- мотивы нарушителя, цели, которые он преследует при совершении НСД;
- степень воздействия на информационную среду;
- возможные места проникновения нарушителя;
- области, доступные нарушителю;
- оценку последствий действий нарушителя.
Основная характеристика перечисленных событий – вероятность несанкционированного доступа PНСД. В общем случае это функция времени. Обозначим допустимое значение вероятности вскрытия защиты через PДОП, интервал нормирования ТН. Тогда условие безопасной работы информационной системы запишется в виде:
. (1.1)
Интервал нормирования – это время, по истечению которого параметры системы защиты меняются. Например, это имена и пароли пользователей, условия доступа, структура информационных массивов, их метки и т.д. Целесообразно с такой же интенсивностью проводить аудит информационной системы. Конкретные числовые значения функции РНСД(t) получить достаточно сложно, но общие соображения или ограничения можно сформулировать из общего подхода.
Представим информационное пространство в виде конечной совокупности данных хранящихся преимущественно в электронной форме (в виде кодированных записей на дисках). Работа с этими данными состоит из двух этапов: получение доступа к ним и собственно обработка. Последняя может состоять из следующих процедур:
- простое копирование (полное или частичное);
- модификация (видоизменение данных);
- стирание;
- порча.
Копирование (или дублирование) – простейшая операция при работе с информацией. Основные данные при этом не изменяются, поэтому факт копирования обнаружить сложно.
Обычно для регистрации копирования на компьютерах и особенно в компьютерных сетях заводят электронные журналы регистрации, но они имеют смысл только если размещаются на отдельном компьютере (файл-сервере) или имеют ограничение доступа.
Само копирование является одной из форм нарушения авторского права и подпадает под соответствующие статьи законодательства, но доказать факт копирования достаточно сложно, тем более идентифицировать нарушителя. Тем не менее, по статистике это наиболее вероятный вариант нарушения.
Модификация информации – сознательное ее изменение – может быть осуществлена как пользователем, так и нарушителем. Как правило, она трудно обнаружима, так как правдоподобна; наиболее надежный способ обнаружения – хранение эталонной копии, что далеко не всегда возможно. Модификация тождественна фальсификации и по этому признаку может быть уголовно наказуема.
Стирание, или уничтожение информации, может быть необратимым или восстанавливаемым; для восстановления, как и в предыдущем случае, необходимо дублирование.
Порча может иметь разные проявления. Она означает невозможность использования информации и может выражаться, например, в постановке помех при передаче, распространении компьютерных вирусов, установке логических мин и т.д.
При рассмотрении модели нарушителя будем считать, что он располагает всем перечисленным арсеналом воздействий, поэтому нужно корректно сформулировать именно условия доступа. Примем следующие предположения:
1. Случайность во времени: каждая попытка НСД на БС возникает с интервалом времени Dt, не зависящим от состояния системы и однозначно зависящим от некоторой константы (интенсивности нападений). Интенсивность во времени не меняется.
2. Отсутствие последействия: каждая последующая попытка НСД не зависит от предыдущих попыток. Это свойство присуще особой группе случайных процессов, называемых марковскими, поэтому часто называется марковостью.
3. Длительность самой попытки НСД намного меньше интервалов Dt между соседними попытками (гипотеза точечного воздействия).
Пусть вероятность того, что за время t сделано к попыток НСД, равна рt(к). Обозначим интенсивность НСД через g, считая, что за бесконечно малый интервал dt может произойти максимум одно событие, вероятность которого р(dt) = gdt. Возможно одно из двух событий:
- за время t принято К попыток НСД, а за dt – ни одной; вероятность такого сложного события:
p1(к,t) = pt(к)[1-gdt];(1.2)
- за время t произошло к-1 попыток НСД, а за dt – одна; соответствующая вероятность:
Выражение слева в (1.5) можно обозначить через dp(к,t)/dt; тогда из (1.5) можно получать законы распределения для разных к. Так, при к = 0, учитывая, что р(-1) = 0, получим:
.
Отсюда
р(0,t) = е-gt. (1.6)
Выражение (1.6) – это вероятность того, что за время t не произойдет ни одной попытки НСД. Как видим, распределение имеет чисто экспоненциальный характер.
