Марковские модели динамики выполнения несанкционированных действий относительно блоков защищаемой информации в отдельном компьютере
Для реализации несанкционированных действий относительно блоков защищаемой информации (системной или пользовательской) нарушителю или инициируемому им процессу необходимо получить доступ в операционную среду компьютера с некоторыми, возможно ограниченными, правами доверенного пользователя (процесса). Далее несанкционированное действие выполняется или штатными (имеющимися в составе операционной системы) программами (командами), или с применением специально разработанных программ. При этом действия могут выполняться:
относительно любого одного или нескольких произвольно выбранных блоков информации;
относительно заранее известного (как правило, по имени) блока информации, местонахождение которого может быть как известным, так и неизвестным нарушителю. В последнем случае нарушитель должен провести поиск именованного блока информации;
относительно одного или нескольких блоков информации, когда необходимость выполнения несанкционированного действия нарушитель должен определить после предварительного анализа их содержания;
относительно одного или нескольких блоков информации, когда нарушитель выполняет несколько взаимосвязанных несанкционированных действий.
Кроме того, относительно одного или совокупности блоков информации может выполняться только одно несанкционированное действие или совокупность взаимосвязанных действий.
Для случая, когда выполняется только одно из несанкционированных действий относительно одного или нескольких блоков информации, соотношения для расчета вероятностно-временных характеристик динамики его выполнения, полученные на основе решения систем дифференциальных уравнений Колмогорова (см. раздел 5.2), приведены в таблице 5.2.
Значительно сложнее оказываются марковские модели выполнения некоторой совокупности взаимосвязанных несанкционированных действий относительно одного блока информации с его поиском или тем более относительно нескольких блоков информации.
Однако такие модели особенно важны в тех случаях, когда неизвестно, какое несанкционированное действие может быть выполнено в результате НСД. При выполнении совокупности несанкционированных действий имеется определенная семантическая и статистическая взаимосвязь между возможными сочетаниями деструктивных действий. Приведена матрица взаимосвязей различных совокупностей деструктивных действий, которые могут иметь место в компьютерной системе. При ограниченном времени имеется лишь определенная вероятность выполнения того или иного сочетания деструктивных действий, уменьшающаяся с уменьшением отведенного для этого времени.
Первое действие в кортеже выполняется по мере получения доступа к блоку информации за время г t, второе после первого за время г 2 и т.д.
Суммарное время выполнения взаимосвязанных действий, входящих в подмножество Qn, составляет величину:
где г рг - среднее время, необходимое для получения несанкционированного доступа;
1 )n-J = 10 ; 2)n-J =30; 3)n-J = 50; при Xdel = 0.5-c
Зависимость вероятности уничтожения не менее J файлов с общим объемом Ѵм от времени
0 - состояние, когда нарушитель начинает поиск информации;
1 - нарушитель просмотрел очередной файл на предмет отнесения его к искомому и либо продолжает поиск, либо предпринимает несанкционированное действие по отношению к нему;
2 - состояние, когда несанкционированное действие в отношении найденного файла завершено;
Xs = = - интенсивность поиска информации;
rs Xlr = = - интенсивность перемещения курсора на очередной файл;
тІГ X = = средняя интенсивность выполнения деструктивного (несанкционированного) действия;
[р0'(О = -А-р„(О + ѴГ(');
[д'(0=ѴГ(').
