Полная версия

Главная arrow Информатика arrow ЗАЩИТА ИНФОРМАЦИИ: ОСНОВЫ ТЕОРИИ

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

Упрощение задачи моделирования угрозы

Ввиду того, что практические задачи моделирования могут характеризоваться высокой сложностью, крайне актуальной является задача их упрощения. Основная сложность моделирования при этом состоит в составлении и решении линейных алгебраических уравнений большой размерности.

Нас здесь будут интересовать модели, используемые для оценки актуальности угроз атак и угрозы безопасности ИС в целом, вид которых, как отмечалось, однозначно определен числом входных потоков случайных событий.

Как отмечали ранее, одной из особенностей объекта моделирования в нашем случае является независимость событий возникновения заявок на обслуживание — реальных угроз уязвимостей. В определенных случаях и события устранения уязвимостей различных типов также будут независимы.

  • • События устранения уязвимостей независимы, если возникновение одной уязвимости не влияет на интенсивность устранения иных уязвимостей в системе.
  • • События устранения уязвимостей различных типов независимы, если возникновение уязвимости одного типа не влияет на интенсивность устранения уязвимостей других типов в системе.

Утверждение. Модель системы, в которой для устранения уязвимостей каждого типа используется отдельный прибор (приборы), характеризуется независимостью устранения уязвимостей различных типов.

Доказательство. Это обусловливается тем, что каждый из обслуживающих приборов (в общем случае некоторый набор соответствующих приборов) обслуживает заявки только одного соответствующего типа, и этот процесс полностью независим от событий возникновения в системе заявок на обслуживание иных типов.

Следствие. Если число обслуживающих приборов в системе меньше числа типов заявок на обслуживание, события обслуживания заявок различных типов зависимы.

Исходя из того, что условная вероятность независимого события равна его безусловной вероятности, сделаем следующее предположение в отношении моделирования угроз безопасности, создаваемых несколькими угрозами уязвимостей различных типов, события обслуживания которых независимы, которое сформулируем в виде соответствующего утверждения, требующего доказательства.

Утверждение. Если предположить, что события возникновения и устранения в системе заявок на обслуживание различных типов независимы, значение стационарной вероятности состояния одновременного присутствия в системе нескольких заявок на обслуживание различных типов может быть определено с использованием значений вероятностей присутствия в системе по крайней мере одной заявки каждого типа. Для этого требуется перемножить значения этих стационарных вероятностей на множестве возможных несовместных событий моделируемой системы. Вероятность же данного события (присутствие в системе одновременно нескольких заявок на обслуживание различных типов) имеет физический смысл доли времени пребывания системы в этом состоянии.

Таким образом, требуется доказать следующее. Если в систему поступает R входных потоков случайных событий различных типов, возникновение и устранение заявок различных типов — независимые события с номерами г = 1,..., R, для каждого из которых но отдельности, с использованием соответствующих моделей с одним входным потоком случайных событий определены стационарные вероятности пребывания в системе заявки на обслуживание ^.соответствующего тина, то стационарная вероятность состояния пребывания в системе одновременно нескольких заявок различных типов, например г = 1 и г = 2, обозначим Рх 2, может быть определена на множестве возможных несовместных событий следующим образом:

при этом Р, 2 интерпретируется как доля времени пребывания системы в этом состоянии.

Доказательство. Начнем с проведения исследования на модели, приведенной на рис. 5.18, а. Эта модель построена в предположении о том, что в системе может присутствовать только одна угроза уязвимостей каждого типа (использование в модели объединенных состояний рассмотрим далее). Однако отметим, что вид модели и число состояний в ней при аналитическом преобразовании счетной модели в конечную, как показали ранее, при двух входных потоках случайных событий будет тем же, отличаться будут только пересчитываемые интенсивности восстановлений pf.

Данная модель для исследований выбрана из тех соображений, что в ней для устранения уязвимостей каждого типа используется отдельный прибор (поскольку в системе одновременно не может присутствовать несколько заявок на обслуживание одного типа), т.е. модель характеризуется независимостью устранения уязвимостей различных типов.

Преобразуем модель, приведенную на рис. 5.18, а, в модель, представленную на рис. 5.18, б.

Преобразование состоит в соответствующем взвешивании состояний системы вероятностями присутствия в системе соответствующих уязвимостей (соответствующего типа), события возникновения которых независимы, с учетом полной группы несовместных событий. Обозначим эти веро-

Преобразование модели

Рис. 5.18. Преобразование модели:

а — исходная модель; 6 — преобразованная модель ятности как Рх и Р2. Значения Р{ и Р2> в соответствии со сформулированным утверждением, определяются на модели угрозы уязвимости (рис. 5.19, а).

