Scientific journal
Fundamental research
ISSN 1812-7339
"Перечень" ВАК
ИФ РИНЦ = 1,674

GAME MODEL FOR ANALYSIS CHARACTERISTICS OF SYSTEM ACTIVE PROTECTION OF NETWORK RESOURCES

Nadezhdin E.N. 1 Surkov E.V. 2 Shershakova T.L. 2
1 State Institute of Information Technologies and Telecommunications
2 Shuya branch of Ivanovo state University
This article is devoted to the investigation of the influence of the characteristics of the information protection mechanism on the security of network resources against information attacks of an attacker. The basic components of promising security of corporate information networks are the intellectual mechanisms of active and passive protection of network resources. Consistent use of these mechanisms based on the characteristics of existing threats and the characteristics of protected objects, will significantly reduce the risks of information security. A classical problem of security analysis of network resources is formulated from the point of view of the method of gaming simulation of the conflict and interpreted from the perspective of statistical dynamics of control systems. The object of study is a formal dynamic system «system resource protection – intruder». For specific situations information warfare through simulation constructed the phase trajectory of the dynamic system and calculated the terminal values of the partial indicators of the relative damage. According to the results of computational experiment evaluated the influence of the mechanism of active protection on the security of network resources and formulate recommendations aimed at easing the impact of information attacks the attacker.
corporate information network
information attack
network resources
game model
dynamic system «System resource protection – attacker»
active and passive protection
the cumulative relative damage

В условиях непрерывного расширения сетевой инфраструктуры корпоративных систем и повышения роли информации в современном постиндустриальном обществе назрела необходимость критического анализа и пересмотра ключевых позиций существующей парадигмы обеспечения информационной безопасности (ИБ) государственных и коммерческих организаций. В современных системах защиты информации (СЗИ) корпоративных информационных сетей (КИС) для гарантированного отражения массированных информационных атак на важные сетевые ресурсы всё чаще используются гибкие механизмы с элементами активной и пассивной информационной защиты [1]. В последние годы значительно вырос поток публикаций, посвящённых вопросам синтеза интеллектуальных механизмов интегрированной защиты информационного и программного обеспечения, которые рассматриваются в контексте общей проблемы ситуационного управления рисками ИБ на основе базовых принципов кибернетики и искусственного интеллекта [2]. Однако вопросам обоснования и выбора механизмов комплексирования методов и средств защиты ресурсов КИС, основанных на различных физических принципах, пока не уделяется должного внимания.

Целью статьи является операционное моделирование процесса функционирования системы интегрированной защиты информационных и программных ресурсов КИС и обоснование целесообразности введения в её состав активных элементов для осуществления адресных информационных контратак по объектам автоматизации, являющимся источниками информационных угроз.

Для формального описания процесса информационного противоборства воспользуемся известным игровым подходом, в основе которого лежат аксиоматика и инструментарий метода динамики средних (МДС) [3, 4]. Опираясь на базовую вычислительную схему МДС, сформулируем на содержательном уровне задачу операционного моделирования противоборства двух информационных систем. Пусть требуется построить игровую модель процесса информационного противоборства комплексной СЗИ КИС и злоумышленника и на её основе дать количественную оценку эффективности используемых средств активной и пассивной защиты сетевых ресурсов.

Под злоумышленником (ЗЛ) в настоящей статье понимается группа профессионально подготовленных, технически оснащённых и мотивированных сотрудников фирмы-конкурента, стремящихся взломать систему защиты активов организации-жертвы, получить доступ к её конфиденциальной информации и нарушить управление бизнес-процессом.

Cледуя рекомендациям опубликованных работ В.М. Гаврилова [3], Г.А. Остапенко [5], С.И. Макаренко [6], А.Ф. Белого [7] и основываясь на накопленном опыте операционного моделирования информационных процессов [8, 9], введём ряд дисциплинирующих условий. Во-первых, отметим, что перспективная СЗИ должна не только обнаруживать факты нарушения целостности информации, определять степень ущерба и оперативно восстанавливать повреждённые информационные и программные ресурсы, но также целенаправленно выявлять и оценивать новые угрозы и адресно применять активные способы защиты в виде информационных контратак. Во-вторых, примем рабочую гипотезу о том, что информационная атака злоумышленника является многоцелевой и осуществляется из двух внешних узлов информационной сети. В-третьих, взаимодействие конфликтующих сторон А и В осуществляется по заранее определённому сценарию, задаваемому операционной схемой, при этом информационные атаки и контратаки проводятся по фиксированным объектам (целям) с постоянными интенсивностями.

