Оценка угроз и управление эффективностью
Статистический риск-анализ атак, совершенных на ас, без использования сов
При наличии статистических данных, есть возможность создать модель распределения статистики, что поможет рассчитать распределение рисков, которое можно использовать для прогнозирования последствий, наступающих от сетевых вторжений, реализуемых в АС (табл. 2.2).
Таблица 2.2
Параметры гистограммы группированного вариационного ряда
Индекс |
Интервалы ущерба ($ США) |
частота относительная |
Частота абсолютная |
1 |
[0; 15000] |
0,062 |
9 |
2 |
[15000; 30000] |
0,110 |
16 |
3 |
[30000; 45000] |
0,144 |
21 |
4 |
[45000; 60000] |
0,358 |
52 |
5 |
[60000; 75000] |
0,179 |
26 |
6 |
[75000; 90000] |
0,096 |
14 |
7 |
[90000; 105000] |
0,048 |
7 |
В данной работе представлена статистика сетевых вторжений, полученная из открытых новостных источников. Выборка состоит из 145 случаев нанесения ущерба в результате взлома компьютерных систем за последние 3 года. На рис. 2.3 представлено распределение ущерба по вероятности его нанесения.
Рис. 2.3. Распределение величины ущерба по вероятности его нанесения
Для проведения риск-анализа, необходимо определить закон распределения вероятности нанесения ущерба определенной величины. Опытным путем, на основе сравнительного анализа было выбрано нормальное распределение. Общий вид нормального закона распределения:
(2.1)
На основе полученных значений вероятностей построим график плотностей вероятностей. Для его построения на оси ущерба для каждого интервала будем откладывать по одной точке, являющей средним его значением. Рассчитаем значения выборочного среднего и выборочной дисперсии и модифицированной выборочной дисперсии:
Проверим статистическую гипотезу H0, что генеральная совокупность ущербов распределена по нормальному закону с параметрами:
с уровнем значимости:
Уровень значимости находится: a=1-g, где g – доверительная вероятность; при g=0,99 Параметр α называется степенью доверия или доверительной вероятностью.
На основании того, что параметры закона распределения были вычислены по выборке, а не выведены математически был выбран критерий согласия «Хи-квадрат». Суть критерия состоит в том, чтобы найти отклонение полученной статистики от теоретического Нормального распределения, и если оно не превышает определенного критического значения, то выборка совместима с гипотезой Н0 можно считать подтвержденной [72]. Критическое значение берется из таблиц значений, с учетом числа степеней свободы и уровня значимости. Вычисляется значение статистического коэффициента по следующей формуле:
(2.2)
где N – число интервалов разбиения выборки, n – объем выборки, ni – частота i-го интервала, pi – теоретическая вероятность попадания случайной величины в i-й интервал [23].
Вычислим вероятность попадания значения величин ущерба в i-ый интервал по теоретическому распределению.
Для нормального закона
(2.3)
Полученные значения занесем в табл. 2.3.
Таблица 2.3
Вероятности попадания величин ущерба в i-ый интервал
Интервалы ущерба ($ США) |
Относительная частота по расчетам (теоретическое распределение) |
[0; 15000] |
0,062 |
[15000; 30000] |
0,110 |
[30000; 45000] |
0,144 |
[45000; 60000] |
0,358 |
[60000; 75000] |
0,179 |
[75000; 90000] |
0,096 |
[90000; 105000] |
0,048 |
Для визуального сравнения теоретического распределения с эмпирическим построим их диаграммы по результатам вычислений (рис 2.4).
Рис. 2.4. Сравнение относительных частот по гипотезе и выборке
Для проверки правильности выбора гипотезы проверим действительность гипотезы. Найдем коэффициент «Хи-квадрат», для статистического распределения:
Число степеней свободны в нашем случае k = s – 1 – r, где r– число параметров предполагаемого распределения, оцененных по данным выборки. Если предполагаемое распределение нормальное, то оценивают два параметра (математическое ожидание и среднее квадратичное отклонение). Поэтому r = 2 и число степеней свободы. s – число групп (частичных интервалов) выборки.
Нормальное распределение характеризуется двумя параметрами, поэтому k = s – 3=7-3=4.
.
Следовательно, можно сделать вывод, что данная выборка согласуется с гипотезой о нормальном распределении с параметрами:
и уровнем значимости:
На основе данного анализа можно сделать вывод, что нормальное распределение в достаточной мере пригодно для проведения на его основе статистического риск-анализа сетевых вторжений. Поэтому для дальнейшего исследования мы будем пользоваться именно им.
График кривой риска построим по точкам. Для нахождения конкретного значения риска возникновения ущерба конкретного размера воспользуемся следующей формулой:
(2.4)
где P – вероятность нанесения организации ущерба определенной величины, U – нормированная величина этого ущерба.
Для вычисления вероятности возникновения ущерба в конкретной точке, продискретизируем график плотностей вероятностей и найдем вероятность попадания величины ущерба в каждый интервал (вычислим площадь под кривой закона распределения вычислением определенных интегралов по выбранным интервалам в районе выбранных точек), по которым будем строить функцию риска.
Согласно теореме Котельникова, период дискретизации должен удовлетворять неравенству:
,
(2.5)
где Pmax – наибольшее значение вероятности. В нашем случае Pmax=1,75*10-5, то Тдискр<28,6 тыс. долларов США. Таким образом, для полученной функции плотностей вероятностей период дискретизации должен быть меньше 28,6 тыс. долларов США (в этом случае исходную функцию можно будет восстановить по дискретным значениям). Выберем период равным 15 тыс. долларов США и найдём вероятности нанесения определенного ущерба по новым интервалам с точками, равными серединам интервалов.
Результаты вычисления вероятности реализации преступления, наносящего ущерб попадающий в интервалы, произведенного по выражению (2.3), и результаты вычисления риска возникновения ущерба конкретной величины, произведенного по выражению (2.4), представлены в табл. 2.4.
Таблица 2.4
Значения рисков в контрольных точках
Центр интервала ущерба (тыс. $ США) |
Нормированный центр интервала ущерба (U) |
Вероятность реализации преступления (Р) |
Значение риска (Risk) |
7,5 |
0,075 |
0,002364 |
0,000177 |
22,5 |
0,225 |
0,007391 |
0,002662 |
37,5 |
0,375 |
0,01658 |
0,006221 |
52,5 |
0,525 |
0,018135 |
0,009521 |
67,5 |
0,675 |
0,014202 |
0,009587 |
82,5 |
0,825 |
0,007444 |
0,006142 |
97,5 |
0,975 |
0,002139 |
0,002086 |
112,5 |
1,125 |
0,000414 |
0,000047 |
Полученные результаты расчетов представлены на рис. 2.5.
Рис. 2.5. Распределение риска сетевых атак
Из графика на рис. 2.5 видно, что величина риска от сетевых вторжений является наибольшей при уровне ущерба 60 тыс. долларов США и равна 0,0095. Наименьший же риск –получить ущерб размером в 112,5 тыс. долларов США равен 0,000047.
Суммарный риск сетевых вторжений будет определяться:
.