Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Модели динамики реализации угроз с использованием аппарата полумарковских процессов

Обновлено 14.06.2025 07:06

 

Полумарковские процессы (ПМП) представляют собой обобщение достаточно хорошо изученных в теории вероятностей марковских процессов. Они введены в 1954-1955 гг. независимо П. Леви, В. Смитом и Л. Такачем и сегодня достаточно широко и успешно используются в теории надежности и теории массового обслуживания. В соответствии с [83-85] суть ПМП сводится к следующему. 

Пусть в начальный момент времени t = 0 моделируемый процесс находится в состоянии /е/, в течении некоторого случайного времени Ѳа, после чего процесс мгновенно переходит в состояние /',( / е /). При этом время Ѳ0 - случайная величина с произвольной функцией распределения /г , а переход процесса из состояния і в состояние j происходит с вероятностью

лtj >0 и для любого і выполняется условие <1. Если из состояния j

процесс переходит в состояние к е /, то в состоянии j процесс пребывает случайное время Ѳх, имеющее произвольное распределение Fjk(t) и т.д. (рисунок 5.39).

ПМП так же, как и цепь Маркова, является скачкообразным случайным процессом, при этом распределение времени пребывания ПМП в каждом состоянии не обязательно является показательным, что отличает полумарковский процесс от марковского.

Для ПМП характерно то, что процесс мгновенных вероятностных переходов представляет собой вложенную цепь Маркова. Полу марковский процесс, как и марковский, как правило, представляют в виде ориентированного графа.

Метод вложенных цепей Маркова впервые предложил Д.Кендалл.

Графическое представление полумарковского процесса

Пример графа состояний и переходов полумарковского

процесса

Случайные переходы из состояния в состояние в ПМП определяются матрицей Q{x) = [qtJ{x),i, j е /}, получившей название полумарковской матрицы, которая удовлетворяет следующим условиям [84, 85]:

1) qtJ(t) = 0, если ^<0;

2) Чі, (<) - неубывающие, непрерывные справа функции для t > 0;

3) < 1 — функция распределения времени пребывания процесса в состоянии і.

Примеры полумарковских матриц [85]:

Ро(') = 0, р„(0 = е-л‘-(1-е-л‘Г1,П = 1,2,...; (5.119)

qtJ(t)=Kirt>°, IX=1; (5.120)

i.j^i IX=1; (5.121)

qij(t) = ntj-Fi(t),t>0, X^=L (5.122)

В соответствии с [85] ПМП может быть задан четырьмя следующими способами:

1) начальным распределением р = {pt,i е /}, с помощью которого выбирается исходное состояние і, и полу марковской матрицей Q(t);

2) начальным распределением р-{рі,іеі}, матрицей переходных вероятностей вложенной цепи Маркова {лѵ),(/',/) е I и матрицей функции распределения /ф (?),(/,/ е I) времени пребывания процесса в состоянии/ при условии, что переход осуществляется в состояние j;

3) начальным распределением p = {pt,i<=l}, вектором функции распределения Е[(?) времени пребывания и матрицей <7,..(?) условных вероятностей того, что ПМП £(?) попадет в состояние j , пробыв в состоянии і время, равное ?.

С помощью полумарковской матрицы определяются переходные вероятности F1 (?) путем решения системы интегро-дифференциальных уравнений следующего вида:

Fv(?) = [l-E(?)] • 8Ѵ + X\qt (*) • FkJ(?-x)dx,(k,i, j) £ /,? > 0, (5.123)

где qл (?) - производная от функции (элемента полумарковской матрицы);

P,(t) - вероятность того, что процесс не покинет і состояния в момент времени ?;

ду - символ Кронекера.

Если определить время пребывания в состоянии і при условии, что после его окончания процесс перейдет в состояние j через dtj, то время Ѳі

пребывания ПМП в состоянии г вычисляется из соотношения:

Ѳі=ЦѲѵ, (5-124)

а переходные вероятности кц - по формуле:

Пц = Ѳіі/Ѳі = Ѳ^Ѳірі, j el (5.125)

С учетом этих соотношений возможно и четвертое представление ПМП, которое включает в себя начальное распределение р = {ргі е и матрицу (61.}, при этом независимые неотрицательные величины 61. имеют распределения в виде:

С помощью аппарата ПМП можно рассчитать вероятностно-временные характеристики перехода моделируемого случайного процесса с начального в любое последующее состояние.

