ИЕРАРХИЧЕСКАЯ ВЕРОЯТНОСТНАЯ МОДЕЛЬ МОНИТОРИНГА УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ


Цитировать

Полный текст

Аннотация

Расширение области применимости информационных систем приводит к более сложной их реализации и, как следствие, к необходимости защиты как отдельных модулей, так и системы в целом. В работе рассмотрена вероятностная модель мониторинга угрозы безопасности информационной системы в целом. Использование предлагаемой модели позволяет анализировать воздействие различных факторов и угроз на информационную систему и обеспечивать режим ее оптимальной работы. Предлагаемая методика проведения мониторинга угрозы информационной безопасности базируется на анализе информационных рисков и построении иерархической вероятностной модели угрозы.

Полный текст

Введение Современный этап развития информатизации общества определяет новые методы обработки информации в различных областях народного хозяйства. Основным механизмом управления различными процессами является внедрение корпоративных информационных систем (ИС) различного назначения. Увеличение разнообразия и сложности ИС приводит к необходимости оценки уровня информационной безопасности (ИБ) системы в целом и обеспечения оптимального режима её функционирования. Причем с каждым днем число и сложность угроз ИБ возрастает в геометрической прогрессии. Ввиду значительного числа угроз ИБ ИС, системы оценки рисков должны строиться по иерархическому принципу классификации угроз и уязвимостей. Одним из наиболее распространенных принципов классификации является классификация при помощи модели информационных потоков по трем основным угрозам: - оценка ущерба ИС при нарушении целостности информации; - оценка ущерба ИС при нарушении конфиденциальности информации; - оценка ущерба ИС при нарушении доступности информации. Для каждого уровня иерархии устанавливается соответствующий ему набор процедур (проверок), обеспечивающих надежное дифференцирование рисков внутри уровня. После завершения процесса оценки рисков ИБ на очередном уровне, процесс перемещается на следующий уровень, обеспечивающий дальнейшую детализацию рисков ИБ ИС. Подобные схемы и соответствующие им системы дифференциальной оценки рисков ИБ ИС получили широкое распространение и достаточно подробно освещены в [5; 8; 10-11]. Для проведения мониторинга и анализа степени угроз ИБ в статическом режиме (на конкретный момент времени) используется методика диагностики ИБ системы. При рассмотрении мониторинга угроз (уязвимостей) информационной безопасности в режиме «онлайн» (то есть во временной области) необходимо использовать фрактальные методы анализа, так как, по мнению авторов, временной ряд, образуемый из угроз, относящихся к одному классу, будет обладать самоподобием. В данной работе рассматривается диагностический подход к анализу информационных рисков ИС, основанный на иерархической вероятностной модели угрозы. В основе предлагаемой вероятностной модели лежит известная формула Байеса, которая вытекает из определения условной вероятности. В литературе описано большое количество диагностических алгоритмов, основанных на вероятностном подходе, использующих формулу Байеса [1-4]: , (1) где - вероятность угрозы при появлении уязвимости ; - вероятность реализации угрозы ИБ с уязвимостью среди данной группы рисков ИБ; -вероятность появления уязвимости при угрозе ИБ . Индекс k определяет номер проверки . Под проверкой понимается некоторый эксперимент над информационной системой, заключающийся в подаче на него тестирующего воздействия (угрозы) и анализе ответа системы на это воздействие. Формула (1) вполне подходит к задачам дифференциальной оценки рисков ИБ ИС: она позволяет выбрать одну из нескольких моделей оценки рисков ИБ ИС, основываясь на вычислении вероятностей различных угроз ИБ по вероятностям рисков ИБ, обнаруженных в информационной системе. По сути, формула (1) позволяет переставить местами причину и следствие, что нам как раз необходимо для при построении диагностической модели. Вычисление вероятности появления уязвимости при угрозе ИБ основано на предположении, что рассматриваемые уязвимости ИБ являются статистически независимыми. Средняя вероятность получения уязвимости при выполнении проверки определяется следующим выражением: . (2) Для определения частоты встречаемости той или иной уязвимости ИБ ИС при угрозе используется обширный информационный материал, полученный посредствам автоматического опроса пользователей системы для оценки рисков ИБ, выбранные случайным образом. При построении модели делается следующее допущение: риски, имеющие низкое значение средней вероятности, не учитываются. Для характеристики элементарной проверки вводится в рассмотрение матрица условных вероятностей , структура которой приведена на рис. 1. Рис. 1. Матрица условных вероятностей для проверки Процедура оценки рисков информационной безопасности Рассмотрим процедуру оценки рисков информационной безопасности на основе предложенной вероятностной модели. На основании показателя максимума средней информации