при начальный условиях: Р0 (0) = \,РХ (0) = Р2 (0) = 0;Р0 (0) =Р[ (0) = Р'г (0) = 0
Граф состояний процесса выполнения несанкционированного действия в случае поиска необходимой нарушителю информации и соответствующая ему система дифференциальных уравнений Колмогорова
Графики зависимости от времени вероятности реализации угрозы, представленной в графическом виде на рисунке 5.10, для точной и приближенной формул расчета
0 - состояние, когда нарушитель начинает поиск информации;
1 - нарушитель завершил поиск очередного файла и начинает анализировать его содержание;
2 - состояние, когда нарушитель завершил анализ содержания файла;
3 - нарушитель принял решение на проведение несанкционированного действия;
4 - нарушитель завершил выполнение несанкционированного действия;
5 - нарушитель не нашел нужного файла и принял решение начать поиск другого файла;
т5 - среднее время поиска блока информации; г„ — среднее время возврата к поиску нового блока информации; г„„ - среднее время анализа блока информации; т<ьс - среднее время, необходимое для принятия решения на выполнение деструктивного действия; Pda: -
вероятность принятия решения на деструктивное действие относительно проанализированного блока информации; - средняя интенсивность
выполнения деструктивного действия;
при начальных условиях: Р0 (0) = 1,^(0) = Р2(0) = Р3(0) = Рл (0) = 0;ij'(0 ) = ij'(0)= Р, (0) = ^'(0) = ^'(0 ) = 0; и Р0 (t) + Ц (t)+ Р2 (t) + Р3 (t) = 1
Граф состояний процесса выполнения несанкционированного действия относительно блока информации и система соответствующих процессу дифференциальных уравнений
- a)Tdec + Td = 1 с , Ts + Тт + Ttr = 5 с
б) Текс + Td = 5 с , ts + Топ + Ти = 20 с
Зависимости вероятности выполнения деструктивного действия от времени и параметров динамики процесса подготовки и выполнения деструктивного действия
0 - состояние, когда нарушитель начинает поиск информации (компьютер включен, операционная среда загружена);
1 - нарушитель просмотрел очередной файл на предмет отнесения его к искомому и либо продолжает поиск, либо принял решение на выполнение несанкционированного действия;
2 - нарушитель выполнил первое несанкционированное действие из предусмотренного кортежа;
3 - нарушитель выполнил первое несанкционированное действие из предусмотренного кортежа;
при начальных условиях: Р0 (0) = 1,/j (0) = Р2(0) = Р3(0) = 0;Р0'(0) = Pj (0) = Р2 (О) = Р3'(0) = 0 и Р0 (t)+ j=(r)+ Р2 (t) + P3 (f) = l
Граф состояний процесса выполнения совокупности двух деструктивных действий в случае поиска необходимой нарушителю информации
Если последовательность выбора блоков информации нарушителем произвольная и равновероятная, относительно каждого блока могут быть проведены деструктивные действия из любого сочетания, входящего в множество Q, то общее количество вариантов выполнения деструктивных действий относительно J блоков информации составит величину NJ -Л. Каждый вариант представляет собой в этом случае кортеж действий относительно определенной последовательности (перестановки) блоков информации. Если обозначить номер каждой перестановки через г е R, где R = 7!, а номер каждого кортежа действий (в том числе и повторяющихся от блока к блоку) через г е Z , то плотность вероятности выполнения кортежа деструктивных действий для г-й перестановке определяется по формуле:
где Jr - множество номеров, соответствующее г-й перестановке блоков информации, а вероятность выполнения деструктивных действий и среднее время - по формулам (5.91) и (5.92) соответственно.
Вероятностно временные характеристики динамики выполнения деструктивных действий в отдельном компьютере при моделировании с использованием аппарата марковских процессов
Наименование модели Условия моделирования Соотношения для расчета вероятностно - временных характеристик Принятые обозначения
Модель динамики выполнения деструктивного действия относительно любого одного блока информации
Нарушитель случайно выбирает любой из блоков информации /’,«) = !-«' Г‘ Г? - среднее время, необходимое для выполнения деструктивного действия
Модель динамики выполнения деструктивного действия относительно многих блоков информации
Блоки информации (файлы), относительно которых выполняется это действие, выбираются случайно .J .у у J г»в г* fA t - 1 - 1 7 - ^ 1 1
ггиг#/- время, в течение которого происходит деструктивное действие относительно всех блоков информации и относительно j -го блока информации соответственно;
Ѵж и У' - объем всех и j -го блока информации, относительно которого выполняется деструктивное действие;
J - общее количество блоков информации; кя и П - параметры аппроксимирующего у - распределения;
f, t,Tt - среднее время перемещения курсора на j -й блок информации и выделения группы блоков
' г, к-Ѵ, ' ' rfr, (І+.ѵ-г,Н'--*’ J
rs = Y\r„ +re t)] - при последовательном перемещения курсора от файла (блока) к файлу (блоку);
Ге = Г, + гf , - при выделении группы блоков (каталогов, файлов)
Пример расчета для процедуры уничтожения файлов приведен на рисунке 5.10
Модель динамики выполнения деструктивного действия относительно заранее известного именованного блока информации
Нарушитель осуществляет поиск блока информации по его имени "вручную" и выполняет деструктивное действие без анализа содержания. Граф состояний процесса выполнения деструктивного действия с предварительным поиском необходимой нарушителю информации и система соответствующих дифференциальных уравнений приведена
..і^ійМй іі-чѴ P^D^-Ae * А-Be 1 t ѣ г
(и-yrf -4Ь)кІ<г -Ah (и* Jif -
+Я(Г +Дв, Ь-W
В первом приближении
Ѣ
Ahyitf -Ah ’
при точном и при- эі на рисунке 5.12
X, «— - интенсивность поиска информации Г,
(Г, - среднее время поиска файла);
3 1
X, = = - интенсивность перемещения кур-
сора на очередной файл (Т„, - среднее время перемещения курсора на очередной файл);
At *»- средняя интенсивность выполнения *е
деструктивного действия ( Тщ - среднее время выполнения деструктивного действия).