Отсюда следует, что вероятность того, что за время t произойдет хотя бы одна попытка НСД:
РН = 1 – р(0,t ) = 1 – е-gt. (1.7)
Кривые рН(t) при разных g приведены на рис.2.1. Из них видно, что при увеличении интенсивности g НСД вероятность нарушения возрастает быстрее. Можно получить приближенное значение интенсивности по графику, если в точке t = 0 провести к нему касательную и довести ее до линии р = 1, как показано на чертеже.
Исходя из вышесказанного, можно записать выражение для вероятности однократного нарушения (из 1.5):
. (1.8)
Из (1.8) получим:
. (1.9)
Решение дифференциального уравнения (1.9) дает:
р(1,t) = gte-gt = le-l. (1.10)
Здесь l = gt – параметр потока НСД. Графики функций р(1,t) при разных значениях g приведены на рис.1.2. Как видно, функции имеют явно выраженные максимумы, которые определяются по классической формуле:
.
Отсюда максимумы находятся в точках tm = 1/g; значения р(1,tm) = е-1 = 0,368.
Рассуждая аналогично, для произвольного целого к получим:
. (1.11)
Выражение (1.11) известно как формула Пуассона.
Обобщая выражения (1.6), (1.10) и (1.11), можно получить выражение для суммарной вероятности для N попыток НСД на БС:
. (1.12)
Ориентировочное значение количества попыток нарушителя за время ТН можно определить через математическое ожидание экспоненциального распределения (среднее значение tн.ср):
tн.ср = 1/g.
Тогда:
(1.13)
а выражение (1.12) примет вид:
. (1.14)
Отметим, что, как правило, g << 1. Тогда при условии gТН < 1 вероятности р(к,t) при увеличении к снижаются. Отсюда наиболее вероятны однократные попытки нарушений.
Выражения (1.6) и (1.7) имеют фундаментальное значение, поскольку экспоненциальному распределению подчиняются не только интервалы между попытками НСД, но и ряд других случайных величин. Например, интервалы между обращениями штатных пользователей к информации тоже описываются теми же выражениями, но с другими значениями g.
Отметим еще одно свойство экспоненциального распределения. Предположим, одновременно два нарушителя пытаются осуществить НСД независимо один от другого. Результирующее их воздействие, то есть, суммарные попытки определяются как произведение вероятностей:
. (1.15)
Тогда в случае S независимых нарушителей:
. (1.16)
Из выражений (1.15) и (1.16) следует, что интенсивности потоков gi при независимой деятельности нарушителей суммируются. Это заметно снижает безопасность информационных систем. Кроме того, вследствие простого суммирования параметров интенсивности gi виден способ сравнительно простого оценивания безопасности.
Рассмотренная вероятностная модель нарушителя является простейшей. Полученные при этом оценки являются оптимистическими, так как на практике существуют более изощренные атаки на системы безопасности (условные воздействия, регулярные нападения, подбор текстовых воздействий и т.д.). В результате реальная безопасность меньше, чем расчетная.
Полученная модель позволяет сравнительно просто получать приближенные оценки безопасности. Например, приведем введенную в (1.1) оценку интервала нормирования ТН. Будем считать, что в информационных системах справедлив принцип правдоподобия, состоящий в том, что нарушители, стараясь оставаться неузнанными, пытаются имитировать реальных (штатных) пользователей; в результате они при атаках на системы безопасности не должны превышать интенсивности обращений реальных пользователей gS. Будем считать, что безопасность обеспечивается подбором некоторых ключевых слов (паролей), причем возможное пространство таких слов ограничивается значением N.
Если считать, что распределение паролей на пространстве их значений равномерно, а имитации паролей независимы и также имеют равномерное распределение, то для взлома защиты БС в среднем необходимо совершить N/2 попыток. Поскольку среднее время между атаками tн.ср = 1/gS, граничное значений для ТН определяется из выражения:
. (1.17)
Если множество N обеспечивается к-разрядным двоичным ключом, выражение (1.17) принимает вид:
. (1.18)
Формулы (1.17) и (1.18) могут иметь большое прикладное значение. В самом деле, не зная тактики нарушителя, специалист по защите может сравнительно свободно замерить поток обращений к информационным ресурсам и определить tн.ср или gS. Учитывая принцип правдоподобия, он из приведенных простых выражений может вычислить допустимые значения интервала нормирования ТН. Более точные вычисления, вероятно, использовать нецелесообразно из-за неопределенности стратегии нарушителя.