системой выбирается предварительно наиболее информативная проверка: [бит], (3) где - априорная энтропия, характеризующая состояние системы для проведения аудита ИБ ИС после завершения k-ой проверки; - средняя апостериорная энтропия состояния после условного проведения проверки . Априорная энтропия до начала проверки вычисляется по формуле: (4) Энтропия после условного проведения проверки πk вычисляется по формуле: (5) где - условная энтропия, показывающая изменения неопределенности состояния рисков ИБ ИС после завершения проверки исходом . Сначала производится единичное испытание: выдается вопрос и возможные варианты ответов. Ответ респондента с помощью специальной процедуры записывается в исход . Далее из матрицы условной вероятности выбирается строка условных вероятностей , которая соответствует полученной уязвимости ИБ. Затем по формуле Байеса (1) для конкурирующих гипотез рассчитывается новое распределение вероятностей - возможного ущерба, который будет нанесен ИС в целом после реализации угрозы ИБ ИС. Проведенная проверка исключается из списка. Цикл повторяется до тех пор, пока значение вероятности одной из угроз не превысит заданного порогового уровня или не исчерпается весь список проверок-уязвимостей. По результатам проверок делается вывод о наиболее вероятном ущербе, который может быть нанесен ИС в целом после реализации угрозы. Алгоритм оценки рисков ИБ представлен на рис. 2. Рис. 2. Алгоритм оценки рисков информационной безопасности Подготовка информации Подготовка исходной информации для введения ее в базу знаний системы является наиболее трудоёмким процессом, требующим от эксперта детальных знаний ИБ ИС или конкретных признаков, характеризующих каждую из угроз [6-7; 9; 12-13]. Для разработанных систем оценки рисков ИБ ИС применяется следующий алгоритм подготовки информации: 1. Процесс подготовки информации начинается с задания списков диагностируемых угроз по каждому из объектов (модулей) ИБ ИС. 2. Для каждой из угроз по выбранному объекту (модулю) ИБ ИС составляется краткое описание характерных признаков данной угрозы. 3. На основании кратких описаний для каждой угрозы составляется список характерных проверок. Условные вероятности исходов проверок являются экспертными оценками. В случае привлечения нескольких экспертов указываются средние значения условных вероятностей. На рис. 3 показан алгоритм выбора наиболее информативной уязвимости ИБ ИС. 4. По всем типам угроз данных объектов ИБ ИС составляется сводный перечень проверок с указанием наименований исходов каждой из проверок и условных вероятностей получения каждого исхода. Необходимо обратить внимание на то, чтобы в списке отсутствовали проверки, имеющие одинаковое назначение, но различные наименования. 5. Для каждой проверки из сводного перечня составляется матрица условных вероятностей (см. рис. 2) исходов всех рассматриваемых угроз данных объектов ИБ ИС. В элементы указанной матрицы записываются условные вероятности получения исхода данной проверки при условии конкретной угрозы. Рис. 3. Алгоритм выбора наиболее информативной уязвимости ИБ ИС Для того чтобы перечень угроз представлял полную систему (то есть сумма всех вероятностей была равна единице) вводятся два дополнительных состояния: одно из которых соответствует отсутствию угроз, а второе - наличию в системе ИБ «новой» угрозы, не входящей в общий перечень. Вероятности исходов по первому состоянию устанавливаются экспертным путем. Распределение условных вероятностей исходов по состоянию «новой угрозы» следует считать равномерным, то есть предполагается, что все исходы являются равновероятными. Если проверка не характерна для данной угрозы, то распределение условных вероятностей исходов, соответствующее этой угрозе также следует считать равновероятным. 6. Полученные таким образом матрицы проверок представляют исходную информацию, которая вводится в базу знаний системы и обеспечивает ее функционирование. Выводы 1. Оценка рисков информационной безопасности носит вероятностный характер. Действительная угроза ИБ ИС из группы угроз (рисков) ИБ может быть определена только лишь с некоторой степенью вероятности. 2. Процесс оценки рисков ИБ может быть представлен в виде последовательности элементарных проверок, каждая из которых характеризуется матрицей условной вероятности. Значения элементов определяются законами распределения контролируемых параметров. 3. Предложен алгоритм, позволяющий, из множества доступных элементарных проверок возможность выбрать такую последовательность проверок, которая обеспечивает наибольшую информационную производительность процесса оценки рисков ИБ ИС. 4. Предложенная вероятностная модель обеспечивает возможность реализации распределенных систем оценки рисков ИБ, используемых в компьютерных сетях, для каждого из уровней иерархии классификации угроз ИБ ИС. 5. Для развития результатов представленной работы при рассмотрении мониторинга угроз (уязвимостей) информационной безопасности в режиме реального времени необходимо использовать фрактальные методы анализа.
×

