Модели динамики реализации угроз с использованием аппарата полумарковских процессов
Полумарковские процессы (ПМП) представляют собой обобщение достаточно хорошо изученных в теории вероятностей марковских процессов. Они введены в 1954-1955 гг. независимо П. Леви, В. Смитом и Л. Такачем и сегодня достаточно широко и успешно используются в теории надежности и теории массового обслуживания. В соответствии с [83-85] суть ПМП сводится к следующему.
Пусть в начальный момент времени t = 0 моделируемый процесс находится в состоянии /е/, в течении некоторого случайного времени Ѳа, после чего процесс мгновенно переходит в состояние /',( / е /). При этом время Ѳ0 - случайная величина с произвольной функцией распределения /г , а переход процесса из состояния і в состояние j происходит с вероятностью
лtj >0 и для любого і выполняется условие <1. Если из состояния j
процесс переходит в состояние к е /, то в состоянии j процесс пребывает случайное время Ѳх, имеющее произвольное распределение Fjk(t) и т.д. (рисунок 5.39).
ПМП так же, как и цепь Маркова, является скачкообразным случайным процессом, при этом распределение времени пребывания ПМП в каждом состоянии не обязательно является показательным, что отличает полумарковский процесс от марковского.
Для ПМП характерно то, что процесс мгновенных вероятностных переходов представляет собой вложенную цепь Маркова. Полу марковский процесс, как и марковский, как правило, представляют в виде ориентированного графа.
Метод вложенных цепей Маркова впервые предложил Д.Кендалл.
Графическое представление полумарковского процесса
Пример графа состояний и переходов полумарковского
процесса
Случайные переходы из состояния в состояние в ПМП определяются матрицей Q{x) = [qtJ{x),i, j е /}, получившей название полумарковской матрицы, которая удовлетворяет следующим условиям [84, 85]:
1) qtJ(t) = 0, если ^<0;
2) Чі, (<) - неубывающие, непрерывные справа функции для t > 0;
3) < 1 — функция распределения времени пребывания процесса в состоянии і.
Примеры полумарковских матриц [85]:
Ро(') = 0, р„(0 = е-л‘-(1-е-л‘Г1,П = 1,2,...; (5.119)
qtJ(t)=Kirt>°, IX=1; (5.120)
i.j^i IX=1; (5.121)
qij(t) = ntj-Fi(t),t>0, X^=L (5.122)
В соответствии с [85] ПМП может быть задан четырьмя следующими способами:
1) начальным распределением р = {pt,i е /}, с помощью которого выбирается исходное состояние і, и полу марковской матрицей Q(t);
2) начальным распределением р-{рі,іеі}, матрицей переходных вероятностей вложенной цепи Маркова {лѵ),(/',/) е I и матрицей функции распределения /ф (?),(/,/ е I) времени пребывания процесса в состоянии/ при условии, что переход осуществляется в состояние j;
3) начальным распределением p = {pt,i<=l}, вектором функции распределения Е[(?) времени пребывания и матрицей <7,..(?) условных вероятностей того, что ПМП £(?) попадет в состояние j , пробыв в состоянии і время, равное ?.
С помощью полумарковской матрицы определяются переходные вероятности F1 (?) путем решения системы интегро-дифференциальных уравнений следующего вида:
Fv(?) = [l-E(?)] • 8Ѵ + X\qt (*) • FkJ(?-x)dx,(k,i, j) £ /,? > 0, (5.123)
где qл (?) - производная от функции (элемента полумарковской матрицы);
P,(t) - вероятность того, что процесс не покинет і состояния в момент времени ?;
ду - символ Кронекера.
Если определить время пребывания в состоянии і при условии, что после его окончания процесс перейдет в состояние j через dtj, то время Ѳі
пребывания ПМП в состоянии г вычисляется из соотношения:
Ѳі=ЦѲѵ, (5-124)
а переходные вероятности кц - по формуле:
Пц = Ѳіі/Ѳі = Ѳ^Ѳірі, j el (5.125)
С учетом этих соотношений возможно и четвертое представление ПМП, которое включает в себя начальное распределение р = {ргі е и матрицу (61.}, при этом независимые неотрицательные величины 61. имеют распределения в виде:
С помощью аппарата ПМП можно рассчитать вероятностно-временные характеристики перехода моделируемого случайного процесса с начального в любое последующее состояние.
