HIERARCHICAL STOCHASTIC MODEL FOR MONITORING OF TREAT TO INFORMATION SECURITY OF INFORMATION SYSTEM

Abstract

Nowadays modern information systems solve various problems concerned with automation of banks, insurance and trading company activities, financial exchanges, supervisory control and data acquisition applications etc. They become more complex due to widening of their applicability that requires protection for both loose units or modules and whole system. Therefore the problems of corporate information resources security providing take on a dimension during all steps of system design and maintenance. This work considers a stochastic model for monitoring of treat to information security of the whole information system. Proposed model provides analysis of various factors and threats influence on information system and its optimum operation mode under them. This developed technique is based on analysis of information security risks and designing of threat hierarchical stochastic model. We utilize the algorithm of directed search of information security risks, which performs security risk choice by maximal information capacity criterion. It provides decreasing of analyzing threats and therefore transmitted data capacity.

Full Text

Введение Современный этап развития информатизации общества определяет новые методы обработки информации в различных областях народного хозяйства. Основным механизмом управления различными процессами является внедрение корпоративных информационных систем (ИС) различного назначения. Увеличение разнообразия и сложности ИС приводит к необходимости оценки уровня информационной безопасности (ИБ) системы в целом и обеспечения оптимального режима её функционирования. Причем с каждым днем число и сложность угроз ИБ возрастает в геометрической прогрессии. Ввиду значительного числа угроз ИБ ИС, системы оценки рисков должны строиться по иерархическому принципу классификации угроз и уязвимостей. Одним из наиболее распространенных принципов классификации является классификация при помощи модели информационных потоков по трем основным угрозам: - оценка ущерба ИС при нарушении целостности информации; - оценка ущерба ИС при нарушении конфиденциальности информации; - оценка ущерба ИС при нарушении доступности информации. Для каждого уровня иерархии устанавливается соответствующий ему набор процедур (проверок), обеспечивающих надежное дифференцирование рисков внутри уровня. После завершения процесса оценки рисков ИБ на очередном уровне, процесс перемещается на следующий уровень, обеспечивающий дальнейшую детализацию рисков ИБ ИС. Подобные схемы и соответствующие им системы дифференциальной оценки рисков ИБ ИС получили широкое распространение и достаточно подробно освещены в [5; 8; 10-11]. Для проведения мониторинга и анализа степени угроз ИБ в статическом режиме (на конкретный момент времени) используется методика диагностики ИБ системы. При рассмотрении мониторинга угроз (уязвимостей) информационной безопасности в режиме «онлайн» (то есть во временной области) необходимо использовать фрактальные методы анализа, так как, по мнению авторов, временной ряд, образуемый из угроз, относящихся к одному классу, будет обладать самоподобием. В данной работе рассматривается диагностический подход к анализу информационных рисков ИС, основанный на иерархической вероятностной модели угрозы. В основе предлагаемой вероятностной модели лежит известная формула Байеса, которая вытекает из определения условной вероятности. В литературе описано большое количество диагностических алгоритмов, основанных на вероятностном подходе, использующих формулу Байеса [1-4]: , (1) где - вероятность угрозы при появлении уязвимости ; - вероятность реализации угрозы ИБ с уязвимостью среди данной группы рисков ИБ; -вероятность появления уязвимости при угрозе ИБ . Индекс k определяет номер проверки . Под проверкой понимается некоторый эксперимент над информационной системой, заключающийся в подаче на него тестирующего воздействия (угрозы) и анализе ответа системы на это воздействие. Формула (1) вполне подходит к задачам дифференциальной оценки рисков ИБ ИС: она позволяет выбрать одну из нескольких моделей оценки рисков ИБ ИС, основываясь на вычислении вероятностей различных угроз ИБ по вероятностям рисков ИБ, обнаруженных в информационной системе. По сути, формула (1) позволяет переставить местами причину и следствие, что нам как раз необходимо для при построении диагностической модели. Вычисление вероятности появления уязвимости при угрозе ИБ основано на предположении, что рассматриваемые уязвимости ИБ являются статистически независимыми. Средняя вероятность получения уязвимости при выполнении проверки определяется следующим выражением: . (2) Для определения частоты встречаемости той или иной уязвимости ИБ ИС при угрозе используется обширный информационный материал, полученный посредствам автоматического опроса пользователей системы для оценки рисков ИБ, выбранные случайным образом. При построении модели делается следующее допущение: риски, имеющие низкое значение средней вероятности, не учитываются. Для характеристики элементарной проверки вводится в рассмотрение матрица условных вероятностей , структура которой приведена на рис. 1. Рис. 1. Матрица условных