Об авторах

Ольга Юрьевна Губарева

Поволжский государственный университет телекоммуникаций и информатики

Email: o.gubareva@psuti.ru

Олег Владимирович Осипов

Поволжский государственный университет телекоммуникаций и информатики

Email: o.osipov@psuti.ru

Владимир Владимирович Пугин

Поволжский государственный университет телекоммуникаций и информатики

Email: pugin@psati.ru

Список литературы

  1. Лихтциндер Б.Я., Аверьянов С.В., Пугин В.В., Шигаев В.В. Использование вероятностных методов оценки знаний при разработке тестирующих модулей распределенных тренинг-систем // ИКТ. Т. 1, №3, 2003. - С. 40-45.
  2. Brand E., Gerritsen R. Naive-Bayes and Nearest Neighbor // DBMS. No7, 1998. - Р. 131-165.
  3. Friedman N., Geiger D., Goldszmidt M. е.а. Bayesian Network // Machine Learning. No 29, 1997. - Р. 131-165.
  4. Heckerman D. Bayesian Networks for Data Mining // Data Mining and Knowledge Discovery. No 1, 1997. - Р. 79-119.
  5. Куканова Н. Методика оценки риска ГРИФ 2006 из состава Digital Security Office6 // URL: https://dsec.ru/ipm-research-center article/ (д.о. 22.10.2016)/
  6. Сердюк В. Аудит информационной безопасности. BYTE Россия, №4 (92), 2006 // URL: http://www.bytemag.ru/articles/detail. php?ID=6781 (д.о. 22.10.2016)/
  7. Петренко С.А. Возможная методика построения системы информационной безопасности предприятия. Security.meganet.md // URL: http://bre.ru/ security/13985.html (д.о. 22.10.2016).
  8. Software Engineering Institute Carnegie Mellon. OCTAVE // URL: www.cert.org/octave (д.о. 22.10.2016).
  9. Siemens. The total information security toolkit // URL: http://www.cramm.com (д.о. 22.10.2016).
  10. Пугин В.В., Губарева О.Ю. Методика Risk Watch для анализа рисков в сфере информационной безопасности // Мате-риалы XIX РНТК ПГУТИ, 2012. - С. 53.
  11. Пугин В.В., Губарева О.Ю. Методика FRAP для анализа рисков в сфере информационной безопасности. // Материалы XIX РНТК ПГУТИ, 2012. - С. 50.
  12. Harshna, Navneet Kaur. Fuzzy Data Mining Based Intrusion Detection System Using Genetic Algorithm // International Journal of Advanced Research in Computer and Communication Engineering. Vol. 3, No. 1, 2014. - Р. 5021-5028.
  13. Anoop Singhal, Ximming Ou. Security Risk Analysis of Enterprise Networks Using Probabilistic Attack Graphs // NIST Interagency Report 778. National Institute of Standards and Technology, Gaithersburg, Maryland, 2011. - 23 p.

Дополнительные файлы

Доп. файлы
Действие
1. JATS XML
Скачать

© Губарева О.Ю., Осипов О.В., Пугин В.В., 2016

Creative Commons License
Эта статья доступна по лицензии Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

Данный сайт использует cookie-файлы

Продолжая использовать наш сайт, вы даете согласие на обработку файлов cookie, которые обеспечивают правильную работу сайта.

О куки-файлах