- •Введение
- •1. Теоретическое описание, архитектура, принципы работы систем обнаружения вторжений, осуществляющих анализ сигнатур
- •Принципы функционирования сетевых систем обнаружения вторжений
- •Общая типовая схема систем обнаружения вторжений
- •Подсистема анализа, использующая сигнатурный метод
- •1.3.1. Общие требования к методу анализа
- •1.3.2. Реализация метода сигнатур. Принципы работы
- •1.3.3. Основные характеристики сигнатур
- •1.3.4. Основные алгоритмы поиска сигнатур атак
- •Принципы построения системы обнаружения вторжений
- •1.4.1. Предъявляемые требования и основные параметры
- •1.4.2. Состав и структура аппаратной реализации системы обнаружения вторжений
- •1.4.3. Автоматизированная генерация конфигураций
- •Характеристика направлений и групп методов обнаружения вторжений
- •1.5.1. Анализ методов обнаружения аномалий
- •1.5.2. Выбор оптимальной совокупности признаков оценки защищаемой системы
- •Недостатки существующих систем обнаружения вторжений
- •Направления совершенствования сов
- •Оценка рисков и управление эффективностью
- •Методический подход к оценке возможности обнаружения сетевых атак на основе последовательного анализа сигнатур
- •Статистический риск-анализ атак, совершенных на ас, без использования сов
- •Статистический риск-анализ атак, совершенных на ас, с использованием сов осуществляющих анализ сигнатур
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Статистический риск-анализ атак, совершенных на ас, без использования сов
При наличии достаточного количества статистических данных, есть возможность создать модель распределения статистики, что в свою очередь поможет рассчитать распределение рисков, которое можно использовать для прогнозирования последствий, наступающих от сетевых вторжений, реализуемых в АС (табл. 2.1).
Таблица 2.1
Параметры гистограммы группированного вариационного ряда
Индекс |
Интервалы ущерба ($ США) |
Частота относительная |
Частота абсолютная |
1 |
[0; 15000] |
0,062 |
9 |
2 |
[15000; 30000] |
0,110 |
16 |
3 |
[30000; 45000] |
0,144 |
21 |
4 |
[45000; 60000] |
0,358 |
52 |
5 |
[60000; 75000] |
0,179 |
26 |
6 |
[75000; 90000] |
0,096 |
14 |
7 |
[90000; 105000] |
0,048 |
7 |
В данной работе представлена статистика сетевых вторжений, полученная из открытых новостных источников. Выборка состоит из 77 случаев нанесения ущерба в результате взлома компьютерных систем за последние 3 года. На рис. 2.1 представлено распределение ущерба по вероятности его нанесения.
Рис. 2.1. Распределение величины ущерба от НСД по вероятности его нанесения
Для проведения риск-анализа, необходимо определить закон распределения вероятности нанесения ущерба определенной величины. Опытным путем, на основе сравнительного анализа было выбрано нормальное распределение. Общий вид нормального закона (2.15) распределения, с различными коэффициентами представлен на рис. 2.2.
. (2.15)
Рис. 2.2. Общий вид нормального закона распределения
На основе полученных значений вероятностей построим график плотностей вероятностей (рис. 2.4). Для его построения на оси ущерба для каждого интервала будем откладывать по одной точке, являющей средним его значением. Рассчитаем значения выборочного среднего и выборочной дисперсии и модифицированной выборочной дисперсии [72]:
Проверим статистическую гипотезу H0, что генеральная совокупность ущербов распределена по нормальному закону с параметрами:
с уровнем значимости:
Находят уровень значимости a=1-g, где g – доверительная вероятность; при g=0,99
Параметр α называется степенью доверия или доверительной вероятностью
На основании того, что параметры закона распределения были вычислены по выборке, а не выведены математически был выбран критерий согласия «Хи-квадрат». Суть критерия состоит в том, чтобы найти отклонение полученной статистики от теоретического Нормального распределения, и если оно не превышает определенного критического значения, то выборка совместима с гипотезой Н0 можно считать подтвержденной [72]. Критическое значение берется из таблиц значений, с учетом числа степеней свободы и уровня значимости. Вычисляется значение статистического коэффициента по следующей формуле:
(2.16)
где N – число интервалов разбиения выборки, n – объем выборки, ni – частота i-го интервала, pi – теоретическая вероятность попадания случайной величины в i-й интервал [23].
Вычислим вероятность попадания значения величин ущерба в i-ый интервал по теоретическому распределению.