Пример 5.6. Пусть необходимо рассчитать вероятностно-временные характеристики реализации угрозы несанкционированного доступа к файлу с конфиденциальной информацией одним из следующих двух способов: 1) путем повышения привилегий и 2) путем изменения учетных записей. Оба способа основаны на внедрении соответствующих вредоносных программ. Вероятность применения первого способа составляет яг,, а второго - яг,. Граф соответствующего полумарковского процесса приведен на рисунке 5.41.
Пусть времена переходов подчиняются экспоненциальным распределениям с плотностями распределения времени пребывания в /-м состоянии:
При этом #01 - #12 - #25 - #1 и #03 = #34 = #45 = #2 •
Из формулы (5.127) следует, что плотность распределения вероятности перехода процесса из начального в конечное состояние (состояние 8) является сверткой плотностей распределения вероятностей переходов из состояния в состояние по траекториям перемещения, соответствующим первому и второму способам доступа.
Состояния процесса:
0 - запущен процесс внедрения вредоносных программ или для изменения учетных записей, или для повышения привилегий с несанкционированным использованием системных функций;
1 - внедрена вредоносная программа для изменения учетных записей и запущена на выполнение, изменена учетная запись, созданы условия для проникновения к файлу с конфиденциальной информацией, начата попытка проникновения;
2 - получен доступ к файл}' с конфиденциальной информацией, начато копирование файла в выбранную область памяти или на флэш-носитель;
3 - внедрена и запущена на выполнение вредоносная программа для повышения привилегий атакующего;
4 - повышены привилегии атакующего, начата попытка проникновения;
5 - получен доступ к файлу с конфиденциальной информацией, файл скопирован в выбранную область памяти или на флэш-носитель, угроза реализована.
Граф полумарковского процесса реализации угрозы несанкционированного доступа к файлам защищаемой информации двумя способами.
Тогда:
/* (0 = /О1(0*^(0*/М(0
несанкционированного доступа;
/of (0 = /оз (0 * /з4 (0 * /45 (О для второго способа несанкционированного доступа, где знак * означает операцию свертки [92,97]. При экспоненциальном приближении это приводит к соотношениям:
/ •е /м2)(0 = ~г-^ (5.128)
Вероятность того, что за время t процесс достигнет конечного состояния, определяется из соотношения:
/ t F05 (0 = ^ • J/of 00 • dx + л-2 • J/0(f (x) • fix (5.129)
0 0
или
F05(l) = l-/-e 4 \-L= + L + \-jr2-e 02 -|-Ц: + = + і|. (5Л30) [2-^ О J [2-Ѳ; Ѳ2 J
График полученной зависимости для выбранных значений средних времен выполнения парциальных процессов приведен.
График зависимости вероятности достижения моделируемым процессом конечного состояния за время/ при жх =0.4, ж, =0.6/, = \,Ѳ2 =2
Аппарат ПМП сегодня применяепся, в основном, в теории надежности, при анализе и построении систем массового обслуживания. Находит он применение также и при решении некоторых задач в предметной области защиты информации в информационных системах.
Однако в традиционном представлении этот аппарат имеет определенные ограничения, не позволяющие создавать целый ряд важных для практики моделей динамики реализации угроз безопасности информации в ИС.
К основным из них относятся следующие:
невозможность учета логических условий, которые могут иметь место в моделируемых процессах;
сложность моделирования циклических операций с задаваемыми условиями завершения их выполнения (например, по количеству выполненных циклов);
наличие только одного начального состояния процесса, в то время как могут иметь место несколько состояний, из которых может начинаться процесс с определенными (возможно случайными) задержками во времени.
В разделе 6 рассмотрены расширения аппарата ПМП, позволяющие парировать эти и иные ограничения и значительно расширить его моделирующие возможности.