Фаткиева Роза Равильевна МЕТОД МНОГОКРИТЕРИАЛЬНОЙ ОЦЕНКИ ЭФФЕКТИВНОСТИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

Проектирование надежной и защищенной Информационной Системы Основные проблемы проектирования Непредсказуемость состояний элементов Сложность поведения Большое число степеней свободы Важнейшим аспектом проблемы обеспечения безопасности является определение, анализ и классификация возможных угроз безопасности. Из которых наибольшую опасность и актуальность представляют угрозы - искусственные по происхождению, преднамеренные по характеру возникновения.

Примерами угроз являются «Компьютерный абордаж» (подбор пароля) «Маскарад» (проникновение в систему под видом законного пользователя) «Мистификация» (осуществление связи законного пользователя с нелегальным терминалом) Dos (отказ в обслуживании) DDos (распределенная атака) Атака – попытка реализации угрозы через имеющиеся уязвимости

Модели атак Традиционная модель атаки один к одном один ко многим Сетевые средства защиты (межсетевых экранов, систем обнаружения атак и т.д.) ориентированы на традиционную модель атаки. Агенты системы защиты, передают информацию на центральную консоль управления, что позволяет осуществлять масштабирование и простоту удаленного управления. Однако такая модель не справляется с распределенными атаками.

1. Распределенные атаки основаны на "классических" атаках типа "отказ в обслуживании", Результатом атаки является "захлебывание сервера в лавине посылаемых пакетов и не сможет обрабатывать запросы авторизованных пользователей (SYN-Flood, UDP Flood и т.д. ) 2. Атака происходит уже не из одной точки Internet, а сразу из нескольких, что приводит к резкому возрастанию трафика и выведению атакуемого узла из строя. Модели атак

Виды атак Удаленное проникновение (удаленное управление через сеть. Примеры NetBus или BackOrifice). Локальное проникновение (НСД к узлу на котором запущена. Пример GetAdmin). Удаленный отказ в обслуживании (Нарушение функционирование компьютера через Internet. Примеры Teardrop или trin00). Локальный отказ в обслуживании (Нарушение функционирование компьютера на котором реализуются атака. Пример "враждебный" апплет ). Сетевые сканеры (Анализ топологии сети и обнаружение сервисов, доступных для атаки. Пример nmap). Сканеры уязвимостей (поиск уязвимостей на узлах сети и использование для атак. Примеры SATAN или ShadowSecurityScanner). Взломщики паролей (Подбор паролей пользователей. Примеры L0phtCrack для Windows или Crack для Unix). Анализаторы протоколов (прослушивание сетевого трафика. Для поиска идентификаторы и пароли пользователей. Примеры Microsoft Network Monitor или LanExplorer).

Реализуемость основных атак (по данным Ernst&Young, 2003)

Рост атак Число официально зарегистрированных в мире сетевых инцидентов различного рода возрастает экспоненциально, что совпадает с ростом числа узлов в Интернет

Методы моделирования Для прогнозирования поведения Информационной Системы, под воздействием атак используются модели: нейронные сети; вероятностные модели; временные ряды и др.

Проблемы применения методов моделирования динамических информационных систем сложность формального представления процессов функционирования из-за сложности формализации действий человека; многообразие архитектур ИС, которое обуславливается множественностью путей объединения подсистем в единую систему; большое число взаимосвязанных между собой элементов и подсистем; сложность функций, выполняемых системой; функционирование систем в условиях неполной определенности и случайности процессов, оказывающих воздействие на систему; существование интегрированных признаков, присущих системе в целом, но не свойственных каждому элементу в отдельности; наличие управления, часто имеющего сложную иерархическую структуру; разветвленность и высокая интенсивность информационных потоков Перечисленные особенности обуславливают трудности применения аппарата нейронных сетей и предсказание поведения временных рядов.

Условия применения пуассоновских процессов для моделирования атак Следуя теореме Пуанкаре (Если P-фазовое пространство со счетной базой, а инвариантная мера μ вероятностная, т.е. μ (P)=1, то почти все точки x в смысле меры μ устойчивы по Пуассону) поведения динамической системы описываем на основе приближения Пуассона. Покажем условия применения: 1. Однородность (для любой группы конечного числа непересекающихся интервалов времени вероятность появления в них Y={Y 1,Y 2,...Y n …Y N } атак, зависит от этих чисел и длин промежутков времени) 2. Отсутствие последействия (для любых, не перекрывающихся участков времени n числа, равные количеству атак, попадающих на эти участки, представляют собой независимые случайные величины в совокупности) 3. Ординарность (означает, что вероятность попадания на элементарный участок (t) двух или более событий (атак) пренебрежимо мала по сравнению с вероятностью попадания на него ровно одного события)

Определения Поток атак– последовательность однородных атак, появляющихся одна за другой в случайные моменты времени. Интенсивность потока атак ζ nm (t) -это среднее число атак, приходящиеся на единицу времени. Множество элементов средств защиты Z={Z 1,Z 2,...Z m …Z M } Множество атак Y={Y 1,Y 2,...Y n …Y N } Множество вероятностей реализации атак P={P 11, P 12,...,P nm,...P N }

