Элементы теории случайных потоков, существенные для моделирования процессов в предметной области защиты информации
Теория случайных потоков событий начала развиваться в рамках теории марковских процессов и формировавшейся затем на ее основе теории массового обслуживания, при этом в первую очередь рассматривался случайный поток заявок на обслуживания [57, 83^88]. Позже эта теория приобрела и некоторое самостоятельное значение, поскольку стала применяться значительно более широко в самых различных областях (например, при проектировании телекоммуникационных систем, при анализе характеристик случайного трафика, в моделях размножающихся популяций и др.). Элементы этой теории находят применении и при моделировании различных процессов в предметной области защиты информации. Понятие случайного потока событий вводится следующим образом [89].
Пусть на отрезке (г0,г) действительной оси, где г>г0, появляется некоторое случайное число точек к в случайных местах оси, при этом т0 < тх < т2 <... < тк < ... < г и, если не считать различия в координатах, появившиеся точки являются неразличимыми, что соответствует однородным событиям. При этом, если рассматривается временная ось, то момент времени г, называют моментом наступления /-го события. Тогда случайным потоком называют случайный процесс Лг(г0,г), реализация которого характеризует число точек, появившихся на интервале (r0,r), как функцию правого конца этого интервала. Согласно этому определению реализации случайного потока являются неубывающими ступенчатыми целочисленными функциями, область определения которых П лежит выше г0 и в общем случае может быть бесконечной справа. Если обозначить вероятность появления в области Q ровно п точек как />л(0),тодля нее справедливо условие:
!>,(«) =1. (5-35)
Часто весьма удобным является описание числа появившихся точек с помощью производящей функции.
Чаще всего при моделировании различных процессов областью их определения является некоторый промежуток времени (возможно бесконечный). Если рассматривать поток однородных событий, возникающих в моменты времени т0<т1<тп<...<тк<...<т, где положить г0 = 0 и обозначить через с\к=тк-ткі расстояние между соседними моментами времени, то такой поток считается заданным, если задано распределение случайного вектора (dvd2....dk}.
В работах А.Я. Хинчина [86, 88] показано, что если однородный случайный поток обладает свойствами:
- стационарности, то есть для любой группы непересекающихся отрезков времени вероятность появления в них соответственно пѵп.1,...,пк событий (точек) зависит только от этих чисел и от длин указанных отрезков времени, но не зависит от их расположения на оси времени, при этом для промежутка времени (ТЛ) вероятность появления п событий не зависит от Т и является функцией только переменных (ил;
- отсутствия последействия, то есть вероятность появления п событий в течение времени (Т,і) не зависит от того, сколько событий произошло до момента времени Т, а это означает взаимную независимость появления того или иного числа событий в непересекающихся отрезках времени, то есть независимость всех случайных величин dk.
Для задания такого потока достаточно задать набор функций Fk{t) = p(dk <і),к>\, где Fk (/) - функция распределения к -го интервала времени. Поток с ограниченным последействием, для которого і72(^) = 77з(^) = ... = і?(^) называют рекуррентным потоком с запаздыванием [87];
- ординарности потока событий - условия практической невозможности появления двух или больше событий в один и тот же момент времени, которое р (А/) формально записывается в виде lim я> ѵ—- = 0, то для такого потока функция распределения вероятности для всех промежутков времени между событиями определяется по формуле F{t) = \—e~u, а вероятность возникновения за время t ровно п событий определяется по формуле Пуассона:
Р, ДО (5.38)
где Л - параметр, получивший название интенсивность потока.
Такой поток называют простейшим или стационарным пуассоновским. Если обозначить через pkl (t) вероятность появления хотя бы одного события за время /, то для ее расчета справедлива формула
Лі(0=Ел(0=1-л(0>
п=1 (5.39), а для интенсивности потока - следующее предельное равенство:
при этом среднее количество событий, произошедших на интервале времени t, будет равно п (/) = Л ■ t.
Если бы параметр Л зависел от времени, то тогда процесс был бы неоднородным и для него справедлива была бы вместо соотношения (5.38) следующая формула:
Pn(tо, 0 = — • (J A(x)dx)" ехр(-J A(x)dх)
Далее будут рассматриваться только нашедшие широкое применение в практике моделирования однородные процессы.
Следует отметить, что при использовании теории случайных потоков часто приходится учитывать не только случайные времена возникновения событий, но и другие условия их возникновения. Например, к таким условиям можно отнести:
включения или выключения компьютеров сети, при этом в периоды времени, когда компьютеры выключены, реализация угроз безопасности информации в них невозможна;
эпизодическое использование некоторых прикладных программ, с которыми ассоциируются ряд вредоносных программ, при этом без запуска таких приложений вредоносные программы не могут быть активированы и др.
Для учета динамики возникновения таких условий можно при моделировании использовать квазирекуррентные потоки, в которых для моделирования таких ситуаций вводится понятие «вызывающего промежутка времени» [87], вне которого вообще невозможно возникновение угрозы, то есть динамика возникновения угроз определяется временными характеристиками потока «вызывающих промежутков времени» и собственно попытками атак. В этом случае поток угроз может быть представлен в виде потока пачек импульсов, в котором поток огибающих равнозначен рекуррентному потоку «вызывающих промежутков времени» (поток «вызовов»), а поток внутри этих промежутков соответствует собственно рекуррентному потоку самих угроз.
Квазирекуррентный поток попыток угроз реализации сетевых атак.
Такой поток импульсов получил название квазирекуррентно го [87]. Для него время до появления первой попытки реализации угрозы представляет собой сумму случайных независимых величин Ѳсопі и Ѳл, то есть времени до появления условий существования угрозы и времени возникновения собственно самой попытки: т = 6th+ 0cond. Тогда вероятность возникновения угрозы определяется из соотношения:
1\,.к(0 = 1 + - [Мл exp- Fconi ехр(-А„,/)], (5.42)
Fcond Fth
где цсопі и цл - средние интенсивности возникновения условия для реализации угроз и попыток такой реализации соответственно,
1-1
№ cond
Т cond "t" Ѳ cond
H,h =
T th "t" Oth (5.43)
В определенной мере альтернативой использования теории рекуррентных потоков является теория прореживания потоков, поскольку выполнение подобных условий приводит к тому, что не все события в исходном потоке выполняются, при этом происходит прореживание исходного потока. Использование операции прореживания позволяет значительно расширить моделирующие возможности теории потоков.
Для определения прореженного потока в соответствии с [87], кроме задания исходного потока, необходимо каждому моменту времени tk поставить в соответствие функцию дк = д (tk), принимающую значение 0 для потерянных событий и 1 - для состоявшихся событий, а также задать вероятности:
Р(31Л,.Л) = Р{Щ) = ^Лі2)=32,...Лік)=Зк}. (5.44)
Операция прореживания потока относится к рекуррентной, если она задана следующими вероятностями [87]:
РЦ)=а0; Р(ОЛ) = <з1; Р(0,0,1) = а2;
/доли.. 0.1)
К а. (5.45)
Yjak =1-
к> О
Если обозначить через B(t) функцию распределения вероятностей для промежутка времени между соседними событиями прореженного потока, то имеет место соотношение [87]:
Bit) = a0F(t) + aiF2(t) +... + akFk+1(t), (5.46)
так как
Fl(t) = F(t),F2(t)=jFl(t-x)dF(x),...,Ft -x)dF(x)... (5.47)
или/а(0 = [^(0Г,
где правая часть - это стильтьесовская свертка к -го порядка [92], при этом характеристическая функция для свертки функций распределения равна произведению характеристических функций для функций распределения, входящих в свертку, то есть:
к __
Xk(s) = Y\xm(s),m = \,k ^ (5.48)
т=1
а функция распределения длительности паузы между соседними событиями в прореженном потоке определяется следующим образом:
sw=E«»H»r = J[Z«.jT
Xdx (5.49)
о \кь О л * J
Средняя интенсивность прореженного потока определяется из соотношения:
Г ль=л
і+І>
V кі 1
а, (5.50)
Рассмотрим два примера.
Пример 5.2. Пусть исходный поток событий является пуассоновским, любое событие которого теряется с вероятностью р = 1 - q и остается с вероятностью р . Тогда для прореженного потока
В(і) = 1-ехр(-р-Я д), (5.51)
а его средняя интенсивность равна Ль = р-Л и дисперсия <уь = Ль [92].
Пример 5.3. Исходный пуассоновский поток с интенсивностью Я просеивается следующим образом: первые к событий теряются, а (£ + 1)-й остается, затем снова следующие к событий теряются, а следующий остается и т.д. В этом случае в соответствии с (5.47)
ЯгХк
Я?(?)= Г----е х-dx. (5.52)
І к'-
Рекуррентный поток, определяемый такой функцией распределения, называется потоком Эрланга [86]. Для этого потока математическое ожидание длительности паузы между соседними успешными событиями и среднеквадратическое ее отклонение определяются из соотношений:
Мѳ(к) = ^-;аѳ(к) = ^-. (5.53)
А А
При больших значениях к распределение паузы между событиями в потоке становится близким к нормальному, а при к^со результирующий поток становится детерминированном периодическим потоком (с периодом также стремящимся к бесконечности).
Применительно к моделированию динамики реализации угроз безопасности информации, особенно связанных с проникновением в операционную среду атакуемого компьютера, необходимо отметить, что процесс реализации, по сути, представляет собой процесс вероятностного прореживания исходного потока угроз. Действительно, если исходный поток угроз проникновения имеет среднюю интенсивность возникновения угроз
X. ==І=, то результирующий поток реализаций угрозы в среднем будет
beg
Lbeg
иметь интенсивность:
\=\eg-Ppr-Pg> (5-54)
где Ppr,pg ~ вероятности прореживания исходного потока на этапе
проникновения нарушителя в операционную среду компьютера (вероятность проникновения) и на этапе выполнения деструктивного действия (вероятность выполнения деструктивного действия),
%(s,Tpr), z(s>Tg) - характеристические функции случайных времен
проникновения в операционную среду трг и выполнения несанкционированного действия т.,.
Пусть исходный поток угроз является произвольным рекуррентным потоком, при этом каждая попытка реализации завершается успешно лишь с вероятностью:
PPeW, = РР, ■ Pg ■ (5-56)
Тогда с учетом [93] функцию распределения вероятности для времени между успешными попытками реализации угрозы можно записать следующим образом:
Р»(І) = РгеаГКг-\
(Keg'X)
i [A •(/«-!)!]
•d (5.57)
где к - параметр исходного потока.
С учетом изложенного приведена зависимость (5.57).
а - для потока с произвольным исходным распределением, аппроксимируемым потоком Эрланга с параметром k = 6;
б - для пуассоновского потока;
1 -для l = 0.2,р— = 0.9; 2 -для l = 0.2,preal = 0.3; 3 -для = 0.2,р— = 0.05
Зависимость вероятности реализации угроз от времени при различных законах распределения времени между попытками реализации угроз в исходном потоке
На этом же рисунке показаны зависимости для пуассоновского исходного потока. По графику видно, что с уменьшением вероятности рреал
поток приближается к пуассоновскому.
Эта тенденция может быть доказана более строго. В [90, 93] показано, что для получаемого путем рекуррентного прореживания с вероятностью р
потока характеристическая функция /(s) для интервала времени между соседними событиями в прореженном потоке имеет вид:
С. (s) = 1
Р /(s)
1 -(1 - Р )/(s) (5.59)
где c(s) - характеристическая функция для интервала времени между соседними событиями в исходном потоке.
