Общий подход к математическому моделированию угроз безопасности

Моделирование вероятностных характеристик угроз безопасности

Рассмотрим на простом примере, как, построив соответствующую марковскую модель угрозы атаки, можно определить ее вероятностную характеристику безопасности.

Замечание. Здесь и далее для наглядности будем рассматривать модели с минимально необходимым для иллюстрации и соответствующих пояснений числом состояний. По аналогии с приводимыми примерами могут строиться модели любой сложности.

Пусть угроза атаки создается двумя типами угроз уязвимостей реализации (исключим из рассмотрения потенциально возможной атаки соответствующие угрозы технологических уязвимостей) с соответствующими параметрами — интенсивностями возникновения и устранения уязвимостей.

Состояния системы обозначим как Sjjf где i обозначает число возникших уязвимостей г-го типа,у — число возникших уязвимостейу-го типа. Вероятностью одномоментного возникновения в системе (именно одномоментного возникновения, а не одновременного присутствия) нескольких уязвимостей при моделировании пренебрежем. При этом нредпожим, что одновременно присутствующие в системе уязвимости могут одновременно устраняться (в системе два обслуживающих прибора — в нашем случае два коллектива сотрудников, устраняющих уязвимости любого типа, о чем поговорим далее), т.е. состояние 510 характеризует возникновение уязвимости 1-го типа и ее устранение, состояние 501 характеризует возникновение уязвимости 2-го типа и ее устранение, состояние Sn характеризует одновременное присутствие в системе уязвимостей обоих типов и одновременное их устранение.

Именно состояние системы Sn нас и будет интересовать при моделировании, поскольку это состояние возникновения в системе реальной угрозы атаки, создаваемой угрозами уязвимостями соответствующих двух типов.

При анализе случайных процессов с дискретными состояниями удобно пользоваться геометрической схемой — графом состояний. Вершины графа — состояния системы. Дуги графа — возможные переходы из состояния в состояние. Размеченный (с указанием соответствующих интенсивностей) граф системы состояний случайного процесса (марковского процесса) для рассматриваемой системы приведен на рис. 4.3.

Замечание. Отсутствие перехода из состояния 500 в состояние 5П говорит о невозможности (вероятностью этого события пренебрегли) одномоментного возникновения в системе уязвимостей обоих типов (суммарный входной поток будет простейшим, т.е. характеризуется свойством ординарности).

Подобная модель широко используется в теории надежности, в частности, для моделирования схемы с «горячим резервированием элемента», при условии, что резервируемый и резервирующий элементы различны (характеризуются различными значениями параметров X и р), где в этом случае состояние 510 характеризует отказ резервируемого элемента и его устранение, 501 — отказ резервирующего элемента и его устранение, 5И — отказ всей системы в целом и одновременное устранение отказов обоих элементов.

Эту аналогию мы привели для того, чтобы далее рассмотреть, насколько отличны объекты моделирования (отказы) в теории надежности и в теории ЗИ, и какие требования данные отличия накладывают на построение корректных математических моделей.

Размеченный граф системы состояний случайного процесса угрозы атаки

Рис. 4.3. Размеченный граф системы состояний случайного процесса угрозы атаки

Обозначив через Pi} вероятность нахождения системы в состоянии Sijf можем для данной модели записать соответствующую систему дифференциальных уравнений Колмогорова для вероятностей состояний, которая для данного графа будет иметь следующий вид:

используя которую, для стационарного (установившегося) режима функционирования системы (приравниваем производные нулю) получаем систему линейных алгебраических уравнений, описывающих стационарный (установившийся) режим:

решая которую, с учетом полной группы несовместных событий (одновременно система не может находиться в нескольких состояниях, а в каком-либо одном — должна, так как переходы между состояниями осуществляются мгновенно), т.е. используя условие

находим искомые стационарные вероятности состояний.

Нас интересует состояние отказа безопасности Sn возникли и не устранены обе уязвимости реализации, в результате чего угроза атаки становится реальной. Вероятность нахождения системы в данном состоянии Рп, решив систему уравнений, можем определить следующим образом:

При этом соответствующая вероятностная характеристика угрозы атаки — готовности И С к безопасной эксплуатации в отношении угрозы атаки, определяется следующим образом:

Как видим, при моделировании вероятностной характеристики угрозы атаки, на первый взгляд, могут применяться математические модели, используемые в теории надежности [6], что и естественно, поскольку моделируется именно характеристика надежности безопасности. Однако мы еще не рассмотрели вопросы корректности рассмотренной марковской модели применительно к различным объектам моделирования.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >