1.6 Постановка задач исследования
В первой главе рассмотрены и проанализированы виды угроз для локальных вычислительных сетей, при передаче данных и внедрении вредоносных программ, механизмы их реализации, способы противодействия разного вида атакам. Показана необходимость использования функций чувствительности при анализе и возможном управлении рисками.
В результате проведенного анализа выявлено, что для достижения поставленной цели необходимо решить следующие задачи:
– построение математической модели оценки и управления рисками в локальных вычислительных сетях с использованием функций чувствительности и аппарата регрессионного анализа;
– построение вероятностной модели достижения минимизации рисков в ЛВС с использованием аппарата функций чувствительности, получение допустимых значений параметров системы, при которых такая минимизация будет получена с заданной надежностью;
– построение математической модели оценки и управления рисками сложных систем на основе множественного регрессионного анализа;
– разработка программного обеспечения, реализующего возможности полученных математических моделей.
2 Модели чувствительности для оценки и управления рисками от атак на локальные вычислительные сети
2.1 Методическое обеспечение оценки рисков от атак на лвс с помощью функций чувствительности
Простейшая задача, связанная с анализом
системы, сводится к отысканию хотя бы
одного вектора параметров системы
,
при котором выполняются требования к
системе. Примем параметры реальной
системы равными
.
Тогда при достаточно хорошем соответствии
между системой и ее параметрической
моделью можно ожидать, что система будет
удовлетворительно функционировать на
соответствующих расчетных режимах.
Однако это еще не означает, что система
будет удовлетворительно работать в
реальных условиях эксплуатации, так
как совокупность параметров
всегда несколько отличается от расчетной
из-за различных физических и технологических
причин, что приводит к отклонениям
режима функционирования от нормального.
Отражением этого свойства реальной
системы будет изменение переменных
состояния модели при соответствующем
изменении ее параметров.
Свойство изменения переменных состояния
модели компьютерной системы при изменении
ее параметров воздействием дестабилизирующих
факторов – атак, называется чувствительностью
системы. Анализ чувствительности системы
по ее модели сводится к установлению
следующего факта: требования к переменным
системы должны выполняться не только
при расчетной совокупности параметров
,
но и при всех совокупностях
,
которые реально могут иметь место.
Требования к чувствительности компьютерной
системы должны учитываться уже на стадии
ее проектирования. Структура системы
и операторы элементов должны выбираться
таким образом, чтобы обеспечивать
выполнение требований к переменным
системы во всем диапазоне возможного
изменения параметров. Такой подход
приводит к задаче синтеза компьютерной
системы с учетом требований к
чувствительности. С математической
точки зрения между задачами чувствительности
и устойчивости существует определенная
формальная взаимосвязь. Однако с
практической точки зрения задачи
чувствительности значительно
разнообразнее, чем обычные задачи
устойчивости. Исследование чувствительности
позволяет проследить взаимосвязь между
показателями качества и самыми
разнообразными обстоятельствами,
связанными с созданием системы,
особенностями ее проектирования,
изготовления и эксплуатации.
Основным методом исследования теории чувствительности является использование так называемых функций чувствительности, на основе которых рассматривается основное или базовое движение системы (с базовой совокупностью дестабилизирующих факторов – атак на компьютерную систему). Но при изменении воздействия дестабилизирующих факторов возникает дополнительное движение системы, которое характеризует изменение интересующих исследователя свойств КС при изменении параметров [58].
Именно изучение свойств дополнительных движений и установление их связи со свойствами исходной системы является основной задачей исследования чувствительности.
С учетом вышеизложенных условий, такая задача наиболее полно осуществима на основе положений теории чувствительности, поскольку данный подход учитывает и динамику информационных процессов, и структурное построение системы, а также позволяет получить наиболее точную оценку степени защищенности на основе исследования движения ее параметров при воздействии угроз.
Под чувствительностью систем управления принято понимать зависимость их свойств от изменения параметров.
Теоретический фундамент теории чувствительности составляют классические методы теории малых возмущений.
Основные задачи, рассматриваемые в теории чувствительности:
– анализ влияния малых изменений конструктивных параметров и внешних условий работы на динамику системы;
– синтез систем, малочувствительных к этим малым изменениям.
В основе разнообразных методов теории чувствительности лежит использование функций чувствительности, которые по своей сути являются градиентами показателей качества системы по некоторым совокупностям параметров, характеризующих как саму систему, так и внешнюю среду.
Рассматриваются системы, описываемые дифференциальными уравнениями в форме Коши:
,
(2.1)
где
,
,
– нелинейные функции,
– вектор параметров, которые могут
характеризовать как собственные свойства
изучаемой системы, так и действующие
на нее внешние возмущения.