Так, состояние 500 характеризует отсутствие уязвимостей. Вероятность пребывания системы в этом состоянии Р00 = (1 - Р,)( 1 - Р2). Состояние J910 характеризует присутствие в системе только уязвимости первого типа, вероятность пребывания системы в этом состоянии Р10 = Р,(1 - Р2). Состояние J?01 характеризует присутствие в системе уязвимости только второго типа, вероятность пребывания системы в этом состоянии Р0{ = Р2( 1 - Pj). Состояние Sn характеризует присутствие в системе уязвимостей обоих типов, вероятность пребывания системы в этом состоянии Ри = РХР2-

Состояния системы преобразованной модели образуют полную группу несовместных событий, так как их суммарная вероятность: Р00 + Р10 + Р01 + и = 1.

Для определения требуемых вероятностей будем рассматривать две модели угроз безопасности — модель угрозы уязвимостей и модель угрозы атаки, создаваемой двумя угрозами уязвимостей (см. рис. 5.19).

б

Рис. 5.19. Размеченные графы системы состояний случайного процесса

угроз безопасности:

а — модель угрозы уязвимостей; б — модель угрозы атаки

Используя модель, приведенную на рис. 5.19, а, определим по отдельности стационарные вероятности состояния присутствия в системе соответствующих уязвимостей обоих типов:

Теперь, используя сформулированное утверждение, получим для модели, приведенной на рис. 5.19, б, искомые значения стационарных вероятностей. При этом будем учитывать то, как взвешены в модели состояния системы (см. рис. 5.18, б):

Отметим, что полностью аналогичный результат моделирования получим, построив и решив соответствующую систему линейных уравнений для модели, приведенной на рис. 5.19, 6, что в рамках данного примера подтверждает корректность сформулированного утверждением посыла.

Теперь докажем утверждение в общем виде.

Для упрощения последующего моделирования будем считать, что интенсивности возникновения и облуживания заявок различных типов совпадают. С учетом этого приведем исходный размеченный граф (см. рис. 5.18, 6) к виду, представленному на рис. 5.20.

а

Рис. 5.20. Преобразование модели при условии, что интенсивности возникновения и обслуживания заявок различных типов совпадают:

а — исходная модель; б — преобразованная модель

Для преобразованной модели разметка дуг имеет следующую интерпретацию — размечая дугу, указываем, сколько дуг выходит из состояния исходной модели под воздействием соответствующего потока случайных событий, имеющую соответствующую интенсивность.

Проверим на этом графе корректность сформулированного утверждения, для чего определим, как рассчитывается вероятность Р. Для этого составим и рассмотрим соответствующие линейные уравнения.

Второе уравнение:

Первое уравнение:

откуда имеем для которого также получаем

Как видим, соответствующие вероятности определяются корректно.

Теперь построим аналогичную модель в предположении о том, что в систему поступают три потока входных случайных событий. Опять же предполагаем, что в системе может присутствовать только одна угроза уязвимостей каждого, но уже из трех типов, в системе три обслуживающих прибора, что по внешнему виду соответствует модели, представленной ранее на рис. 5.16. Получим преобразованный размеченный граф для этой модели, приведенный на рис. 5.21.

Преобразованный размеченный граф системы состояний

Рис. 5.21. Преобразованный размеченный граф системы состояний

случайного процесса с тремя входными потоками случайных событий

Теперь уже на этом графе проверим корректность сформулированного утверждения, для чего опять же определим, как рассчитывается вероятность Р. Для этого составим и рассмотрим соответствующие линейные уравнения системы линейных уравнений.

Первое уравнение:

откуда имеем

Последнее уравнение для которого также получаем

Данное исследование позволяет говорить о доказательстве утверждения в общем виде при условии, что в системе одновременно может присутствовать не более одной заявки на обслуживание одного типа. Как мы видели ранее, правильный результат моделирования будет получен и для системы, характеризуемой различными интенсивностями потоков входных случайных событий различных типов.

Следствие. Как видим, данное утверждение может использоваться для упрощения задачи моделирования восстанавливаемых систем в теории надежности, при условии того, что заявка каждого типа обслуживается своим прибором, особенности объекта моделирования в которой — в системе не может одновременно присутствовать несколько заявок на обслуживание одного типа, так как не может отказать отказавший элемент, т.е. события обслуживания заявок различных типов независимы.