Злоумышленник обычно перед проведением атаки, обычно проводит зондирование всех компонентов КС. На этом этапе он собирает информацию, которая является недоступной для него в рамках служебных полномочий. На практике злоумышленником определяются роли компьютеров в корпоративной сети, выделяются файловые сервера и сервера баз данных, маршрутизаторы и интеллектуальные коммутаторы. На основе этой информации злоумышленником строится дерево уязвимостей БС. И, что особенно важно, им выбирается инструментарий для проведения атак, например, подбираются эксплойты для осуществления непосредственно атак на узлы беспроводной сети.
++++
В основу математической модели злоумышленника БС полагается модель Гальтона - Ватсона, построенная на Марковских ветвящихся процессах [2,3].
Пусть Z0, Z1, Z2, …число уязвимостей в нулевом, первом, втором, … уровнях защиты беспроводной сети составляют дерево уязвимостей (дерево угроз). Длительность пребывания в каждом состоянии соответственно Т0, Т1, Т2,…
Если не оговаривается противное, то всегда полагается Z0 =1. Математическое ожидание ЕZ1 <1. Обозначим через Р вероятностную меру процесса. Распределение вероятностей Z1 определяется числами Р{ Z1 = k} = pk; k=0,1,2,…;
= 1, где pk интерпретируется как вероятность того, что уязвимость, существующая на i – уровне обеспечивает доступ к уязвимостям на (i+1) – уровне. Предполагается, что pk не зависит от номера уровня i.
Условное распределение Zi+1 при условии, что Zi = k определяется из предположения, разные уязвимости порождают другие уязвимости независимо. Отсюда вытекает, что в этом случае Zi+1 распределена как сумма k независимых случайных величин, каждая из которых распределена также, как Z1. Если Zi =0, то с вероятностью 1 Zi+1 = 0.
Переходные вероятности рассматриваемого Марковского процесса задаются в виде
Рij ()=Р{ Zn+1 ()==j Zn ()=i}, i, j, n = 0,1,2,… (1)
В процессе исследования модели (1) используются прямое и обратное уравнения Колмогорова [2,3], и определяются распределение вероятностей и моменты величины Zn; вероятность того, что случайная последовательность Z0, Z1, Z2, … сходится к нулю (злоумышленник не может использовать уязвимости для проведения атак); поведение последовательности в случае, когда она не сходится к нулю, т.е. достигнет ли злоумышленник цели.
(3)
Pik ()=
Здесь =1при i=k и =0 при ik
i>0 (4)
Pik (t-0,t )=
где b(t)+ o () – вероятность, что некоторая уязвимость, которая в момент времени t используется злоумышленником для своей атаки, к моменту времени (t + ) завершится успехом. Если уязвимость используется в момент , то с вероятностями р0(), р2(), р3(),… злоумышленнику становятся доступны 0, 2, 3, … новых уязвимостей. В соответствии с [2] определяются величины bi (t) = i b(t) и pij (t) = p j-i+1 (t). Часто вместо переходных вероятностей pij (t) ветвящегося процесса используются соответствующие производящие функции.
Производящая функция ветвящегося процесса Гальтона – Ватсона имеет вид
f(t, z) = , fi (t, z) = , (5)
где и pk = Р () , - целочисленная случайная величина. Так как pk (t) = p1k (t), то с учетом (2) имеет место, следующее равенство:
fi (t, z) = [f(t, z)]i ,
pik (t) = (6)
При решении задач: определения моментов величин Zn; вероятности того, что злоумышленник не сможет использовать уязвимости для проведения атак за заданное время, необходимо учитывать тип дерева уязвимостей. В исследованиях используются три основных типа: двоичное, троичное и m-арное деревья уязвимостей (могут быть использованы и их комбинации)[5]:
· если дерево уязвимостей БС является двоичным, то злоумышленник выбирает для атаки уязвимость в левом узле с вероятностью p1=х, а правую - с p2=у. Вероятности х и у выбираются из условий:
0 < x < 1
y x (1-x).