Пусть при любом
,
где
– область возможного изменения вектора
,
для векторного уравнения (1) выполнены
условия существования, единственности
и продолжимости решений при
.
Одной из основных задач теории чувствительности является изучение свойств решений уравнения (2.1) как функций от , в частности их производные [26].
Рассмотрим множество параметров A,
которое назовем основным (базовым).
Рассмотрим совокупность переменных
состояния
,
где i =1 (1) n
(вектор
),
которая называется основным или базовым
движением. Изменив значения параметров,
получим новое движение
=
,
где i =1 (1) n.
Тогда дополнительным движением,
вызванным изменением параметров
,
называют вектор
.
Важным задачей при исследовании чувствительности системы является изучение свойств дополнительного движения, которые связаны со свойствами исходной системы определенными соотношениями.
Рассмотрим первое приближение для дополнительного движения
,
где
,
i =1 (1) m, –
соответствующие функции чувствительности.
Отсюда следует, что первое приближение линейно относительно приращений параметров и функций чувствительности. Для исследования первого приближения существуют специальные методы, дающие информационные результаты, поэтому его часто используют как приближенное представление дополнительного движения:
.
Первое приближение инвариантно
относительно функциональных преобразований
пространства параметров. Пусть
-
вектор новых параметров (в общем случае
),
- соответствующие приращения параметров
и пусть старые и новые параметры связаны
соотношениями
,
правые части которых будем предполагать
непрерывно дифференцируемыми функциями
всех аргументов. Тогда первое приближение
сохранит свой вид, если в нем под
величинами
понимать соответствующие дифференциалы
,
i =1 (1) m.
Поэтому вектор параметров следует выбирать с возможно меньшим числом параметров, так как в этом случае количество необходимых функций чувствительности будет меньшим.
Приближения высших порядков являются инвариантными относительно приведенных выше преобразований тогда и только тогда, когда это преобразование является линейным.
Для эффективного синтеза защищенных ЛВС необходимо иметь качественную оценку защищенности данного структурного построения ЛВС.
Наиболее точную оценку степени защищенности ЛВС возможно получить только на основе исследования движения характеристик системы при воздействии атак A [15, 58].
Для качественного описания ЛВС как объекта защиты необходимо учитывать качественные показатели информации, циркулирующей в системе. Фактически это вектор:
.
Именно этот вектор характеризует
основные свойства, а так же множество
состояний компьютерной системы. При
этом
и
называются переменными состояния или
характеристиками системы, которые
соответствуют ее структурному
представлению. Исходя из утверждения,
что [59] необходимо принять значения
характеристик системы (как входных, так
и выходных) равными вектору значений
качества ЛВС, причем, показатели качества
компьютерной системы K
являются функционалами, определенными
на множестве переменных состояния.
Множество угроз ЛВС T,
является набором возмущений системы,
которые оказывают действие на входные
переменные состояния системы и вызывают
отклонение выходных значений.
С другой стороны, никакой набор переменных состояния и угроз безопасности информации T , как бы широк он ни был, не отражает однозначно всех свойств и особенностей системы, том числе и с позиций ее защищенности. То есть, по набору характеристик системы невозможно [24] качественно оценить степень защищенности, а простым анализом множества угроз и характера их воздействия на входные переменные – выработать комплекс средств и механизмов защиты информации М. Это объясняется тем, что помимо любого набора переменных состояния и возмущений в лице угроз безопасности компьютерной системы Т, свойства и функционирование реальных компьютерных систем зависят от многочисленных, обычно неконтролируемых, дополнительных факторов, которые отражают особенности каждого отдельного образца системы и условий его функционирования. Различные факторы такого рода называются параметрами [60].
Всю совокупность параметров, определяющих свойство информационной системы, обычно можно разделить на две группы:
– технические параметры;
– параметры внешней среды и условий эксплуатации.
Под техническими параметрами понимаются величины, определяющие отличие одного образца системы от другого при одинаковых условиях эксплуатации. С точки же зрения оценки и минимизации рисков от атак наибольшей интерес представляет вторая категория параметров, под которыми понимаются величины, определяющие отличие режимов функционирования идентичных образцов системы. В контексте информационной безопасности параметры второй группы являются дестабилизирующими факторами, которые постоянно оказывают воздействие на объекты информационной системы. Множество дестабилизирующих факторов A, как уже было сказано, генерируется множеством угроз Т безопасности информации. Поэтому фактический интерес представляет не анализ выходной реакции системы при воздействии угроз на входные параметры, описываемой формулой
или в общем виде:
,
а исследование движения во времени систем при изменении их параметров, т.е. воздействии дестабилизирующих факторов. Следовательно, предыдущая формула примет следующий вид [61,62]:
или с учетом задачи оптимизации:
(2.2)
где выходной реакции
(2.3)
соответствуют показатели качества
,
(2.4)
которые являются однозначными функциями
параметров
.