Наименование модели
Условия моделирования
Соотношения для расчета вероятностно временных характеристик
Принятые обозначения
Нарушитель осуществляет поиск блока информации по его имени (расширению, дате создания и т.п.) с использованием штатной программы поиска и выполняет деструктивное действие без анализа содержания
і *
pm-і ѴС ГС
(Г.-Г,) (г*-г.)
Г, - среднее время поиска файла;
Tf - среднее время выполнения деструктивного действия
Модель динамики выполнения деструктивного действия относительно блока информации, когда нарушитель должен определить необходимость выполнения деструктивных действий после предварительного анализа его содержания.
Нарушитель осуществляет поиск блока информации по его имени "вручную" и выполняет деструктивное действие после анализа содержания. Граф состояний процесса и система соответствующих дифференциальных уравнений приведены на рисунке 5.13
/’.(»»!—<=хр|— / |.
X (X) г.іѵ + г, --Г(г. + г... -мѵ);
•*Ѵ
График зависимости приведен на рисунке 5.14.
Г. - среднее время поиска блока информации; гѵ- среднее время возврата к поиску нового блока информации,
Гт - среднее время анализа блока информации;
г+г - среднее время, необходимое для принятия решения на выполнение деструктивного действия;
- вероятность принятия решения на деструктивное действие относительно проанализированного блока информации;
Гд- среднее время выполнения деструктивного действия;
% (і)- производная от характеристической функции случайного суммарного времени поиска, анализа содержания и выполнения деструктивного действия;
S- параметр преобразования Лапласа
Взаимосвязь возможных сочетаний несанкционированных действий* в ИС
Номер совокупности действий
Наименование действия (совокупности действий)
Попарная взаимосвязь сочетаний деструктивных действий (совокупности действий)
Уничтожение
Копирование
Модификация
файла
Перемещение
Запуск исполняемого файла
Блокирование 1
Уничтожение 1 0 0 0 0 0 2
Копирование 1 1 1 1 1 1 3
Модификация файла 0 0 1 1 1 1 4
Перемещение файла 0 1 1 1 1 1 5
Запуск исполняемого файла 1 1 1 1 1 1 6
Блокирование 0 0 0 0 0 1 7
Копирование и модификация 0 0 0 1 1 0 8
Копирование и перемещение 0 0 1 0 1 1 9
Копирование и блокирование 0 0 0 0 0 0 10
Модификация и перемещение 0 0 0 0 1 1 11
Модификация и запуск 1 0 0 1 0 1 12
Копирование, модификация и перемещение 0 0 0 0 1 1 13
Копирование, модификация и блокирование 0 0 0 0 0 0 14
Копирование, модификация и запуск 0 0 0 0 0 1 16
Перемещение, модификация, запуск 1 0 0 1 0 1
Во втором столбце указаны статистически независимые действия или сочетания действий. Сначала читается действие или совокупность деструктивных действий во втором столбце и в соответствующей строке при наличии в ней единицы в одном из столбцов, определяется действие, указанное в столбце, которое может быть дополнительно выполнено после выполнения выбранной совокупности действий. Если во втором столбце указывается только одно действие, то ищется второе действие, которое может быть выполнено после него за рассматриваемый период времени, если два, - то третье действие, если три, - то четвертое (маловероятно выполнение большего количества действий относительно одного и того же файла).
