Моделирование временных характеристик угроз безопасности

Особенностью постановки задачи моделирования временных параметров и характеристик безопасности является то, что в результате моделирования требуется определять значения интенсивностей переходов между различными состояниями системы, в том числе с целью определения интенсивности возникновения и устранения в системе реальной угрозы атаки, реальной угрозы безопасности ИС в целом.

Моделировать эти значения требуется по причине того, что, как показали ранее, исходно заданы (определены из соответствующей статистики) исключительно надежностные параметры — интенсивности возникновения и устранения угроз уязвимостей реализации.

Для решения данных задач моделирования может использоваться подход к моделированию, основанный на построении модели вероятностного разрежения входных потоков случайных событий между состояниями системы [19].

Замечание. Для наглядности будем иллюстрировать излагаемый подход

к моделированию тем же примером, что приведен выше на рис. 4.3.

Построение модели вероятностного разрежения входных потоков случайных событий между состояниями системы из исходной марковской модели с дискретными состояниями и непрерывным временем основано на следующих соображениях. Входной простейший поток случайных событий, поступающий в систему (на вход марковской модели), вероятностно разрежается — распределяется между состояниями системы в том смысле, что событие может наступить в случайный момент времени, в который система находится в одном из возможных своих состояний, так как переходы между состояниями в марковской модели осуществляются мгновенно.

При построении данной модели будем исходить из того, что вероятность нахождения системы в каком-либо состоянии в исходной марковской модели с дискретными состояниями и непрерывным временем в стационарном режиме (см. рис. 4.3) интерпретируется как доля времени (соответственно относительное время) нахождения системы в этом состоянии. С учетом этого и с учетом стационарности входного потока, естественно, можно утверждать, что входной поток случайных событий, поступающий на вход модели с интенсивностью X, разрежается (распределяется) между состояниями системы S- пропорционально Р1} вероятностям (долям времени) нахождения системы в состояниях SiJf определяемым для исходной марковской модели.

При этом далее будем учитывать, что, как отмечали ранее, вероятностное разрежение простейшего потока событий, при котором любое событие случайным образом с некоторой вероятностью р исключается из потока, независимо от того, исключены другие события или нет, приводит к образованию простейшего потока с интенсивностью X' = рХ, где X — интенсивность исходного потока. Поток исключенных событий тоже простейший, с интенсивностью X" = (1 - р)X.

Замечание. В данном случае мы рассматриваем не исключение событий из потока, с целью учета их потери для системы, что реализуется в системах с потерями (о таких системах мы поговорим далее), а их распределение между состояниями системы — вероятностное разрежение входных потоков случайных событий между всеми возможными состояниями системы Siy Здесь нам необходимо моделировать систему без потерь, так как каждая возникающая в системе уязвимость реализации должна непременно устраняться.

При этом очевидно, что входной поток случайных событий должен полностью распределяться между возможными состояниями системы, поскольку сумма их стационарных вероятностей равна единице.

С учетом сказанного получим из модели, приведенной на рис. 4.3, модель вероятностного разрежения входных потоков (рис. 4.4).

Принципиальное отличие данной модели от исходной марковской модели состоит в том, что переходы между состояниями на этой модели «взвешиваются» (размечаются) не интенсивностями возникновения случайных событий в системе, а интенсивностями соответствующих вероятностно разреженных потоков случайных событий — интенсивностями потоков событий, переводящих систему из одного состояние в другое. Как видим, интерпретация модели несколько иная.

Преобразование марковской модели в модель вероятностного разрежения входных потоков случайных событий

Рис. 4.4. Преобразование марковской модели в модель вероятностного разрежения входных потоков случайных событий:

а — марковская модель; 6 — модель вероятностного разрежения входных потоков

Утверждение. Преобразование марковской модели с дискретными состояниями и непрерывным временем в модель вероятностного разрежения входных потоков случайных событий между состояниями системы корректно.