вероятностей для проверки Процедура оценки рисков информационной безопасности Рассмотрим процедуру оценки рисков информационной безопасности на основе предложенной вероятностной модели. На основании показателя максимума средней информации системой выбирается предварительно наиболее информативная проверка: [бит], (3) где - априорная энтропия, характеризующая состояние системы для проведения аудита ИБ ИС после завершения k-ой проверки; - средняя апостериорная энтропия состояния после условного проведения проверки . Априорная энтропия до начала проверки вычисляется по формуле: (4) Энтропия после условного проведения проверки πk вычисляется по формуле: (5) где - условная энтропия, показывающая изменения неопределенности состояния рисков ИБ ИС после завершения проверки исходом . Сначала производится единичное испытание: выдается вопрос и возможные варианты ответов. Ответ респондента с помощью специальной процедуры записывается в исход . Далее из матрицы условной вероятности выбирается строка условных вероятностей , которая соответствует полученной уязвимости ИБ. Затем по формуле Байеса (1) для конкурирующих гипотез рассчитывается новое распределение вероятностей - возможного ущерба, который будет нанесен ИС в целом после реализации угрозы ИБ ИС. Проведенная проверка исключается из списка. Цикл повторяется до тех пор, пока значение вероятности одной из угроз не превысит заданного порогового уровня или не исчерпается весь список проверок-уязвимостей. По результатам проверок делается вывод о наиболее вероятном ущербе, который может быть нанесен ИС в целом после реализации угрозы. Алгоритм оценки рисков ИБ представлен на рис. 2. Рис. 2. Алгоритм оценки рисков информационной безопасности Подготовка информации Подготовка исходной информации для введения ее в базу знаний системы является наиболее трудоёмким процессом, требующим от эксперта детальных знаний ИБ ИС или конкретных признаков, характеризующих каждую из угроз [6-7; 9; 12-13]. Для разработанных систем оценки рисков ИБ ИС применяется следующий алгоритм подготовки информации: 1. Процесс подготовки информации начинается с задания списков диагностируемых угроз по каждому из объектов (модулей) ИБ ИС. 2. Для каждой из угроз по выбранному объекту (модулю) ИБ ИС составляется краткое описание характерных признаков данной угрозы. 3. На основании кратких описаний для каждой угрозы составляется список характерных проверок. Условные вероятности исходов проверок являются экспертными оценками. В случае привлечения нескольких экспертов указываются средние значения условных вероятностей. На рис. 3 показан алгоритм выбора наиболее информативной уязвимости ИБ ИС. 4. По всем типам угроз данных объектов ИБ ИС составляется сводный перечень проверок с указанием наименований исходов каждой из проверок и условных вероятностей получения каждого исхода. Необходимо обратить внимание на то, чтобы в списке отсутствовали проверки, имеющие одинаковое назначение, но различные наименования. 5. Для каждой проверки из сводного перечня составляется матрица условных вероятностей (см. рис. 2) исходов всех рассматриваемых угроз данных объектов ИБ ИС. В элементы указанной матрицы записываются условные вероятности получения исхода данной проверки при условии конкретной угрозы. Рис. 3. Алгоритм выбора наиболее информативной уязвимости ИБ ИС Для того чтобы перечень угроз представлял полную систему (то есть сумма всех вероятностей была равна единице) вводятся два дополнительных состояния: одно из которых соответствует отсутствию угроз, а второе - наличию в системе ИБ «новой» угрозы, не входящей в общий перечень. Вероятности исходов по первому состоянию устанавливаются экспертным путем. Распределение условных вероятностей исходов по состоянию «новой угрозы» следует считать равномерным, то есть предполагается, что все исходы являются равновероятными. Если проверка не характерна для данной угрозы, то распределение условных вероятностей исходов, соответствующее этой угрозе также следует считать равновероятным. 6. Полученные таким образом матрицы проверок представляют исходную информацию, которая вводится в базу знаний системы и обеспечивает ее функционирование. Выводы 1. Оценка рисков информационной безопасности носит вероятностный характер. Действительная угроза ИБ ИС из группы угроз (рисков) ИБ может быть определена только лишь с некоторой степенью вероятности. 2. Процесс оценки рисков ИБ может быть представлен в виде последовательности элементарных проверок, каждая из которых характеризуется матрицей условной вероятности. Значения элементов определяются законами распределения контролируемых параметров. 3. Предложен алгоритм, позволяющий, из множества доступных элементарных проверок возможность выбрать такую последовательность проверок, которая обеспечивает наибольшую информационную производительность процесса оценки рисков ИБ ИС. 4. Предложенная вероятностная модель обеспечивает возможность реализации распределенных систем оценки рисков ИБ, используемых в компьютерных сетях, для каждого из уровней иерархии классификации угроз ИБ ИС. 5. Для развития результатов представленной работы при рассмотрении мониторинга угроз (уязвимостей) информационной безопасности в режиме реального времени необходимо использовать фрактальные методы анализа.
×

