3.3. Оптимизация процесса получения экспертных оценок с учетом специфики сотовых сетей стандарта lte с интегрированными фемтосотами

Современный риск-анализ, абсолютно необходимый для оценки защищенности информационно-телекоммуникационных систем [72-13042], базируется на исследовании случайных переменных. Большинство методик оценки и регулирования рисков [72-78, 80, 83-89, 91-102, 104-129, 133-137, 140, 142] используют вероятностные схемы. Вместе с тем, в целом ряде проектных ситуаций приходится применять экспертные опросы и теорию нечетких чисел [139]. Одной из эффективных сфер применения этой методологии являются беспроводные сети [76].

Величины, получаемые в результате проведения опроса группы экспертов, носят субъективный характер и в некоторых случаях могут быть неадекватны реальным процессам, протекающим в анализируемой системе. Но для каждой конкретной задачи процесс оценки можно оптимизировать путем предоставления экспертам некоторых априорных сведений об объекте исследования. Так в предлагаемой методике определения возможности реализации угроз безопасности сотовых сетей стандарта LTE с интегрированными фемтосотами экспертам необходимо задать функции принадлежности треугольных нечетких чисел представляющих показатели - возможности наличия нарушителя данного класса, - потенциал нарушителя данного класса, - возможность преодоления средств защиты, - возможность реализации атаки после преодоления системы защиты. Проанализируем особенности сотовых сетей позволяющие оптимизировать процесс экспертной оценки этих показателей.

Оценку возможности наличия злоумышленника можно получить путем опроса группы экспертов по специально составленному опросному. Тогда для окончательного задания функции принадлежности соответствующего треугольного нечеткого числа экспертам останется задать только границы интервала нечеткости.

Потенциал злоумышленника , можно определить в соответствие с рекомендациям нормативно-методического документа [14] исходя из следующих факторов:

– квалификация злоумышленника (табл. 3.3);

– доступное оборудование (табл.3.4);

– уровень знаний и осведомленность о структуре сети (табл. 3.5).

Таблица 3.3

Шкала оценок квалификации злоумышленника

Метка	Балл	Описание
Непрофессионал	0	Характеризуется слабой осведомленностью и отсутствием специфической компетентности
Профессионалы	0,5	Характеризуются хорошей осведомленностью в вопросах, касающихся системы безопасности применяемой в сотовой сети
Эксперты	1	Характеризуются хорошими знаниями основных алгоритмов, протоколов, аппаратных средств, структуры и т.п., реализованными в сотовой сети

Таблица 3.4

Шкала оценок оборудования доступного нарушителю

Метка	Балл	Описание
Отсутствие оборудования	0	Оборудование отсутствует
Стандартное оборудование	0,4	Оборудование для идентификации уязвимостей или реализации атак, которое легко доступно любому злоумышленнику
Специализированное оборудование	0,7	Оборудование, которое не является общедоступным, но может быть приобретено злоумышленником без значительных усилий, а также собственноручно разработанные средства для реализации деструктивного воздействия
Заказное оборудование	1	Оборудование, требующее специальной разработки, оборудование, распространение которого контролируется или ограничено, а также очень дорогостоящие оборудование

Таблица 3.5

Шкала оценок уровня знаний злоумышленника о сети

Метка	Балл	Описание
Отсутствие информации о сети	0	Знание только о назначении сети
Общедоступная информация о сети	0,5	Общедоступная информация, знания, полученные из руководства пользователя и.т.д.
Чувствительная информация о сети	1	Конфиденциальная информация, сведения о внутреннем содержании и топологии сети

Таким образом, потенциал злоумышленника предлагается оценивать как нормированную сумму значений приведенных выше показателей по формуле (3.10). В некоторых случаях, возможно, будет целесообразно использовать весовые коэффициенты компенсирующие неравнозначность показателей.

, (3.10)

где M – количество параметров оценки потенциала злоумышленника;

k_i – весовой коэффициенты значимости i-го показателя;

N – количество экспертов, принимающих участие в опросе;

X_ij – оценка i-го показателя j-м экспертом.

Эксперт может задать некоторый интервал нечеткости в окрестности полученного результата для формирования функции принадлежности соответствующего нечеткого числа.

В случае невозможности получения численных оценок показателя предлагается применять специально сформированную шкалу субъективных оценок, учитывающих существующие в системе уязвимости, выявить которые можно путем анкетирования группы экспертов.

Для оценки возможности реализации рассматриваемых атак на сотовые сети и их системы применим шкалу качественных оценок, сопоставленных с количественными значениями возможности реализации, представленную в табл. 3.6.

Таблица 3.6

Шкала оценок возможности реализации атаки

Качественная шкала суждений	Количественная оценка возможности
Очень низкая	0
Низкая	0,2
Средняя	0,4
Выше среднего	0,6
Высокая	0,8
Очень высокая	1

Вероятность реализации атак на некоторые системы защиты СС стандарта LTE носит ярко выраженный полярный характер, т.е. вероятность наступления события, может либо стремиться к нулю, либо к единице. Причем переход от одного полюса к другому происходит скачкообразно, когда некоторый параметр, определяющий специфику данного вида атак, превышает пороговый уровень. Параметром может быть время, рабстояние и т.д. Таким образом, во многих случаях, вопрос оценки вероятности реализации атаки сводится к нахождению порога параметра, определяющего специфику рассматриваемой атаки. Порог может быть оценен теоретически, либо на основании сведений полученных из опроса экспертов. Вероятность можно оценить как очень высокую в случае невозможности снижения средствами защиты значения параметра ниже порогового. Например, если параметром является время, вероятность реализации атаки будет очень высокая, если время хранения, обработки и актуальности информации превышает пороговое значение. В случае, если параметром является рабстояние, то атака является реализуемой, если зона покрытия сети выходит за контролируемую территорию.

Таким образом, процесс оценки можно разделить на несколько этапов с целью его оптимизации и повышения объективности получаемых данных. На первом этапе экспертов можно опрашивать с целью получения оценки порога для последующего определения величины возможности реализации атаки в виде качественного суждения или количественной оценки. Эти сведения могут быть исходными для проведения второго этапа опроса с целью получения вида функции принадлежности нечеткого числа, характеризующего оцениваемый показатель. На этапе формирования функции принадлежности эксперт может задать интервал нечеткости переменной, а также скорректировать предложенное ему наиболее вероятное значение.

Каждая атака реализуется в некоторых специфических условиях, т.е. при наличии уязвимостей определенного класса, физической доступности сети, а также при стечении других благоприятных обстоятельств. Поэтому перед тем как оценивать вероятность реализации известных на сегодняшний день атак необходимо, сначала определиться с областью их реализации, и рассматривать атаки на сотовые сети определенного ранее класса с типичными для них уязвимостями систем защиты.