В [94] предложено в качестве меры близости потока к пуассоновскому использовать коэффициент вариации, определяемый как отношение среднеквадратического отклонения промежутка времени между событиями в потоке к его математическому ожиданию.
При этом крайними случаями являются детерминированный периодический поток, для которого Kvar = 0, и пуассоновский поток, для которого Kvar = 1.
Нетрудно показать, что коэффициент вариации для прореженного с вероятностью р потока связывается с коэффициентом вариации исходного потока соотношением, представленным в виде графической зависимости.
Зависимость коэффициента вариации прореженного потока от вероятности прореживания и коэффициента вариации исходного потока
Это важное обстоятельство обусловливает возможность при моделировании процессов, в которых имеет место то или иное вероятностное прореживание исходного потока, заменять исходный поток на пуассоновский без заметных отклонений в оценках характеристик прореженных потоков.
Существенным для моделирования процессов в предметной области защиты информации является использование элементов теории совпадения случайных импульсных потоков [89].
В приложениях наиболее часто приходится иметь дело с потоком взаимно неперекрывающихся во времени импульсов, когда пауза между моментами появления соседних импульсов Tt=tt — ti X > , где (. и ti X -
моменты появления і -го и і -1 импульсов, а тІ Х и т. - длительности (г -1)-ш и і -го импульсов.
Реализация потока неперекрывающихся потоков прямоугольных импульсов.
В случае стационарного потока взаимно неперекрывающихся импульсов произвольно взятый момент времени в пределах основания импульса при t —> со окажется с вероятностью р = /Л'Т, где р – средняя частота следования импульсов, а г - средняя их длительность.
В различных приложениях нередко возникает задача, связанная с определением средней частоты совпадения заданного числа N потоков. Решение такой задачи было приведено в [89], при этом полагалось, что для всех совпадающих потоков заданы плотности распределения вероятностей для длительностей импульсов а(т) и пауз между ними Д, (г),и = \,N. В этом
случае средняя частота pNk(d) совпадения к из N импульсов при условии, что продолжительность их перекрытия будет не менее д, определяется из соотношения.
В частности, если имеется N независимых импульсных потоков, то средняя частота их совпадения (когда в совпадении участвуют импульсы всех N потоков) определяется из следующим образом.
А при д = 0 формула (5.63) еще более упрощается.
Важной, как правило, является также задача оценки средней длительности совпадения импульсов N потоков, то есть средней длительности импульса потока совпадений, образованных в результате перекрытия по времени к из N импульсов. В [89] показано, что средняя длительность рассчитывается по формуле.
Если для всех п справедливо цп = fd и гп = г, соотношения.
Пример 5.4. Пусть пользователь подключается к сети общего пользования лишь эпизодически - один раз в сутки в среднем на двадцать минут и достаточно редко пользуется прикладной программой (например, программой Wordpad - раз в месяц в среднем в течение 3 часов), с которой ассоциирована вредоносная программа, инфицирующая компьютер при условии, что запущена прикладная программа и компьютер находится в сети. Спрашивается, через какое время с вероятностью 0.95 компьютер будет инфицирован. Поток, моделирующий работу пользователя в сети определяется в этом случае параметрами средней интенсивности подключения к сети общего пользования, равной и средней длительности
Сутки работы Г"й = 5о~24 суток * 0.014 суток в ней, а параметры потока,
моделирующего работу с прикладной программой, соответствуют
интенсивности Msofl= —------— и длительности Tsofl =0.125суток. Тогда
30 сутки
параметры потока совпадения будут равны: интенсивность
Ри = Рпе, • MSofi' (с,,, + т:о/,) ~ °.°°46—'—, при этом вероятность
ѵ ' сутки инфицирования компьютера определяется из соотношения Рш) = 1 - е~М22'‘, откуда время инфицирования с вероятностью Plnf =0.95 определяется следующим образом: lmf = =1и Р~п 650 суток.
