ИГРОВЫЕ МЕТОДЫ ОЦЕНКИ ЭФФЕКТИВНОСТИ СТРАТЕГИИ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

АННОТАЦИЯ

В работе предложены методы оценки эффективности стратегии защиты конфиденциальной информации, основанной на методах теорию игр и теории равновесных решений Нэша. Предложены методики выбора оптимальной по уровня затрачиваемых ресурсов стратегии защиты локальных и корпоративных вычислительных сетей.

Ключевые слова: информационная безопасность, система обнаружения вторжений, функция полезности, равновесие Нэша, модели злоумышленника.

В работе [1] отмечается, что в последнее время актуализируется проблема защиты от DOS атак, направленных на уменьшения быстродействия проверяющих сигнатур или перегрузку сенсоров систем обнаружения вторжений(СОВ), что в свою очередь, представляет серьёзную угрозу уровню информационной безопасности(ИБ) локальных и корпоративных вычислительных сетей(ЛВС и КВС)[2] .

В настоящей работе предлагается игровая модель взаимодействия СОВ и атак на сеть, вызванных действиями злоумышленника(ЗУ).

Представим следующим образом модель взаимодействия СОВ и ЗУ. Каждая атака ЗУ представляет некоторую последовательности шагов, которая порождают некоторый вид активности, обнаруживаемый СОВ. После регистрации первой подозрительной активности СОВ осуществляет попытку предсказать последующие шаги предполагаемого ЗУ, а так же расширяет множество - I_ω∈Ω отслеживаемых параметров. Далее СОВ наблюдает расширенный список отслеживаемых параметров в течение определённого периода времени t_m.

Обозначим J_ω∈Ω множество дополнительных отслеживаемых параметров наблюдения. До фиксации подозрительной активности СОВ наблюдает базовый набор критических параметров. Следовательно, что в это время цена системных ресурсов постоянна. Обозначим S(t) – цену дополнительных ресурсов, затрачиваемых на мониторинг множества J_ω∈Ω. Предположим, что S(t) линейно зависит от t, то есть

где  – средний весовой коэффициент, определяющий цену одного наблюдаемого параметра, k – количество наблюдаемых пар «объект – параметр».

Рассмотрим модель с ненулевой суммой и несколькими итерациями. Считаем, что количество итераций зависит от количества шагов атаки. Предположим, что СОВ и ЗУ априорно предполагают стратегии и функции полезности друг друга.

ЗУ разрабатывает личную стратегию на основе следующего алгоритма действий: {«завершить атаку»; «продолжить без паузы»; «сделать паузу на некоторый период времени»}[3]. Для наглядности игры используем несколько типичных периодов подобных пауз. Считаем, что в случае прекращения нападения или обнаружения СОВ атаки, выигрыш для СОВ будет α у.е, иначе –α у.е.

ЗУ может в зависимости от своих целей реализовать один из векторов атак: проведение атаки на защищаемую систему или же на саму СОВ.

В первом случае он получает условный выигрыш β у.е в случае успешной атаки, а иначе –β у.е. Считая, что Z(t) – стоимость паузы для ЗУ, которую, так же как и в случае с СОВ, для упрощения считаем линейной функцией времени и запишем её в виде:

,

где g — весовой коэффициент, определяющий стоимость единичного периода паузы.

Таким образом, функция полезности для первого типа ЗУ можно представить в следующем виде:

где t_а — пауза между действиями ЗУ,  здесь и далее обозначает выбор ЗУ завершить атаку.

