В данной работе инцидентом ИБ будем считать любое незаконное, неразрешенное, неблагоприятное событие (НС), которое совершается в информационной системе.
Статистика инцидентов ИБ помогает осознавать количество инцидентов и их изменение во времени, определять наиболее актуальные угрозы для предприятия, прогнозировать количество инцидентов, и, тем самым, максимально точно планировать мероприятия по повышению уровня защищенности информационной системы предприятия.
В работе описывается подход к прогнозированию количества инцидентов на основании имеющейся статистики об инцидентах ИБ. Суть данного подхода заключается в том, что статистика инцидентов ИБ позволяет построить математическую модель системы ИБ, на основании которой вычисляются оценки предсказания количества НС в системе ИБ.
Постановка задачи
Запишем линейную стохастическую модель в форме пространства состояний [4]:
(1)
t = 0, 1, ... , (2)
где x(t) - переменная, характеризующая количество инцидентов, зафиксированных в системе ИБ в момент времени t; y(t) - наблюдаемое значение как измерение состояния исследуемого объекта, т.е. оценка количества НС в момент времени t;
- показатели, характеризующие пороговый уровень количества инцидентов ИБ для соответствующих значений i, где i = {0, 1, 2, 3} - уровень «зрелости» предприятия с точки зрения обеспечения ИБ (далее - уровень «зрелости») [3]; {w(t), t = 0, 1, ...} - гауссовская белая последовательность шумов динамики исследуемого объекта с нулевым средним и постоянной дисперсией Qi; {v(t + 1), t = 0, 1, ...} - гауссовская белая последовательность шумов наблюдений с нулевым средним и постоянной дисперсией Ri; xi(0) - гауссовская случайная величина шума начального состояния исследуемого объекта с математическим ожиданием x0i и дисперсией Pi(0); fi и gi - коэффициенты в уравнении (1). Предполагается, что обе белые гауссовские последовательности {w(t), v(t + 1), t = 0, 1, ...} и {xi(0), i = 0, 1, 2, 3} взаимно независимы в пределах i-го уровня «зрелости».
Задача состоит в том, чтобы построить модель в форме пространства состояний, которая позволит с помощью уравнений фильтра Калмана осуществлять расчеты оценок предсказания, а также вычислять оценки фильтрации на основании корректировки оценок предсказания с учетом данных наблюдений на момент времени предсказания.
Решение задачи
Пусть известна статистика о количестве инцидентов ИБ, связанных с совершением пользователями ошибок при прохождении процедуры аутентификации.
Для построения математической модели в форме пространства состояний (1), (2), в первую очередь, необходимо определиться с уровнем «зрелости», воспользовавшись классификацией, предложенной компанией Gartner, которая подразумевает 4 уровня «зрелости» [3]. Самый низкий (нулевой) уровень (i = 0; u(t) = 4 - i = 4) характеризуется отсутствием понимания важности проблем ИБ, отсутствием финансирования; ИБ реализуется штатными средствами операционных систем. На предприятиях первого уровня (i = 1; u(t) = 4 - i = 3) финансирование ведется в рамках общего бюджета на информационные технологии; ИБ реализуется средствами нулевого уровня плюс средства резервного копирования, антивирусные средства, межсетевые экраны. На предприятиях второго уровня (i = 2; u(t) = 4 - i = 2) есть утвержденная руководством программа развития системы ИБ предприятия; финансирование ведется в рамках отдельного бюджета; ИБ реализуется средствами первого уровня плюс средства усиленной аутентификации, IDS, средства анализа защищенности, SSO, PKI и организационные меры. Самый высокий (третий) уровень (i = 3; u(t) = 4 - i = 1) предполагает, что ИБ является частью корпоративной культуры; финансирование ведется в рамках отдельного бюджета; ИБ реализуется средствами второго уровня плюс системы управления ИБ, CSIRT, SLA.
Таким образом, специалисты по ИБ или экспертная группа на конкретном предприятии могут зафиксировать значение входного управляющего сигнала u(t), отнеся свою компанию к тому или иному уровню «зрелости» в соответствии с представленной классификацией.
Для построения модели вида (1), (2) необходимо вычислить коэффициенты fi и gi, дисперсию шумов динамики Qi, дисперсию шумов наблюдений Ri и дисперсию шума начального состояния исследуемого объекта Pi(0) для соответствующего уровня «зрелости» на основе имеющихся статистических данных.
Для того чтобы вычислить оценки дисперсий шумов динамики и шумов наблюдений для модели вида (1), (2), представим эту модель в упрощенной форме, которая позволит осуществить расчеты лишь на основе данных наблюдений объема выборки N:
x(0) = x0, (3)
(4)
где x(t) - истинное значение состояния исследуемого объекта, w(t) - шум динамики - случайная последовательность с нулевым средним и неизвестной дисперсией Q; v(t + 1) - шум наблюдений - случайная последовательность с неизвестными средним значением E[v(t)] = q (систематическая ошибка) и неизвестной дисперсией R.
Для оценивания среднего значения q сформируем последовательности псевдоизмерений на основе двух и трех смежных данных наблюдений следующим образом:
(5)
(6)
Оценка значения 
в предположении о ее постоянстве определяется выражением:
(7)
с начальным условием 
.
Среднее значение невязок:
В [5] показано, что
.
Тогда последовательность псевдоизмерений дисперсии шумов динамики Q определяется следующим образом:
(8)
а оценку дисперсии 
можно рассчитать по рекуррентной формуле:
(9)
с начальным условием 
. Тогда при t = N получим 
Также в [5] показано, что
Поэтому последовательность псевдоизмерений дисперсии шумов наблюдений R определяется следующим образом:
(10)
Таким образом, оценку дисперсии 
можно рассчитать по рекуррентной формуле:
(11)
с начальным условием 
. Тогда при t = N получим 
.
На основе метода наименьших квадратов [5] можно рассчитать коэффициенты 
и 
уравнения (1) в предположении, что 
, 
, где 
можно получить с помощью алгоритма регуляризирующего кубического сплайна [1].
Для окончательного построения линейной дискретной стохастической модели в форме пространства состояний вычисляется дисперсия шума начального состояния исследуемого объекта [2]:
(12)
где NN - число итераций, которое требуется для того, чтобы значение P0 соответствовало значению оценки дисперсии установившегося начального состояния.
Полученные оценки дисперсий шумов 
, 
и 
, значения начального состояния исследуемого объекта xi(0) и входного управляющего сигнала u(t), коэффициенты fi и g^i будут использоваться в математической модели, которая позволит рассчитать оценки предсказания и оценки фильтрации с помощью пяти уравнений фильтра Калмана (13)-(17) [4] при i = {0, 1, 2, 3}:
1) рассчитывается оценка предсказания 
количества инцидентов ИБ:
t = 0, 1, 2, ...;
i = 0, 1, 2, 3; (13)
2) рассчитывается дисперсия оценки предсказания состояния 
:
(14)
3) вычисляется коэффициент передачи фильтра K(t + 1):
(15)
4) рассчитывается оценка фильтрации 
количества инцидентов ИБ:
(16)
5) рассчитывается дисперсия оценки фильтрации 
:
(17)
6) t = t + 1 и переход на шаг 1 и далее, пока t ≤ N.
Значения последовательностей шумов, оценки дисперсий шумов Q^i,R^i и P^i, коэффициенты f^i и g^i могут принимать нецелые значения, поэтому оценки предсказания и фильтрации будут нецелочисленными. В связи с этим полученную оценку фильтрации необходимо округлить до ближайшего целого.
Рассмотрим пример.
Пример
Пусть условное предприятие с точки зрения «зрелости» информационной безопасности относится ко второму уровню «зрелости» (i = 2, u(t) = 2), и имеются экспертные оценки количества инцидентов за 2010 год (рис. 1).
Рис. 1. Количество инцидентов ИБ, связанных с ошибками при входе в компьютерную систему, за весь 2010 год, за исключением нерабочих дней
По графику можно сделать вывод, что имеются четыре критические зоны с аномальными значениями количества инцидентов ИБ в диапазоне от 100 до 110 (связано с плановой сменой паролей) и семь критических зон с аномальными значениями в диапазоне от 60 до 70 инцидентов (по причине длительных выходных). Колебания количества НС в пределах от 20 до 50 инцидентов будем относить к «нормальному» режиму функционирования системы ИБ.
Учитывая «нормальное» поведение количества инцидентов и наличие критических зон, предлагается сгруппировать значения количества инцидентов следующим образом: [21-30], [31-40], [41-50], [61-70] и [101-110] инцидентов. Оценки характеристик модели необходимо вычислять для каждой вышеобозначенной группы.