About the authors

Olga Yurevna Gubareva

Povolzhskiy State University of Telecommunications and Informatics

Email: o.gubareva@psuti.ru

Oleg Vladimirovich Osipov

Povolzhskiy State University of Telecommunications and Informatics

Email: o.osipov@psuti.ru

Vladimir Vladimirovich Pugin

Povolzhskiy State University of Telecommunications and Informatics

Email: pugin@psati.ru

References

  1. Лихтциндер Б.Я., Аверьянов С.В., Пугин В.В., Шигаев В.В. Использование вероятностных методов оценки знаний при разработке тестирующих модулей распределенных тренинг-систем // ИКТ. Т. 1, №3, 2003. - С. 40-45.
  2. Brand E., Gerritsen R. Naive-Bayes and Nearest Neighbor // DBMS. No7, 1998. - Р. 131-165.
  3. Friedman N., Geiger D., Goldszmidt M. е.а. Bayesian Network // Machine Learning. No 29, 1997. - Р. 131-165.
  4. Heckerman D. Bayesian Networks for Data Mining // Data Mining and Knowledge Discovery. No 1, 1997. - Р. 79-119.
  5. Куканова Н. Методика оценки риска ГРИФ 2006 из состава Digital Security Office6 // URL: https://dsec.ru/ipm-research-center article/ (д.о. 22.10.2016)/
  6. Сердюк В. Аудит информационной безопасности. BYTE Россия, №4 (92), 2006 // URL: http://www.bytemag.ru/articles/detail. php?ID=6781 (д.о. 22.10.2016)/
  7. Петренко С.А. Возможная методика построения системы информационной безопасности предприятия. Security.meganet.md // URL: http://bre.ru/ security/13985.html (д.о. 22.10.2016).
  8. Software Engineering Institute Carnegie Mellon. OCTAVE // URL: www.cert.org/octave (д.о. 22.10.2016).
  9. Siemens. The total information security toolkit // URL: http://www.cramm.com (д.о. 22.10.2016).
  10. Пугин В.В., Губарева О.Ю. Методика Risk Watch для анализа рисков в сфере информационной безопасности // Мате-риалы XIX РНТК ПГУТИ, 2012. - С. 53.
  11. Пугин В.В., Губарева О.Ю. Методика FRAP для анализа рисков в сфере информационной безопасности. // Материалы XIX РНТК ПГУТИ, 2012. - С. 50.
  12. Harshna, Navneet Kaur. Fuzzy Data Mining Based Intrusion Detection System Using Genetic Algorithm // International Journal of Advanced Research in Computer and Communication Engineering. Vol. 3, No. 1, 2014. - Р. 5021-5028.
  13. Anoop Singhal, Ximming Ou. Security Risk Analysis of Enterprise Networks Using Probabilistic Attack Graphs // NIST Interagency Report 778. National Institute of Standards and Technology, Gaithersburg, Maryland, 2011. - 23 p.

Statistics

Views

Abstract: 56

PDF (Russian): 11

Dimensions

Article Metrics

Metrics Loading ...

PlumX


Copyright (c) 2016 Gubareva O.Y., Osipov O.V., Pugin V.V.

Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

This website uses cookies

You consent to our cookies if you continue to use our website.

About Cookies