Принципиальной особенностью используемого в статье модельного подхода является формальное представление объекта исследования как динамической системы «Система защиты ресурсов – злоумышленник» («СЗР-ЗЛ»), изолированной от внешней среды и функционирующей на заданном интервале времени nad01.wmf. Вектор фазовых координат динамической системы (ДС) nad02.wmf имеет вид: nad03.wmf, где zk – численность состояния элемента (средства) k-го типа. Пошаговая (во времени) численная оценка вектора состояния Z(t) nad04.wmf на основе формального описания и имитационного моделирования процесса функционирования позволяет получить исчерпывающую информацию о подпроцессах, протекающих в подсистемах (элементах) этой ДС. При исследовании воспользуемся авторской методикой операционного моделирования процесса информационного противоборства, получившей развитие в авторских работах [8, 9]. Известная методика даёт возможность для заданных условий и сценария информационного конфликта оценить частные показатели, отражающие снижение потенциала средств каждого типа и совокупный риск (в нашем случае – ущерб) каждой стороны (подсистемы).

Текущее состояние средств, выделенных в составе формальной ДС, предлагается оценивать с помощью частного показателя потерь ΔZi, под которым понимают величину относительного ущерба, нанесенного средству zi в результате целенаправленного информационного воздействия со стороны других средств ДС. Фактические потери – это результат воздействия информационных атак, организованных средствами противодействующей стороны (конфликтующей подсистемы). Показатель относительного ущерба nad05.wmf, определяется по формуле

nad06.wmf (1)

где t* – момент выхода из цикла операционного моделирования;

nad07.wmf – относительный ущерб для средства zi на момент времени nad08.wmf;

nad09.wmf – исходный потенциал средства zi в момент времени t0.

nadeg1.tif

Рис. 1. Операционная схема процесса информационного противоборства средств в динамической системе «Система защиты ресурсов – злоумышленник»

Совокупный риск (ущерб) противоборствующих сторон (подсистем) А и В может быть определён в произвольный момент времени nad10.wmf на основе следующих соотношений:

nad11.wmf; nad12.wmf, (2)

где αi и βi  – весовые коэффициенты; ΔZi – показатель относительного ущерба для средства i-го типа на момент времени t; IA и IB – множества, содержащие индексы фазовых переменных, относящихся соответственно к сторонам А и В.

Рассмотрим особенности построения модели задачи исследования. К сетевым ресурсам КИС будем относить информационное обеспечение (ИО), общее и прикладное программное обеспечение. Учитывая сложность архитектуры перспективной комплексной СЗИ, в составе её модели выделим два обобщённых компонента: средства пассивной защиты (СПЗ) и средства активной защиты (САЗ).

На рис. 1 представлена укрупнённая операционная схема многоканального информационного взаимодействия подсистем исследуемой динамической системы «СЗР-ЗЛ». При этом введены следующие обозначения: подсистема А – СЗР; подсистема В – злоумышленник, стремящийся преодолеть защиту и получить доступ к сетевым ресурсам подсистемы А. В структуре СЗР (подсистема А) выделены следующие элементы: база данных (БД), общее программное обеспечение (ОПО), прикладное программное обеспечение (ППО), средства пассивной защиты /средства восстановления/ и средства активной защиты. Будем полагать, что СПЗ используются для обнаружения, локализации и восстановления повреждённых информационных элементов и программных модулей [9]. В модели злоумышленника (подсистема В) выделены: средства активного нападения первого и второго типов (САН1 и САН2) и система управления ими.