Проведя расчеты согласно формулам (5)-(12), получим следующие оценки (табл. 1).
Таблица 1
Результаты расчета оценок f2, g2, Q2, R2 и P2(0)относительно выделенных групп значений количества инцидентов
|
Коэффициенты |
Значения коэффициентов в соответствующих группах |
||||
|
[21-30] инцидентов |
[31-40] |
[41-50] |
[61-70] |
[101-110] инцидентов |
|
|
|
0,4373 |
0,4029 |
-0,1144 |
-0,4462 |
-0,1474 |
|
|
7,6530 |
10,7120 |
23,8450 |
47,7692 |
60,4199 |
|
|
6,3528 |
11,0260 |
5,2286 |
5,9746 |
11,6764 |
|
|
2,7773 |
5,4312 |
3,9343 |
1,5027 |
5,8256 |
|
|
7,8551 |
13,1628 |
5,2980 |
7,4594 |
11,9359 |
Теперь вычислим оценки предсказания и оценки фильтрации на основании уравнений фильтра Калмана (13)-(17), используя данные наблюдений за февраль 2011 г. (табл. 2). При этом будем учитывать наличие критических зон с аномальными значениями, т.е. использовать оценки характеристик модели, характеризующие уровень количества инцидентов в соответствующей группе значений.
На рис. 2 представлены результаты расчета оценок предсказания и фильтрации.
Таблица 2
Количество инцидентов ИБ в феврале 2011 г.
|
Рабочий день |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
|
Количество инцидентов |
42 |
45 |
43 |
41 |
42 |
44 |
38 |
35 |
26 |
28 |
|
Рабочий день |
11 |
12 |
13 |
14 |
15 |
16 |
17 |
18 |
19 |
|
|
Количество инцидентов |
25 |
22 |
23 |
24 |
30 |
29 |
70 |
35 |
37 |
|
Рис. 2. Данные наблюдений, оценки предсказания и оценки фильтрации количества инцидентов в феврале 2011 г.
Из рисунка видно, что рабочие дни в феврале относительно числа инцидентов визуально можно разделить на 5 подынтервалов: 1 подынтервал со значениями количества НС, входящими в диапазон с 41 по 50 инцидентов; 2 - с 31 по 40; 3 - с 21 по 30; 4 - с 61 по 70; 5 - с 31 по 40 инцидентов. Для расчета оценок предсказания и фильтрации в каждом подынтервале использовались наборы оценок f2, g2, Q2, R2 и P2(0), характерные для соответствующих групп значений количества инцидентов. Согласно рис. 2 оценки фильтрации более приближены к значениям данных наблюдений, что подчеркивает относительную достоверность данных наблюдений по сравнению с оценками предсказания.
Заключение
В данной работе была предложена методика построения математической модели системы информационной безопасности в виде линейной дискретной стохастической модели в форме пространства состояний относительно количества инцидентов ИБ конкретного «уровня» зрелости. Значения количества инцидентов были сгруппированы, учитывая «нормальное» поведение количества инцидентов и наличие критических зон с аномальными значениями количества НС. Для каждой группы значений количества НС была построена соответствующая линейная дискретная стохастическая модель в форме пространства состояний. Все полученные модели позволили рассчитать оценки фильтрации на основании оценок предсказания и текущих наблюдений на момент времени предсказания. При этом оценки фильтрации более достоверно оценивают состояние объекта относительно количества инцидентов, происходящих в компьютерной системе для соответствующего уровня «зрелости» исследуемого объекта.
Рецензенты:
-
Фионов А.Н., д.т.н., проректор по научной работе Сибирского государственного университета телекоммуникаций и информатики, г. Новосибирск;
-
Разинкин В.П., д.т.н., профессор кафедры теоретических основ радиотехники Новосибирского государственного технического университета, г. Новосибирск.
Работа поступила в редакцию 18.05.2012
Библиографическая ссылка
Заркумова-Райхель Р.Н., Абденов А.Ж. ПРОГНОЗИРОВАНИЕ КОЛИЧЕСТВА ИНЦИДЕНТОВ В СИСТЕМЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ ПРИ ПОМОЩИ ДИНАМИЧЕСКОЙ МОДЕЛИ // Фундаментальные исследования. – 2012. – № 6-2. – С. 429-434;URL: https://fundamental-research.ru/ru/article/view?id=30007 (дата обращения: 18.04.2024).