Свойство изменения переменных состояния и модели ИС при изменении ее параметров (в нашем случае это обуславливается воздействием дестабилизирующих факторов) называется чувствительностью системы.
Для обеспечения защищенности системы требуется, чтобы она обладала малой чувствительностью по отношению к внешним дестабилизирующим факторам, любой их совокупности. Более того, для создания защищенных ЛВС, требования к чувствительности системы должны учитываться уже на стадии ее проектирования. Структура системы и операторы механизмов защиты должны выбираться соответствующим образом, чтобы обеспечить выполнение условий наименьшей чувствительности во всем диапазоне возможного воздействия дестабилизирующих факторов. Для действующей ЛВС задача минимизации рисков от атак сводится только к применению механизмов защиты, снижающих чувствительность системы, т.е. к проектированию адекватной системы защиты ЛВС.
Выбранной совокупности дестабилизирующих
факторов
,
которую будем называть базовой (по идее
она должна соответствовать нормальным
условиям эксплуатации), соответствует
совокупность переменных состояния.
Пусть совокупность входных и выходных
переменных состояния является множество
Y. Рассмотрим эту
совокупность. Зависимость переменных
от времени и совокупности дестабилизирующих
факторов выражается формулой
,
(2.5)
которая называется основным или базовым движением.
Вектор
определяемый соотношением
(2.6)
называется дополнительным движением, вызванным изменением воздействия дестабилизирующих факторов A. Дополнительное движение характеризует изменение интересующих исследователя свойств информационной системы при изменении параметров. Поэтому изучение свойств дополнительных движений и установление их связи со свойствами исходной информационной системы является основной задачей исследования чувствительности [63].
Установим связь между функциями
чувствительности и дополнительным
движением. Для этого используем свойства
дифференциалов высших порядков функций
многих переменных [64,65]. Пусть, например,
- функция переменных
.
Тогда дифференциалами k-го
порядка называются выражения:
,
(2.7)
по формуле Тейлора с остаточным членом получаем
(2.8)
Подчеркнем что в формуле (2.8) переменная t считается неизменным параметром. Пренебрегая остаточным членом из (2.8) получим приближенное выражение для дополнительного движения
,
(2.9)
которое называется k-м приближением для дополнительного движения. Величина
(2.10)
называется поправкой k-го порядка дополнительного движения.
С учетом (2.10) и (2.9) поправка k-го порядка определяется соотношением
(2.11)
Отсюда следует, что поправка k-го
порядка является линейной формой функций
чувствительности k-го
порядка, вычисленных при базовых
значениях параметров, а так же формой
k-го порядка относительно
приращений параметров
.
Соответствующие формулы можно получить
и для показателей качества
,
соответствующих переменным
.
С учетом (2.7) получаем для базового
движения:
,
(2.12)
для дополнительного движения:
, (2.13)
k-е приближение:
. (2.14)
Таким образом, имея набор функций чувствительности по произвольной полной совокупности параметров A, можно изучить влияние на дополнительное движение произвольных параметров, связанных с A соотношениями (2.10). Отсюда следует целесообразность выбора совокупностей параметров A с возможно меньшим числом элементов, так как при этом число требуемых функций чувствительности будет наименьшим.
Однако следует отметить, что в отличие от первого приближения, приближения высших порядков являются инвариантными относительно преобразования лишь в том и только том случае, когда это преобразование является линейным. Если приближенное представление дополнительного движения (2.9) выполняется с достаточной степенью точности, то можно достаточно просто провести анализ различных свойств дополнительного движения. Например, оценивая по норме, получим
,
что дает приближенную оценку нормы дополнительного движения для каждого момента времени.
Пусть теперь
– зависимые случайные величины с
математическими ожиданиями соответственно
равными
и корреляционной матрицей
,
где
– дисперсии соответствующих
параметров.
При этом математическое ожидание
дополнительного движения приближенно
равно
.
(2.15)
Найдем теперь корреляционную матрицу первого приближения. Для этого вычтем из (2.15) равенство . В результате получим
,
(2.16)
где нолик сверху означает центрированную составляющую. Транспонируя равенство (2.16), получим
.
Откуда следует
,
(2.17)
где
. (2.18)
Усредняя (2.24), получим
,
(2.19)
где – корреляционная матрица первого приближения, приближенно определяющая корреляционную матрицу дополнительного движения.
Если, в частности, случайные параметры независимы, то формула (2.19) упрощается и принимает вид
,
где
– дисперсия параметра
.
Обозначим след матрицы
через
,
т.е.
или, с учетом (2.19),
.
Величина
представляет собой сумму дисперсий
компонент вектора
,
дающих приближенное представление
дисперсий соответствующих компонент
вектора дополнительного движения[67,68].