Для отображения динамики восстановления повреждённых информационных элементов БД и программных модулей ОПО и ППО воспользуемся рекомендациями теории автоматического управления. Динамическую модель процесса восстановления средства zi представим в виде инерционного звена первого порядка, которое опишем на основе линейного дифференциального уравнения [10, с. 39–42]:

nad13.wmf,

где yi – приращение численности состояния zi за счёт реализации процедуры восстановления повреждённых компонентов; ki и Ti – соответственно коэффициент передачи и постоянная времени инерционного звена. Указанной моделью воспользуемся для описания восстановления численностей состояний z1, z2 и z3. При этом коэффициенты передачи nad14.wmf характеризуют интенсивности восстановления численностей состояний z1, z2 и z3, а постоянные времени nad15.wmf определяют длительности переходных процессов.

Для формализованного представления состояний ДС «СЗИ-ЗЛ» введём переменные nad16.wmf, под которыми будем понимать численности состояний соответственно следующих элементов: базы данных z1, общего программного обеспечения z2, прикладного программного обеспечения z3, средств пассивной z4 и активной защиты z5 подсистемы А, а также средств активного нападения первого типа z6 и средств активного нападения второго типа z7 подсистемы В. Состояние динамической системы «СЗР-ЗЛ» в целом в каждый момент времени nad17.wmf характеризуется системой обыкновенных дифференциальных уравнений, в которой в качестве переменных рассматриваются численности состояний nad18.wmf:

nad19.wmf (3)

Здесь nad20.wmf – процедура проверки условия активации механизма пассивной защиты, связанного с введением резерва или восстановлением (пополнением) численности состояний z1. Аналогично nad21.wmf и nad22.wmf – процедуры проверки условий активации механизма пассивной защиты, связанного с введением резерва или восстановлением (пополнением) численности состояний z2 и z3; nad23.wmf, nad24.wmf, nad25.wmf – значения порогов включения соответствующих механизмов пассивной защиты.

Условие активации пассивной защиты для численности состояния zr запишем с помощью логической функции:

nad26.wmf (4)

Введём вспомогательные переменные nad27.wmf для обозначения коэффициентов дифференциальных уравнений, определяемые на основе расчётных соотношений, приведённых в табл. 1.

Здесь λ5, λ6 и λ7 – интенсивности атак (контратак), выполняемых средствами z5, z6 и z7 соответственно; pij – вероятность поражения единицы средства zi в результате атаки со стороны средства zj; b1, b2 и b3 – доли средств z3 подсистемы B, участвующих в подавлении средств z1, z4 и z5 подсистемы A соответственно; c1 и c2 – доли средств z7 подсистемы В, участвующих в подавлении соответственно средств z2 и z3 подсистемы А; a1 и a2 – доли средств z5 подсистемы А, участвующих в подавлении соответственно средств z6 и z7 подсистемы В; при этом должны выполняться дисциплинирующие условия

nad41.wmf

Известно, что имеющиеся уязвимости модулей ППО способствуют повышению результативности информационных атак злоумышленника на информационные ресурсы и ОПО. Для учёта данного эффекта в математическую модель (3) введём весовую функцию:

nad42.wmf, (5)

где nad43.wmf и nad44.wmf – исходный ресурс и текущее значение численности состояния средства z3 соответственно; μk – коэффициент, учитывающий влияние уязвимости на защищённость модуля средства zk.

В динамике противоборства при использовании элементов активной защиты сетевых ресурсов стороной А средства z6 и z7 стороны В теряют часть своего потенциала. Это, в свою очередь, снижает интенсивность информационных атак стороны В на средства стороны А. Для учёта данного эффекта в математическую модель (3) введём весовую функцию:

nad45.wmf, (6)

где nad46.wmf и nad47.wmf – исходный ресурс и текущее значение численности состояния атакующего средства zk стороны В; ρk – коэффициент, учитывающий влияние снижения потенциала zk на интенсивность λk исходящей от него атаки.

После преобразований системы дифференциальных уравнений (3) с учётом введённых обозначений (4), (5), (6) и коэффициентов (табл. 1) получим систему уравнений:

nad48.wmf (7)

Соотношения b1/b2/b3 и с1/с2 определяют стратегию стороны В в организации информационных атак на средства стороны A. Соотношение a1/a2 определяет стратегию стороны A в осуществлении информационных контратак на средства z6 и z7 стороны В.