Доказательство. Разредим аналогичным образом все потоки (включая потоки восстановлений безопасности), циркулирующие в системе. Для исходной марковской модели, приведенной на рис. 4.4, а, в этом случае получим модель вероятностного разрежения потоков, представленную на рис. 4.5.

Модель вероятностного разрежения всех потоков в системе

Рис. 4.5. Модель вероятностного разрежения всех потоков в системе

Исходя из того, что мы анализируем стационарный режим, суммы интенсивностей входных и выходных потоков событий для каждого состояния должны совпадать.

Описав соответствующим образом все состояния системы, получим следующую систему линейных уравнений:

которая, как видим, полностью совпадает с соответствующей системой линейных уравнений для исходной марковской модели.

Замечание. Интенсивности разреженных потоков случайных событий складываются с учетом того, что, как показали выше, они также простейшие (стационарные пуассоновские).

Применительно к модели вероятностного разрежения входных потоков случайных событий параметр безопасности угрозы атаки (интенсивность потока случайных событий возникновения в системе реальных угроз атак) может быть рассчитана но следующей формуле:

где 5(/г_1) множество состояний системы, характеризуемых отсутствием в системе реальной угрозы атаки (не все создающие угрозу атаки уязвимости возникли и не устранены), в каждом из которых система находится с вероятностью PS r SR — состояние возникновения в системе реальной угрозы атаки (все создающие угрозу атаки уязвимости возникли и не устранены). В состояние SK из состояний S(R_t) в системе осуществляется переход с интенсивностью X, о.

R- I)••>/?

Например, для модели, представленной на рис. 4.4, б, определяется следующим образом:

Очевидно, что в стационарном режиме функционирования системы за долю времени нахождения системы в состоянии, характеризующем возникновение реальной угрозы атаки, определяемом как 1 - Р, где Р — это вероятность готовности системы к безопасной эксплуатации в отношении угрозы атаки, из этого состояния исходит поток событий, имеющий интенсивность Ха, так как моделируется система без потерь — все возникающие уязвимости устраняются.

Сказанное позволяет следующим образом определить параметр безопасности ра угрозы атаки (интенсивность устранения в системе реальных угроз атак):

Для нашего примера (см. dhc. 4.4. 6) имеем

Соответствующим образом на модели вероятностного разрежения входных потоков случайных событий между состояниями системы уже можно определить и требуемые временные характеристики угрозы безопасности для восстанавливаемой системы (все уязвимости устраняются). В рассматриваемом случае угрозы атаки среднее время наработки на отказ безопасности ИС (восстанавливаемая система) в отношении угрозы атаки Г0уа, среднее время восстановления безопасности ИС Гвуа в отношении угрозы атаки равны:

Замечание. Следуя модели (см. рис. 4.4, а), отношение 1/Ха определяет характеристику среднего времени между отказами безопасности, равного Г0уа + Гвуа. Это параметр из теории надежности, определяемый соответствующей особенностью объекта моделирования, о которой поговорим далее. В нашем случае, как покажем, должна использоваться и иная соответствующая характеристика — среднее время наработки (именно наработки) между отказами безопасности, которая в отношении угрозы атаки определяется, как 1/Ха.

На простом примере покажем определение значений параметров и характеристик безопасности угрозы атаки с использованием рассмотренного подхода к моделированию. Пусть угроза атаки создается совокупностью из двух угроз уязвимостей реализации со следующими значениями параметров безопасности: Х{ = 1 год-1, р, = 2 год"1, Х2 = 2 год-1, р2 = 3 год"1. Получаем следующую систему линейных уравнений:

Решив ее, определяем:

Рассчитаем значения параметров и характеристик безопасности угрозы атаки:

Как видим, изложенный подход к моделированию параметров и временных характеристик безопасности позволяет количественно определять все требуемые параметры и характеристики угроз атак и, как следствие, использовать при проектировании СЗИ все определенные ранее количественные меры оценки их актуальности применительно к оценке надежности безопасности.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >