, что оптимальным является напряженный план с шестью зубцами.

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рисунок 3.4 - Оптимальное управление ресурсами ЛИС

Оценим излишние затраты на ресурсы по сравнению с планом . Для плана с интервал между поставками составляет Таким образом пополнения ресурсов ЛИС с целью эмуляции объектов произойдут в моменты

;

;

;

;

;

Следующий этап пополнения ресурсов должен был бы состояться за пределами планированного промежутка защищенности Т=30сек., в момент .

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рисунок 3.5 - Оценка оптимальности управления ресурсами ЛИС

Таким образом, оптимальный уровень ресурсов состоял бы из 5 полных циклов увеличения производительности и одного неполного. К моменту Т=30сек. пройдет с момента последнего увеличения ресурсов. Таким образом к моменту T будут содержаться ресурсы, дающие возможность к эмулированию 328 ед. ложных объектов. План не является напряженным, а потому не является оптимальным в рамках данной задачи. Т.к. осталась возможность эмулировать 328 ложных объектов, за обслуживание необходимо платить.

Таким образом, общие издержки в плане можно оценить за вычетом стоимости шестого роста производительности

Таким образом, из-за дискретности множества допустимых значений издержки возросли на 1400 руб. При этом оптимальный размер партии (100 ед/сек.) отличается от = 109,5 ед/сек на 9,5ед., т.е. - различие на 9,5%.

Таким образом, мы разработали уникальный подход к управлению работой ЛИС, основанный на оптимизации производительности, выделяемой ложной информационной системе для создания эмулированных объектов. Кроме того, мы разработали алгоритм управления эффективностью ЛИС, доказали оптимальность полученного значения ресурсов для максимальной эффективности и практичность применения разработанной нами методики, рассчитав необходимую производительность для ЛИС с конкретными заданными параметрами.



4. Организационно-экономическая часть

4.1 Формирование этапов и перечня работ по оценке рисков и анализа эффективности работы ложной информационной системы по различным игровым сценариям

В ходе выполнения данной работы были исследованы и разработаны методики оценки информационных рисков реализации атак с учетом работы ложной информационной системе. Рассмотренные в работе вопросы в совокупности являются новым подходом к решению проблемы обеспечения безопасности с точки зрения противодействия атакам.

Данный раздел включает в себя расчет затрат на тему исследования, определение договорной цены разработки и ее экономическую эффективность.

4.2 Определение трудоемкости исследования по оценке рисков и анализа эффективности работы ложной информационной системы по различным игровым сценариям

Разработка политики безопасности прикладного характера осуществляется в несколько этапов, содержание и организацию выполнения которых регламентирует ГОСТ 15101-2010 «Порядок проведения научно-исследовательских работ»:

- разработка технического задания исследования;

- выбор направления исследования;

- теоретические и аналитические исследования;

- обобщение результатов исследования;

- оценка результатов исследования.

Для определения трудоемкости разработки математических моделей был использован метод удельных весов. Для этого экспертным путем установим удельные веса вышеперечисленных этапов разработки в общей трудоемкости исследования (таблица 4.1).

Таблица 4.1 - Соотношение этапов исследования по трудоемкости

Наименование этапа исследования	Удельный вес этапа исследования,%
Разработка технического задания исследования	5
Выбор направления исследования	15
Теоретические и аналитические исследования	65
Обобщение результатов исследования	10
Приемка результатов исследования	5
Итого:	100

Для расчета трудоемкости этапа разработки математических моделей, оценки рисков и анализа эффективности работы ложной информационной системы при реализации атак с учетом работы ЛИС целесообразно выбрать этап "Теоретические и аналитические исследования", поскольку его работы можно оценить с высокой степенью точности, что соответственно увеличит точность оценки трудоемкости выполнения сравнительного анализа в целом. Этап разбивается на работы, и трудоемкость каждой из них оценивается экспертным методом. Соотношение работ выбранного этапа по трудоемкости заносится в таблицу 4.2.

Таблица 4.2 - Трудоемкость работ этапа «Теоретические и аналитические исследования»

Наименование работы	Трудоемкость работы, чел.-ч.
1. Обзор сущности атак с учетом работы ЛИС	50
2. Способы реализации атак в АИС	65
3. Изучение реализации атак с учетом работы ЛИС	70
4. Построение математической модели атак с учетом работы ЛИС в АИС	290
5. Анализ динамики рисков реализации атак с учетом работы ЛИС в АИС	275
Итого:	750



Общая трудоемкость выполнения работы научного исследования определяется по формуле:

(4.1)

где - общая трудоемкость выполнения научного исследования выраженная в чел.-ч;

- трудоемкость рассчитанного этапа, чел.-ч.;

- удельный вес этапа в общей трудоемкости,%.

Согласно формуле (4.1) и таблице 4.2 общая трудоемкость исследования равна:

чел.-ч.,

(4.2)

Процентом от общей трудоемкости исследования определяется трудоемкость каждого этапа выполнения оценки информационных рисков реализации атак несанкционированного доступа к терминалам платежных систем (таблица 4.3).

Таблица 4.3 - Соотношение этапов разработки по трудоемкости исследования

Наименование этапа исследования	Удельный вес этапа исследования,%	Трудоемкость этапа исследования, чел.-ч.
Разработка технического задания исследования	5	60
Выбор направления исследования	15	180
Теоретические и аналитические исследования	65	734
Обобщение результатов исследования	10	120
Приемка результатов исследования	5	60
Итого:	100	1154



Количество исполнителей, одновременно работающих по данной разработке, определяется по следующей формуле:

(4.3)

где Д - продолжительность рабочего дня (полезное время), часов;

м - количество рабочих дней в месяце (169,2час / 8час);

- сложившийся средний коэффициент выполнения планового задания ();

- директивный срок выполнения темы, мес.

Директивный срок выполнения темы - это период преддипломной практики и дипломного проектирования. При прохождении преддипломной практики берется реальный срок, установленный для данной темы. В данном случае.

Следовательно, требуемое число исполнителей равно:

Распределение исполнителей исследования по профессиям и работам научного исследования производится методом экспертных оценок, исходя из содержания исследования, обеспечения полной загрузки исполнителей.

Месячный оклад отдельного исполнителя рассчитывается по следующей формуле:

(4.4)

где S - месячный оклад работника бюджетной сферы, руб.,

- коэффициент i-го бюджетного разряда.

Месячный оклад руководителя (14 разряд) = 5965 · 4,87 = 29049,55 руб.

Месячный оклад инженера (6 разряд) = 5965 · 1,83 = 10915,95 руб.

Часовой заработок руководителя равен 29049,55 / 169,2 = 171,69 руб.

Часовой заработок инженера равен 10915,95 / 169,2 = 64,52 руб.

Данные о составе исполнителей представлены в таблице 4.4.

Таблица 4.4 - Состав исполнителей дипломного проекта

Профессия исполнителя	Кол-во	Разряд	Тарифный коэффициент	Месячный оклад, руб.
Руководитель, к.т.н.	1	14	4,87	29049,55
Инженер	1	6	1,83	10915,95

4.3 Разработка календарного плана проведения исследования по оценке рисков и анализа эффективности работы ложной информационной системы по различным игровым сценариям

Календарный план проведения исследования представляет модель процесса ее выполнения. Календарный план является элементом оперативного планирования и исходным документом для оптимального управления ходом реализации конечной цели исследования, а также служит условием определения затрат на проведение разработки. Для разработки плана используются методы сетевого планирования и управления.

Первоначально формируется полный перечень работ по выполнению оценки рисков с учетом работы ложной информационной системы при реализации атак.

Трудоемкость каждого этапа распределяется по его работам экспертным путем. Для построения сетевого графика необходимо установить технологическую последовательность и зависимость работ друг от друга, что отражается на сетевом графике при помощи кодирования работ (путь i-j).

Продолжительность выполнения работ рассчитывается по следующей формуле:

(4.5)

где - длительность работы для пути i-j сетевого графика, календарных дней;

1,4 - коэффициент перевода рабочих дней в календарные.

Трудоемкость, количество исполнителей по работам определяется опытным путем в соответствии с таблицами 4.1 - 4.4.

