2.5. Модели управления рисками мультисерверных систем
Существующие нормативные документы [18-19] предусматривают анализ состояния информационной безопасности (ИБ) с помощью оценки рисков – систематического анализа вероятностного ущерба, наступающего в результате нарушения ИБ, и вероятности наступления таких нарушений с учетом существующих угроз и уязвимостей. Классический подход к оценке и анализу рисков требует исследования статистических значений величины наносимого информационными преступлениями ущерба. При этом необходимо понять механизм их формирования, то есть подобрать и обосновать некоторую модельную функцию распределения, с помощью которой можно адекватно описать исследуемую функцию риска и вычислить соответствующие параметры, с помощью которых становится возможной разработка и реализация алгоритмов повышения защищенности атакуемых систем.
Обоснование закона распределения ущерба при реализации dDoS-атак на мультисерверную систему
При изучении процессов, влияющих на формирование методов управления риском МСС, применяются методы математической статистики. Так как реализация DDoS-атак на систему не может быть заранее определена, то будем управлять рисками, считая, что ущербы, как случайные величины, заданы своими законами распределения вероятностей.
Возможны два варианта:
получены необходимые и достаточные статистические данные для компонента МСС;
статистических данных для компонента МСС не достаточно.
Общая методика
Рассмотрим первый случай, когда накоплены необходимые и достаточные статистические данные.
Используя имеющуюся на сервере статистику, необходимо обосновать вид функции распределения ущербов, полученных от реализации DDoS-атак на серверы МСС.
Так как параметры гипотетической функции распределения неизвестны, то имеем сложную гипотезу. Поэтому для проверки гипотезы о предполагаемом законе распределения воспользуемся критерием хи-квадрат Пирсона [10,14].
Требуется
по выборке проверить нулевую гипотезу
о том, что генеральная совокупность
имеет функцию распределения
,
если неизвестны значения параметров
закона распределения, и
– непрерывная функция.
Так
как параметры гипотетической функции
распределения неизвестны, то их нужно
предварительно оценить по данным
выборки, например, методом максимального
правдоподобия [14]. Основу метода составляет
функция правдоподобия, выражающая
плотность вероятности совместного
появления результатов выборки
.
Результаты выборки рассматривают, как
реализацию
-мерной
случайной величины
,
компоненты которой независимы и имеют
одну функцию распределения. Тогда
совместное распределение этих величин
задается в виде произведения частных
распределений.
Следовательно, для непрерывных случайных величин функция правдоподобия имеет вид:
.
Из определения
функции правдоподобия следует, что чем
вероятнее набор значений случайной
величины
при фиксированном
,тем
больше значение функции правдоподобия
.
Нахождение оценки
упростится, если рассмотрим логарифмическую
функцию правдоподобия, так как максимумы
и
достигаются при одном и том же значении
.
Прологарифмируем обе части равенства.
Тогда необходимое условие экстремума
имеет вид:
где
- число параметров гипотетической
функции распределения.
Полученная система уравнений называется уравнениями правдоподобия.
Найдя решение
системы, проверим, является ли найденная
точка
точкой максимума функции правдоподобия.
Для этого нужно показать, что матрица
второго дифференциала этой функции
в этой точке является отрицательно
определенной. Если условие выполняется,
то полученные оценки являются оценками
максимального правдоподобия.
Затем переходим
к критерию согласия Пирсона. Требуется
по выборке проверить нулевую гипотезу
о том, что генеральная совокупность
имеет функцию распределения
.
Альтернативная гипотеза
– гипотетическая функция распределения
не согласуется с опытными данными.
Алгоритм проверки гипотезы:
Из генеральной совокупности производится выборка объема
.Весь диапазон полученных значений разбиваем на
частичных интервалов, одинаковой длины,
и пусть
есть – количество попавших в
-й
интервал значений
.Составляется сгруппированный статистический ряд.
На основании гипотетической функции распределения вычисляются вероятности попадания случайной величины
в частичные интервалы:
,
.
Находим теоретические частоты
,
т.е. частоты, которые следует ожидать,
если нулевая гипотеза справедлива.Используем статистику хи-квадрат
(так как
параметров оценивались методом
максимального правдоподобия):
.
Из таблиц квантилей
-
распределения по заданному уровню
значимости
и числу степеней свободы
находим критическую точку
.Сравнивая с критическим значением
делаем вывод:
а) если
,
то нулевая гипотеза отвергается в пользу
альтернативной
– гипотетическая функция распределения
не согласуется с опытными данными;
б) если
,
то нет оснований отклонять нулевую
гипотезу
,
т.е. гипотетическая функция распределения
согласуется с опытными данными.
Покажем, что плотность вероятности времени отказов серверов мультисерверной системы в результате успешно проведенной DDoS-атаки, может быть определена функцией плотности распределения вероятностей Вейбулла.
Для этого докажем гипотезу о возможности использования двухпараметрического распределения Вейбулла [10, 95]:
где
– количество серверов,
для описания времени нахождения
компонента системы в состоянии «отказ
в обслуживании» (ущербов) в мультисерверных
системах, возникающих в результате
реализации атаки.
Определим
параметры
,
,
соответственно, как максимальное
количество открытых соединений
-го
сервера и максимально допустимый
коэффициент загрузки центрального
процессора (ЦП) [110, 111]. Если текущее
количество открытых соединений превышает
максимальное значение или коэффициент
загрузки центрального процессора
превышает максимально возможное, то
сервер переходит в состояние «отказ
обслуживания».
В качестве альтернативной гипотезы рассматриваем гипотезу – гипотетическая функция распределения Вейбулла не согласуется с опытными данными.
В случае атак
«отказ в обслуживании» нормированный
ущерб находим как произведение
интенсивности атаки на время наблюдения
системы
,
где
– интенсивности атаки при
.
Для статистического
риск-анализа ущербов, наступивших в
результате успешной реализации DDoS-атаки
на мультисерверную систему выберем
функцию распределения Вейбулла. Это
продиктовано, например, тем, что оно
является наиболее общим распределением
времени безотказной работы. Проверим,
что распределение Вейбулла описывает
вышеуказанные ущербы.
Так как параметры гипотетической функции распределения неизвестны, то имеем сложную гипотезу, поэтому для проверки гипотезы о предполагаемом законе воспользуемся критерием хи-квадрат Пирсона [10,14].
Требуется
по выборке проверить нулевую гипотезу
о том, что генеральная совокупность
имеет функцию распределения
,
если неизвестны значения параметров
закона распределения, и
– непрерывная функция.
Так
как параметры гипотетической функции
распределения неизвестны, то их можно
предварительно оценить по данным выборки
методом максимального правдоподобия.
Основу метода составляет функция
правдоподобия, выражающая плотность
вероятности совместного появления
результатов выборки
.
Результаты выборки рассматривают как
реализацию
-мерной
случайной величины
,
компоненты которой независимы и имеют
одну функцию распределения. Тогда
совместное распределение этих величин
задается в виде произведения частных
распределений. Следовательно, для
непрерывных случайных величин, имеющих
распределение Вейбулла, функция
правдоподобия имеет вид:
.
В качестве оценки
неизвестных
и
принимают значения
,
и
,
которые максимизируют функцию
правдоподобия.
Нахождение оценки упростится, если мы рассмотрим логарифмическую функцию правдоподобия. Прологарифмируем обе части равенства. Тогда логарифмическая функция правдоподобия примет вид:
.
Найдем первые частные производные по параметрам и , приравняем их к нулю. Таким образом, для нахождения точки максимума необходимо решить систему из двух уравнений:
Из первого уравнения системы выразим параметр через :
и подставим его во второе уравнение системы. Таким образом, получаем уравнение для нахождения оценки максимально допустимого коэффициента загрузки центрального процессора ( ):
.
После преобразований получаем систему, из которой находим оценки для максимально допустимого числа открытых соединений ( ) и максимально допустимого коэффициента загрузки центрального процессора ( ):
(2.1)
Решив второе уравнение системы (2.1)
(2.2)
одним из численных
методов (например, методом Ньютона),
найдем оценку для максимально допустимого
коэффициента загрузки центрального
процессора (
).
Подставив найденную оценку
для максимально допустимого коэффициента
загрузки центрального процессора в
первое уравнение, получим оценку
для максимально допустимого числа
открытых соединений.
Теперь необходимо
проверить, является ли найденная точка
точкой максимума функции правдоподобия.
Достаточным условием достижения
максимума функции двух переменных
в некоторой точке является условие
отрицательной определенности матрицы
второго дифференциала функции
в этой точке [97]. Согласно критерию
Сельвестора, для этого необходимо и
достаточно, чтобы главные миноры этой
матрицы чередовались по знаку:
,
.
Матрица второго
дифференциала функции
имеет следующий вид:
.
В этом случае
;
.
Найдем предварительно
производные второго порядка функции
,
используя уже посчитанные частные
производные первого порядка:
;
;
.
После преобразований смешенная производная примет вид:
.
Так как функция
плотности распределения вероятностей
Вейбулла отлична от нуля при
,
то
при всех значениях .
Следовательно, остается только проверять, что выполняется следующее неравенство:
.
(2.3)
При выполнении условия – точка максимума, и полученные оценки будут оценками максимального правдоподобия.
Воспользуемся
критерием Фишера. Выдвигаем нулевую
гипотезу
– гипотетическая функция распределения
Вейбулла согласуется с опытными данными,
тогда альтернативная гипотеза:
– гипотетическая функция распределения Вейбулла не согласуется с опытными данными.