Соответствующая первому типу ЗУ функция полезности СОВ имеет вид:

Для второго типа ЗУ примем, что n — количество генерируемых нападающим различных сигнатур. Так как предполагается, что с увеличением количества наблюдаемых объектов и времени их мониторинга, а также величины n вероятность определить тип ЗУ возрастает, примем, что если n меньше некоторой величины, зависящей от , то атака проходит успешно:

Функцию  используем для упрощения последующих вычислений, где N и  — числовые параметры, задаваемые начальным состоянием системы и особенностями реализации СОВ. Соответствующая второму типу ЗУ функция полезности СОВ:

В соответствии с тем, что игроки выбирают одну из чистых стратегий в соответствии с вероятностями их успешной реализации. Выбор стратегии осуществляется перед началом каждой игры и не меняется до её конца. Так-как каждая чистая стратегия является частным случаем смешанной стратегии [4]. Поэтому решение ищем в смешанных стратегиях. Ожидаемой выплатой для СОВ является:

где , b) — выплата СОВ, когда игроки выбирают стратегии a и b , а p(a) и q(b) — вероятности выбора этих стратегий СОВ и злоумышленника соответственно.

Так ни один из участников игры не может увеличить свой выигрыш, если изменит свое решение в одностороннем порядке, а другие игроки ничего не изменят в своей стратегии. Данная ситуация описывается равновесием Нэша. Для решения данной задачи воспользуемся возможностями программного обеспечения Gambit[5].

Рассмотрим пример того, как работает наша модель. СОВ будет осуществлять выбор на множестве из четырех действий: {₁ = «игнорировать», ₂ = «увеличить количество наблюдаемых пар “объект — параметр” на 50, время мониторинга на 100 с», ₃ = «увеличить количество пар на 100, время мониторинга на 500 с», ₄ =«увеличить количество пар на 200 , время мониторинга на 1500 с»}. ЗУ выбирает на множестве: {b₁ = «завершить нападение», b₂ = «продолжить атаку на защищаемый объект без паузы», b₃ =«сделать паузу на 400 с и продолжить атаку на защищаемый объект», b₄ =«сделать паузу на 1000 с и продолжить атаку на защищаемый объект», b₅ =«сформировать 10 различных сигнатур для атаки на СОВ», b₆ =«сформировать 1000 различных сигнатур для атаки на СОВ»}. Кроме того, при N = 2000,  = 5000,  = 2000 и  = 1,0001. В таблице 1 представлены результаты одного раунда.

Таблица 1.

Результаты первой итерации игры

Таблицы 2 и 3 показывают стратегии игроков.

Таблица 2.

Стратегия ЗУ

Таблица 3.

Стратегия СОВ

В частности, из представленных таблиц видно, что в рассмотренном примере системе обнаружения вторжений следует выбирать с одинаковой вероятностью стратегии a₁ и a₄. В этом случае выплаты игроков будут 1995 у.е. и 0 у.е.  для СОВ и ЗУ соответственно.

Данная методика позволяем выбрать эффективную стратегию защиты конфиденциальной информации основываясь на различных стратегиях СОВ и ЗУ, в следствие чего выбирается оптимальная стратегия с минимизацией стоимости.

Список литературы:

1. Акбарова Ш. А., Ганиев А. А. Классификация IDS // Молодой ученый. — 2017. — №15. — С. 1-3. — URL https://moluch.ru/archive/149/41931/ (дата обращения: 29.03.2019).
2. Емельянов В. Е., Назаров П. В. Анализ процессов и процедур защиты информации // Научный вестник МГТУ ГА серия Информатика.  —  2005. — №92.  (10) . — URL https://cyberleninka.ru/article/v/analiz-protsessov-i-protsedur-zaschity-informatsii (дата обращения: 30.03.2019).
3. Игровые сценарии взаимодействия ложной информационной системы и злоумышленника — URL https://studbooks.net/2043943/informatika/ igrovye_stsenarii_vzaimodeystviya_lozhnoy_informatsionnoy_sistemy_zloumyshlennika (дата обращения: 15.04.2019).
4. Мазалов В. В. Математическая теория игр и приложения. — СПб.; М.; Краснодар: Лань, 2010. — 446 с.
5. Software Tools for Game Theory  — URL  http://www.gambit-project.org/(дата обращения: 03.04.2019).