Пример 5.6. Пусть необходимо рассчитать вероятностно-временные характеристики реализации угрозы несанкционированного доступа к файлу с конфиденциальной информацией одним из следующих двух способов: 1) путем повышения привилегий и 2) путем изменения учетных записей. Оба способа основаны на внедрении соответствующих вредоносных программ. Вероятность применения первого способа составляет яг,, а второго - яг,. Граф соответствующего полумарковского процесса приведен на рисунке 5.41.

Пусть времена переходов подчиняются экспоненциальным распределениям с плотностями распределения времени пребывания в /-м состоянии:

При этом #01 - #12 - #25 - #1 и #03 = #34 = #45 = #2 •

Из формулы (5.127) следует, что плотность распределения вероятности перехода процесса из начального в конечное состояние (состояние 8) является сверткой плотностей распределения вероятностей переходов из состояния в состояние по траекториям перемещения, соответствующим первому и второму способам доступа.

Состояния процесса:

0 - запущен процесс внедрения вредоносных программ или для изменения учетных записей, или для повышения привилегий с несанкционированным использованием системных функций;

1 - внедрена вредоносная программа для изменения учетных записей и запущена на выполнение, изменена учетная запись, созданы условия для проникновения к файлу с конфиденциальной информацией, начата попытка проникновения;

2 - получен доступ к файл}' с конфиденциальной информацией, начато копирование файла в выбранную область памяти или на флэш-носитель;

3 - внедрена и запущена на выполнение вредоносная программа для повышения привилегий атакующего;

4 - повышены привилегии атакующего, начата попытка проникновения;

5 - получен доступ к файлу с конфиденциальной информацией, файл скопирован в выбранную область памяти или на флэш-носитель, угроза реализована.

Граф полумарковского процесса реализации угрозы несанкционированного доступа к файлам защищаемой информации двумя способами.

Тогда:

/* (0 = /О1(0*^(0*/М(0

несанкционированного доступа;

/of (0 = /оз (0 * /з4 (0 * /45 (О для второго способа несанкционированного доступа, где знак * означает операцию свертки [92,97]. При экспоненциальном приближении это приводит к соотношениям:

/ •е /м2)(0 = ~г-^ (5.128)

Вероятность того, что за время t процесс достигнет конечного состояния, определяется из соотношения:

/ t F05 (0 = ^ • J/of 00 • dx + л-2 • J/0(f (x) • fix (5.129)

0 0

или

F05(l) = l-/-e 4 \-L= + L + \-jr2-e 02 -|-Ц: + = + і|. (5Л30) [2-^ О J [2-Ѳ; Ѳ2 J

График полученной зависимости для выбранных значений средних времен выполнения парциальных процессов приведен.

График зависимости вероятности достижения моделируемым процессом конечного состояния за время/ при жх =0.4, ж, =0.6/, = \,Ѳ2 =2

Аппарат ПМП сегодня применяепся, в основном, в теории надежности, при анализе и построении систем массового обслуживания. Находит он применение также и при решении некоторых задач в предметной области защиты информации в информационных системах.

Однако в традиционном представлении этот аппарат имеет определенные ограничения, не позволяющие создавать целый ряд важных для практики моделей динамики реализации угроз безопасности информации в ИС.

К основным из них относятся следующие:

невозможность учета логических условий, которые могут иметь место в моделируемых процессах;

сложность моделирования циклических операций с задаваемыми условиями завершения их выполнения (например, по количеству выполненных циклов);

наличие только одного начального состояния процесса, в то время как могут иметь место несколько состояний, из которых может начинаться процесс с определенными (возможно случайными) задержками во времени.

В разделе 6 рассмотрены расширения аппарата ПМП, позволяющие парировать эти и иные ограничения и значительно расширить его моделирующие возможности.