В целях удобства алгоритмизации введём дополнительные условия:

1. Резерв для пополнения (восстановления) элементов в состоянии z1 используется при выполнении условия: z1(t) ≤ 80 %×z1(t0); резерв для пополнения элементов в состоянии z2 используется при выполнении условия: z2(t) ≤ 90 %×z2(t0); резерв для пополнения элементов в состоянии z2 используется при выполнении условия: z3(t) ≤ 95 %×z3(t0).

2. Каждое из средств zi, nad49.wmf, имеет только два состояния: рабочее и нерабочее.

3. Начальные условия:

nad50.wmf

4. Интенсивности атак принимаются следующими:

l5 = 0,06…0,30 мин-1; l6 = 0,12 мин-1; l7 = 0,06 мин-1.

5. С учётом анализа информационных угроз и имеющегося опыта исследования СЗИ приняты фиксированные стратегии игроков А и В:

nad51.wmf.

Значения вероятностей поражения одной единицы средств игроков А и В примем в соответствии с данными табл. 2.

Таблица 1

Расчётные соотношения для коэффициентов дифференциальных уравнений

A1

A2

A3

A4

A5

A6

A7

nad28.wmf

nad29.wmf

nad30.wmf

nad31.wmf

nad32.wmf

nad33.wmf

nad34.wmf

A8

A9

A10

A11

A12

A13

 

nad35.wmf

nad36.wmf

nad37.wmf

nad38.wmf

nad39.wmf

nad40.wmf

 

 

Таблица 2

Вероятности поражения элементов

Подсистема А

Подсистема В

p16

p27

p37

p46

p56

p65

p75

0,010

0,040

0,030

0,010

0,015

0,020

0,015

 

Таблица 3

Показатели относительного ущерба ( %) для средств сторон в контрольной точке t*= T = 120 (мин.), опыт 1: λ5 = 0,06 (1/мин)

Средства стороны А

Средства стороны В

ΔZ1(t*)

ΔZ2(t*)

ΔZ3(t*)

ΔZ4(t*)

ΔZ5(t*)

ΔZ6(t*)

ΔZ7(t*)

3,30

13,93

6,81

3,54

10,61

3,41

7,67

 

6. Численное решение системы дифференциальных уравнений осуществляется стандартным методом Рунге – Кутты в цикле на полуинтервале времени nad52.wmf: t0 = 0 мин, tN = 120 мин с шагом Δt = 0,05 мин.

7. Выход из цикла моделирования (решения) осуществлялся в одном из следующих случаев: [z1 ≤ 60; z2 ≤ 60; z3 ≤ 60; z4 ≤ 30; z5 ≤ 30; z6 ≤ 45; z7 ≤ 45].

В качестве выходных данных моделирования фиксируются: время решения задачи tреш, тождественно равное времени t* информационного взаимодействия tреш ≡ t*; фазовые траектории nad53.wmf; численные значения показателей nad54.wmf, nad55.wmf.

На рис. 2 и 3 представлены изменения численностей состояний сетевых ресурсов на указанном полуинтервале времени.

Используя данные об изменении численностей состояний динамической системы во времени Т ≡ t (мин), для заданного момента времени t* можно вычислить относительный ущерб ΔZi(t*) по формуле (1) по каждому средству nad56.wmf, сторон А и В. Результаты расчёта показателей относительного ущерба ΔZi(t*) для фиксированных исходных данных приведены в табл. 3. Данные цифрового моделирования фазовой траектории ДС в виде таблиц или графиков изменения во времени фазовых координат nad57.wmf позволяют проследить динамику взаимодействия СЗИ со злоумышленником и косвенно оценить результативность используемых механизмов комплексной защиты ресурсов КИС.

Для рассмотренной задачи совокупный ущерб противоборствующих подсистем А и В, вычисленный по формулам (2) при учёте данных табл. 2 для случая равных весовых коэффициентов nad58.wmf и nad59.wmf, составил

nad60.wmf

и

nad61.wmf

В ходе исследования проанализировано влияние интенсивности контратак стороны А на защищённость ресурсов КИС, на ресурс СЗР и на ресурс стороны (игрока) В. При этом интенсивность контратак изменялась в отрезке nad62.wmf мин.-1 с шагом 0,03. Результаты вычислительного эксперимента представлены на рис. 4.