Однако, как отмечали ранее, анализируемая модель, представленная на рис. 5.18, а, применительно к решаемым нами задачам моделирования некорректна, ввиду некорректного вероятностного разрежения в ней входных потоков случайных событий между состояниями системы, так как в общем случае в моделируемых системах в рамках теории защиты информации в системе одновременно может присутствовать несколько заявок на обслуживание одного типа.

Корректной моделью применительно к исследуемому случаю будет модель с объединенными состояниями, которая для системы с двумя входными потоками случайных событий и с двумя обслуживающими приборами представлена на рис. 5.22.

В данной модели все состояния, кроме исходного, являются объединенными. Независимость событий устранения уязвимостей различных типов в данном случае обеспечивается тем, что каждый прибор может обслуживать заявки только одного типа.

Проверить корректность сформулированного утверждения применительно к рассматриваемой модели можно на графе, представленном на рис. 5.20, б. Для этого следует определиться с тем, как рассчитывается вероятность Р. Для модели угрозы атаки данная вероятность (отказа безопасности) определяется как Х/х. При этом следует учесть необходимость пересчета интенсивности восстановлений, она уже здесь будет задаваться не как р, а как р - X (объединенное состояние).

С учетом сказанного составим и рассмотрим соответствующие линейные уравнения.

Первое уравнение:

откуда имеем

Модель с объединенными состояниями

Рис. 5.22. Модель с объединенными состояниями

Второе уравнение:

для которого также получаем

Видим, что соответствующие вероятности и в данном случае определяются корректно.

Вывод. Проведенное исследование позволяет говорить о доказательстве утверждения применительно к моделям с объединенными состояниями, получаемым при моделировании угрозы отказов безопасности, в которых число обслуживающих приборов совпадает с числом входных потоков случайных событий, при этом каждым прибором могут обслуживаться заявки одного соответствующего типа.

Таким образом, использование доказанного утверждения для рассматриваемых моделей предполагает возможность получения результатов моделирования без составления и решения соответствующих сложных систем линейных алгебраических уравнений для системы в целом, моделировать при этом требуется лишь отдельные угрозы уязвимостей, что принципиально упрощает задачу моделирования.

Проиллюстрируем сказанное примером. Для этого рассмотрим модель, приведенную на рис. 5.22. Определим стационарную вероятность события отказов безопасности Ри.

Сначала промоделируем угрозы уязвимостей первого и второго типов:

Для интенсивности возникновения в системе отказов безопасности (по крайней мере, одной реальной угрозы атаки) Хя можем записать

С учетом полученных результатов для искомой характеристики Ри сразу, без составления и решения соответствующих уравнений, можем записать

Подставляем в данную формулу рассчитанные значения Р, и Р2 и находим значение Хя.

Интенсивность же устранения в системе отказов безопасности (всех одновременно присутствующих реальных угроз атак) ра определяется следующим образом:

Теперь о характеристиках угрозы отказов безопасности. Вероятность готовности системы к безопасной эксплуатации

среднее время наработки на отказ безопасности ИС (восстанавливаемая система) в отношении угрозы атаки Т0 , среднее время восстановления безопасности ИС Ткх,я в отношении угрозы атаки:

среднее время между отказами безопасности Т0п + Т .

Обратим внимание на следующее. В моделях угроз отказов безопасности с объединенными состояниями определяется не среднее время наработки между отказами, а среднее время между отказами.

Как видим, при использовании изложенного подхода к моделированию построения и решения системы линейных уравнений для рассматриваемого вида моделей не требуется, что кардинально упрощает задачу моделирования.

Например, если рассмотреть модель, приведенную на рис. 5.16, для нее сразу можно определить стационарную вероятность состояния 5123 (вероятность возникновения в системе реальной угрозы атаки):

При этом отмстим, что для наглядности мы разбираем простые примеры, на самом деле модели угрозы отказов безопасности могут быть весьма сложными. Для решения практических задач упрощение задачи моделирования просто необходимо.

Следствие. Изложенный подход к упрощению задачи моделирования в общем случае может использоваться применительно к определенному классу моделей — к моделям, в которых для обслуживания заявок различных типов, независимо поступающих в систему, образуя соответствующие потоки входных случайных событий, используются различные обслуживающие приборы. Это значит, что в системе и поступление, и обслуживание заявок различных типов должны быть независимыми событиями. При выполнении системой данных условий изложенный подход может использоваться и при преобразовании счетной модели к конечной вероятностным методом.

 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>