· если дерево уязвимостей БС является троичным деревом, злоумышленник выбирает для атаки уязвимость в левом узле с вероятностью p1=х, а правую с вероятность p3= у . Вероятности х и у выбираются из условий:
0 < x < 1
0 < y x (1-x)2, при 0 < x ½
0 < y ¼ x (1-x)(3-2x), при ½ < x < 1
1 > y > 1/6 x (1-x)(2-x), при 0 < x 2/3
1 > y > 1/48 x (12-12x-x2 ) , при 2/3 < x 6/7
1 > y > x (1-x), при 6/7 < x < 1
· если дерево уязвимостей БС является m - арным деревом то злоумышленник выбирает для атаки уязвимости {1, 2, …m; b1,…, bm} (т.е. p1= b1, p2= b2, …, pm= bm ), m 3 с учетом выполнения следующей системы неравенств:
0 < b1 < 1
½ b1 (1- b1) < b2b1 (1- b1)
max {0, (n+1)} , n=2, … , m-1
= b1 (1- ), = b1(1-)
= - , = - , k=3, …, m
= , = b1
Затем bk , k=3,4,…, m-1 находятся из равенства:
= (k- ) - (k+1) b1+k – 1/ b1
Результаты моделирования действий злоумышленника в БС приведены в табл. БС характеризуется пятью уровнями защиты, двоичным деревом уязвимостей Z0, Z1, Z2, Z3, Z4, длительности пребывания в каждом состоянии 0, 1, 2, 3, 4 (задается случайными числами, равномерно распределенными на интервале 0 – 15 мин.), располагаемое время для проведения атаки Тзад = 15мин.
Таблица
Основные результаты моделирования
Вероятность достижения злоумышленником цели за Тзад
Время, затраченное злоумышленником на достижение цели с Р=0,035
0.035
13,46мин
1. Соколов Защита информации в распределенных корпоративных сетях и системах. – М.: ДМК Пресс,2002.-656 с.
2. Курило А.П. [и др.]. Обеспечение информационной безопасности бизнеса.- М.: БДЦ - пресс, 2005.- 512с.
3. Харрис Т. Теория ветвящихся случайных процессов. – М: Мир. 1966г. 355с.
5. Горяйнов В.В., Полковников А.А. О предельных распределениях вероятностей для докритических ветвящихся процессов. Теория вероятностей и ее применение. Т.41, вып.2, 1996г, 417-424с.
. (1.1)
. (1.5)
.
Кривые рН(t) при разных g приведены на рис.2.1. Из них видно, что при увеличении интенсивности g НСД вероятность нарушения возрастает быстрее. Можно получить приближенное значение интенсивности по графику, если в точке t = 0 провести к нему касательную и довести ее до линии р = 1, как показано на чертеже.
. (1.8)
. (1.9)
.
Отсюда максимумы находятся в точках tm = 1/g; значения р(1,tm) = е-1 = 0,368.
. (1.11)
. (1.12)
(1.13)
. (1.14)
. (1.15)
. (1.16)
. (1.17)
. (1.18)
= 1, где pk интерпретируется как вероятность того, что уязвимость, существующая на i – уровне обеспечивает доступ к уязвимостям на (i+1) – уровне. Предполагается, что pk не зависит от номера уровня i.
)=Р{ Zn+1 (
)==j 
Zn (
)=i}, i, j, n = 0,1,2,… (1)
В процессе исследования модели (1) используются прямое и обратное уравнения Колмогорова [2,3], и определяются распределение вероятностей и моменты величины Zn; вероятность того, что случайная последовательность Z0, Z1, Z2, … сходится к нулю (злоумышленник не может использовать уязвимости для проведения атак); поведение последовательности в случае, когда она не сходится к нулю, т.е. достигнет ли злоумышленник цели. 
(3)
)=
k
i>0 (4)
Pik (t-0,t )=
+ o (
, то с вероятностями р0(
, fi (t, z) = 
, (5)
и pk = Р (
) , 
- целочисленная случайная величина. Так как pk (t) = p1k (t), то с учетом (2) имеет место, следующее равенство:
(6)
если дерево уязвимостей БС является двоичным, то злоумышленник выбирает для атаки уязвимость в левом узле с вероятностью p1=х, а правую - с p2=у. Вероятности х и у выбираются из условий:
y 
x (1-x).
0 < x < 1
x (1-x)2, при 0 < x 
3 с учетом выполнения следующей системы неравенств:
0 < b1 < 1
b1 (1- b1)
} 
, n=2, … , m-1
= b1 (1- 
), 
= b1(1-
)
= 
, 
= 
, 
- (k+1) 