Средний коэффициент эластичности nad63.wmf, определяемый по известной формуле [11] для линейной регрессионной модели регрессии nad64.wmf составил величину

nad65.wmf

что свидетельствует о малой силе влияния интенсивности nad66.wmf информационных контратак на снижение ресурса атакующей стороны В.

По результатам операционного моделирования можно оценить результативность используемых механизмов защиты сетевых ресурсов для различных стратегий действия и сценариев противоборства сторон А и В. В авторской работе [9] ранее было установлено, что прямой способ повышения эффективности МЗР через снижение уязвимости средств z1, z2 и z3 не является продуктивным. Из анализа результатов вычислительного эксперимента следует, что прямое увеличение интенсивности контратак СЗИ также не даёт значительного приращения защищённости информационных и программных ресурсов. Кроме того, усиление мощности информационных контратак, инициируемых подсистемой А, связано с большими затратами внутренних вычислительных ресурсов КИС и в ряде случаев может способствовать быстрому вскрытию злоумышленником (стороной В) характеристик СЗИ.

nadeg2.tif

Рис. 2. Изменение численности состояний z1, z2, z3 от времени информационного контакта Т (мин) сторон А и В (без механизма восстановления)

nadeg3.tif

Рис. 3. Изменение численности состояний z1, z2, z3 от времени информационного контакта Т (мин) сторон А и В (с механизмом восстановления численностей z2 и z3)

nadeg4.tif

Рис. 4. Зависимости показателей относительного ущерба от интенсивности контратак λ5 (1/мин) стороны А

Установлено, что при больших интенсивностях информационных контратак (nad67.wmf) происходит относительно быстрое снижение потенциала подсистемы В и тем самым уменьшается степень информационного воздействия средств z6 и z7 на ресурсы КИС. Визуально данный нелинейный эффект можно проследить на графиках рис. 5, на котором показаны фазовые траектории численностей состояний средств nad68.wmf, nad69.wmf, nad70.wmf.

Таким образом, в результате исследования установлено, что наиболее значительного приращения эффективности МЗР следует ожидать в случае комплексного (согласованного по целям, задачам и времени) применения нескольких способов пассивной и активной защиты сетевых ресурсов КИС. Закономерным итогом комплексирования способов и средств защиты будет существенное снижение уязвимости средств z1, z2 и z3 игрока А при одновременном уменьшении интенсивности информационных атак со стороны средств z6 и z7. По данным моделирования, совместное использование СПЗ (для восстановления повреждённых массивов ИО и модулей ОПО и ППО) и САЗ способно снизить относительный ущерб для сетевых ресурсов на 11…24 %.

Выводы

На современном этапе эволюции системы информационной безопасности в составе комплексной СЗИ доминируют традиционные средства пассивной защиты информационного и программного обеспечения. Для достижения заданного политикой безопасности уровня защищённости сетевых ресурсов в условиях вероятных сетевых атак предлагается дополнительно включить в состав СЗИ элементы активной защиты, способные реализовать информационные контратаки на выявленные источники потенциальных угроз в целях пресечения их деятельности. Для повышения эффективности САЗ могут быть применены следующие способы:

1) согласование характеристик и синхронизация работы средств пассивной и активной защиты под управлением интеллектуальной системы управления ИБ;

2) применение гибкой стратегии защиты, заключающейся в концентрации усилий на поражении наиболее опасных компонентов подсистемы В;

3) выявление фактов и идентификация характеристик системы захвата (злоумыш-ленником) управления узлами КИС, через которые в последующем могут осуществляться систематические информационные атаки на сетевые ресурсы;

4) планирование и реализация стороной А упреждающих информационных контратак, преимущественно на начальном этапе информационного противоборства в целях максимального ослабления потенциала злоумышленника (стороны В) и принуждения его к отказу от преступных замыслов.

nadeg5.tif

Рис. 5. Изменение численностей состояний подсистемы А во времени с учётом эффекта ослабления атакующего потенциала подсистемы В (случай λ5 = 0,27 1/мин)

В качестве одного из перспективных направлений обеспечения гарантированной защищённости сетевых ресурсов КИС можно указать совместное применение рекомендаций и структурных решений теории обманных систем и алгоритмов интеллектуального управления МЗР [2].