Так как истинные
значения максимально допустимого числа
открытых соединений (
)
и максимально допустимого коэффициента
загрузки центрального процессора (
),
не известны, то подставляя их оценки
и
,
найденные методом максимального
правдоподобия, получаем статистический
критерий
с меньшим числом степеней свободы:
,
где
– число интервалов, на которые разбит
весь диапазон наблюдаемых значений,
– число параметров гипотетической
функции распределения. Для
двухпараметрического распределения
Вейбулла
.
Рассмотрим теперь полученные статистические данные [106, 110]. В табл. 2.2 приведены сгруппированные данные о времени отказов сервера, на основании которых получим гистограмму частот (рис. 2.8).
Таблица 2.2
Сгруппированные данные
-
Номер
интервала
Интервал
Число наблюдений
в интервале
1
(1,200; 1,425)
5
2
(1,425; 1,660)
9
3
(1,660; 1,875)
10
4
(1,875; 2,100)
8
5
(2,100; 2,325)
7
6
(2,325; 2,560)
5
7
(2,560; 2,775)
4
8
(2,775; 3,000)
2
Рис. 2.8. Гистограмма частот, полученная по
сгруппированным данным
Тогда эмпирическая функция распределения будет иметь следующий вид:
Эмпирическая функция распределения является оценкой теоретической функции распределения. Графическое представление эмпирической функции распределения показано на рис. 2.9.
Рис. 2.9. Эмпирическая функция распределения, полученная по
сгруппированным данным
Для большей наглядности и удобства записи введем следующие обозначения:
;
;
(2.4)
.
(2.5)
Тогда система
уравнений для нахождения оценок
,
и
для максимального количества открытых
соединений
и максимально допустимого коэффициента
загрузки центрального процессора и
примет вид:
Соответственно, частные производные второго порядка:
;
;
.
По результатам,
приведенным в таблице, получены оценки
для максимально допустимого коэффициента
загрузки центрального процессора (
)
и максимально допустимого числа открытых
соединений (
),
соответственно:
и
.
Значение оценки
получено при численном решении уравнения
методом Ньютона с точностью
.
Значение оценки
получено из первого уравнения системы
(рис. 2.10).
Рис. 2.10. Значения введенных параметров при найденных оценках и
Проверим, что точка является точкой максимума функции правдоподобия. Для этого остается только проверить, что при найденных значениях оценок. Результаты расчетов приведены на рис. 2.11.
Рис 2.11. Результаты
расчетов
при
найденных оценках
и
Так как
,
то
– точка максимума функции правдоподобия,
и эти оценки можно использовать для
проверки критерия согласия. Проверим
теперь нулевую гипотезу
.
Весь диапазон, в котором находятся данные, разбили на 8 интервалов.
Гипотетическая
функция распределения Вейбулла
имеет следующий вид:
На основании гипотетической функции распределения
при найденных
оценках
,
и
функции распределения найдем вероятности
попадания случайной величины
– времени нахождения системы в состоянии
«отказ обслуживания» после поведения
DDoS-атаки – в
-й
интервал:
,
где
– вероятность попадания значения
случайной величины
в i-й интервал (
;
=50
– объем выборки).
После преобразований окончательно получаем формулу для расчета вероятностей попадания случайной величины в i-й интервал:
.
Затем находим
статистику
,
подставляя в формулу найденные значения
оценок
и
.
Результаты расчетов приведены на
рисунок 2.12.
По полученным
расчетам
.
По заданному уровню
значимости
и числу степеней свободы
(
так как оценивали два параметра функции
распределения вероятностей Вейбулла)
находим, что
.
Рис. 2.12. Результаты
расчета статистики
Так как
,
то нет оснований отвергать нулевую
гипотезу, то есть, гипотетическая функция
распределения Вейбулла согласуется с
экспериментальными данными. Следовательно,
функцию плотности распределения
вероятностей Вейбулла можно использовать
для статистического описания ущербов
МСС, возникающих при DDoS-атаках.
График функции
распределения вероятностей Вейбулла
при найденных оценках
и
для значения максимально допустимого
числа открытых соединений сервера (
)
и максимально допустимого коэффициента
загрузки центрального процессора (
)
после реализации DDoS-атаки
показан на рис. 2.13.
Для более наглядной оценки полученных результатов, на рис. 2.13 размещена и гистограмма частот эмпирической функции распределения.
Рис. 2.13. Совмещение эмпирической и теоретической функций распределения Вейбулла при и
Схема полученного алгоритма обоснования выбора распределения Вейбулла для описания ущербов, нанесенных МСС при реализации атаки приведена на рис. 2.14.
Рис. 2.14. Алгоритм обоснования выбора распределения