Для нормального закона
(2.17)
Полученные значения занесем в табл. 2.2
Таблица 2.2
Вероятности попадания величин ущерба в i-ый интервал
Интервалы ущерба ($ США) |
Относительная частота по расчетам (теоретическое распределение) |
[0; 15000] |
0,038 |
[15000; 30000] |
0,113 |
[30000; 45000] |
0,216 |
[45000; 60000] |
0,266 |
[60000; 75000] |
0,211 |
[75000; 90000] |
0,106 |
[90000; 105000] |
0,034 |
Для визуального сравнения теоретического распределения с эмпирическим построим их диаграммы по результатам вычислений (рис. 2.3).
Рис. 2.3. Сравнение относительных частот по гипотезе и выборке
Для проверки правильности выбора гипотезы проверим действительность гипотезы. Найдем коэффициент «Хи-квадрат», для статистического распределения:
Число степеней свободны в нашем случае k = s – 1 – r, где r– число параметров предполагаемого распределения, оцененных по данным выборки. Если предполагаемое распределение нормальное, то оценивают два параметра (математическое ожидание и среднее квадратичное отклонение). Поэтому r = 2 и число степеней свободы. s – число групп (частичных интервалов) выборки.
Нормальное распределение характеризуется двумя параметрами, поэтому k = s – 3=7-3=4. [23].
.
Следовательно, можно сделать вывод, что данная выборка согласуется с гипотезой о нормальном распределении с параметрами:
и уровнем значимости:
Находят уровень значимости a=1-g, где g – доверительная вероятность; при g=0,99. Параметр α называется степенью доверия или доверительной вероятностью.
На основе данного анализа можно сделать вывод, что нормальное распределение в достаточной мере пригодно для проведения на его основе статистического риск-анализа сетевых вторжений. Поэтому для дальнейшего исследования мы будем пользоваться именно им. На рис. 2.4 представлен график нормального закона распределения с описанными параметрами.
Рис. 2.4. График плотности вероятностей ущерба для сетевых вторжений
Для определения распределения риска пронормируем величину ущерба. За максимальное его значение возьмем 100 тыс. долларов США. Соответственно для нормировки все величины ущерба делятся на 100 000.
График кривой риска построим по точкам. Для нахождения конкретного значения риска возникновения ущерба конкретного размера воспользуемся следующей формулой [34]:
(2.18)
где – вероятность нанесения организации ущерба определенной величины, – нормированная величина этого ущерба.
Для вычисления вероятности возникновения ущерба в конкретной точке, продискретизируем график плотностей вероятностей и найдем вероятность попадания величины ущерба в каждый интервал (вычислим площадь под кривой закона распределения вычислением определенных интегралов по выбранным интервалам в районе выбранных точек), по которым будем строить функцию риска.
Согласно теоремы Котельникова [72], период дискретизации должен удовлетворять неравенству:
, (2.19)
где Pmax – наибольшее значение вероятности. В нашем случае Pmax=0,0178
то Тдискр<28,08 тыс. долларов США. Таким образом, для полученной функции плотностей вероятностей период дискретизации должен быть меньше 28,08 тыс. долларов США (в этом случае исходную функцию можно будет восстановить по дискретным значениям). Для нашей задачи возьмем период равным 10 тыс. долларов США и найдем вероятности нанесения определенного ущерба по новым интервалам с точками, равными серединам интервалов.
Результаты вычисления вероятности реализации преступления, наносящего ущерб попадающий в интервалы, произведенного по выражению (2.17), и результаты вычисления риска возникновения ущерба конкретной величины, произведенного по выражению (2.18), представлены в табл. 2.3.
Таблица 2.3
Значения рисков в контрольных точках
Центр интервала ущерба (тыс. $ США) |
Нормированный центр интервала ущерба (U) |
Вероятность реализации преступления (Р) |
Значение риска (Risk) |
5 |
0,05 |
0,0019 |
0,000095 |
15 |
0,15 |
0,0044 |
0,00066 |
25 |
0,25 |
0,0085 |
0,002125 |
35 |
0,35 |
0,0134 |
0,00469 |
45 |
0,45 |
0,0171 |
0,007695 |
55 |
0,55 |
0,0178 |
0,00979 |
65 |
0,65 |
0,0151 |
0,009815 |
75 |
0,75 |
0,0103 |
0,007725 |
85 |
0,85 |
0,0058 |
0,00493 |
95 |
0,95 |
0,0026 |
0,00247 |
105 |
1,05 |
0,00099 |
0,0010395 |
Полученные результаты расчетов представлены на рис. 2.5.
Для определения общей степени опасности для АС от рассматриваемых нами угроз посчитаем суммарный риск для рассматриваемого нами интервала ущерба (2.19) [34].
Рис. 2.5. Распределение риска компьютерных преступлений, связанных с НСД и перехватом КИ
Из графика на рис. 2.5 видно, что величина риска от сетевых вторжений является наибольшей при уровне ущерба 60 тыс. долларов США и равна 0,0095. Наименьший же риск – получить ущерб размером в 5 тыс. долларов США равен 0,00009.