Исходные данные для построения и расчета графика выполнения работы сведены в таблицу 4.5.

Таблица 4.5 - Исходные данные для построения и расчета сетевого графика выполнения работ по исследованию реализации атак с учетом работы ЛИС

Наименование работы	Трудоемкость работы, чел.-ч.	Количество исполнителей, чел.	Продолжительность работы, календ. дн.	Код работы i-j
Разработка ТЗ:	60 чел-ч
Научное прогнозирование	12	2	1	1-2
Анализ периодических изданий и публикаций по тематике работы	10	1	1	2-3
Определение объема работ по дипломной работе	10	2	1	3-4
Разработка требований к дипломной работе и согласование их с руководителем	6	2	2	4-6
Определение порядка приемки работ	7	1	1	4-5
Составление план-графика выполнения разработки и исследования риск-модели атаки	3	1	1	5-6
Разработка ТЗ и его согласование	4	1	1	6-7
Составление сметы затрат, оценка договорной цены, экономической эффективности	8	1	1	7-8
Выбор направления исследования:	180 чел-ч
Изучение научной литературы	35	1	4	8-9
Составление аналитического обзора	20	1	2	9-10
Формулирование возможных направлений решений задач и их сравнительная оценка	15	1	2	10-11
Сбор, изучение научно-технической литературы, нормативно-технической документации об аналогах	30	1	4	11-14
Выбор и обоснование принятого направления исследования и способа решения поставленной цели	15	1	2	10-12
Прогнозирование экономической эффективности от внедрения новой технологии	15	1	2	12-13
Разработка общей методики проведения исследования	30	2	2	13-14
Составление и рассмотрение промежуточного отчета	25	1	3	14-15
Теоретические и аналитические исследования:	734 чел-ч
Выявление угроз безопасности атак с учетом работы ЛИС	23	1	2	15-16
Изучение особенностей атак с учетом работы ЛИС	11	1	1	16-17
Моделирование процесса реализации атак с учетом работы ЛИС	18	1	2	17-18
Построение аналитической риск-модели в условиях реализации атак с учетом работы ЛИС	124	1	9	18-19
Разработка рекомендаций по снижению риска реализации атаки	137	1	12	16-19
Построение вероятностной модели информационного риска на основе построенной модели атак	84	1	7	19-20
Расчет функций чувствительности информационного риска к изменению его параметров	115	1	9	23-24
Математическое исследование модели информационного риска	49	1	3	24-25
Математическое исследование движения информационного риска вследствие изменения его параметров	68	1	5	19-21
Выработка критериев оптимального управления информационным риском	49	1	5	21-22
Поиск области оптимального информационного риска	26	1	3	22-23
Обобщение результатов исследования:	120 чел-ч
Обобщение результатов предыдущих этапов	21	1	2	25-26
Оценка полноты решения задачи	12	1	1	26-27
Проведение дополнительных теоретических исследований	26	1	2	26-28
Разработка предложений по реализации результатов разработки	34	1	3	28-29
Составление научного отчета согласно требованиям дипломной работы	27	1	3	30-29
Приемка результатов исследования	60 чел-ч
Составление информационной документации	15	1	1	27-30
Рассмотрение результатов оценки информационных рисков реализации атак с учетом работы ЛИС	25	1	2	29-31
Оформление акта приемки	20	1	2	31-32

Построим сетевой график согласно данным, представленным в таблице 4.5 (рисунок 4.1).

Рисунок 4.1 - Сетевой график выполнения работ

Путь на сетевом графике, на котором все резервы работ равны нулю, называется критическим. На рисунке 4.1 он показан жирной чертой. При этом не входящие в критический путь работы в процессе проведения разработки планируется выполнять параллельно работам, лежащим на критическом пути, согласно построенному сетевому графику.

Нормативный срок выполнения работы составляет 4 месяца или 122 календарных дня. На работу было затрачено 72 календарных дней, следовательно, время выполнения исследования не превышает нормативного.



4.3 Расчет сметной стоимости и договорной цены исследования по оценке рисков и анализа эффективности работы ложной информационной системы по различным игровым сценариям