М одель воздействия атак на Информационную Систему Граф для множества отношений множество атак -элементы ИС

Вероятностная модель воздействия атак Z1Z1 Z2Z2...ZmZm ZMZM Y1Y1 ζ 11 (t)ζ 12 (t)...ζ 1m (t)...ζ 1M (t) Y2Y2 ζ 21 (t)ζ 22 (t)...ζ 2m (t)...ζ 2M (t)... YnYn ζ n1 (t)ζ n2 (t)...ζ nm (t)...ζ nM (t)... YNYN ζ N1 (t)ζ N2 (t)...ζ Nm (t)...ζ NM (t) Интенсивности потока атак на ИC где множество атак = N множество элементов защиты = M Вероятность возникновения независимых атак на ИС где а – количество атак (1) (2),

Модель поведения Информационной Системы Вектор состояний m-го эле­мента защиты Вектор состояний информационной системы под воздействием комбинаций атак (3) (4)

Модель поведения Информационной Системы под воздействием атак Вероятности перехода из состояния в состояние Дискретный марковский процесс поведения Информационной системы при воздействии атак на интервале t Качественный анализ уравнения позволяет выявить наиболее опасные атаки на конкретных этапах функционирования информационной системы; Классифицировать атаки для Информационной Системы определить наиболее уязвимые элементы информационной системы (5) (6)

Пример вектора состояний z 0 - элемент выполняет задачу с заданным качеством; z 1 - элемент атакован, но это не обнаружено; z 2 - обнаружено снижение качества выполнения задачи ИС, ведется устранение причин нарушения безопасности ИС; z 3- элемент атакован во время устранения причин нарушения безопасности ИС.

Граф переходов между подмножествами состояний элемента защиты Z m Матрица интенсивностей z0z0 Z3Z3 z2z2 z1z1

Пример НСД z 0 механизмы аутентификации работают надлежащим образом z 1 имеется попытка подбора пароля, не замеченная системным администратором z 2 обнаружена попытка несанкционированного входа в информационную систему z 3 несанкционированный вход во время смены пароля

Модель системы защиты информации Вероятность нарушения безопасности объекта E т при условии защиты элементом Z m Интенсивность нарушения безопасности объекта E т при условии защиты элементом Z m (8) (9)

Анализ поведения системы под воздействием атак позволяет определить наиболее уязвимые места информационной системы; определить закономерности поведения информационной системы под воздействием атак с учетом имеющихся элементов защиты; Однако оценки параметров средств защиты информации в условиях высокой степени неопределенности условий ее функционирования должны вычисляться с использованием не одной математической модели, а согласованного семейства моделей, адаптивно конструирующихся одна из другой и, таким образом, непрерывно совершенствующихся на основе оптимального выбора исходных данных. Для сведения данных моделирования на основе семейства моделей или данных экспертных оценок необходимо применение методов многокритериальной оценки.

Особенности построения интегральных показателей систем защиты неполнота и неопределенность исходной информации о составе Информационной Системы и характерных угрозах; многокритериальность задачи, связанная с необходимостью учета большого числа частных показателей (требований) средств защиты информации; наличие как количественных, так и качественных показателей, которые необходимо учитывать при решении задач разработки и внедрения средств защиты информации; необходимость минимизации средств защиты входящих в Информационную систему, так как процедура защиты ресурсоемкая и дорогостоящая.

Метод оценки эффективности Средств Защиты Информации Зависимость общего доверительного интервала вероятностей от частных оценок и компетентности экспертов. 1.Среднее значение места x i -го показателя по данным всех m экс­пертов где с ij - значение места i-го показателя, по данным j-го эксперта 2. Среднее квадратичное отклонение i-ого показателя места от его среднего значения х i 3. Коэффициент компетентности эксперта где а r –ранг полученный при первичном ранжировании (10) (11) (12)

Повторное ранжирование 4. Повторное ранжирование n-показателей с учетом компетентности экспертов 5. Доверительный интервал 6.Коэффициент значимости показателя (13) (14) (15)

1. Строится матрица вероятностей, элементами которой являются 2. Вычисляется значение коэффициента согласия. 3. Поверяется W H >0.55 Зависимость конечного результата экспертизы и ее состоятельности от согласованности оценок экспертов (16) (17)

Нормирование частных характеристик При увеличении x i повышается эффектив­ность При уменьшении x i повышается эффективность Обобщенный показатель эффективности Аддитивная форма Квадратичная форма Мультипликативная форма (19) (20) (18)

Блок схема алгоритма экспертного оценивания Начало Выбор показателей Ранжирование Согласованность Повторное ранжирование Выбор значимых показателей Определение коэффициентов значимости Присваивание числовых значений Построение ОПЭ Устраивает ОПЭ Конец Замена экспертов Нормирование Нет Да Нет Да

Пример выбора алгоритма шифрования Характеристики Алгоритмы 1. Длина ключа 2. Количество итераций 3. Фаза аутентификации 4. Генерация подключей 5. Длина блока 6. Диффузия 7. Генератор псевдослучайных чисел 8. Скорость шифрации 9. Кодирование 10. Способ реализации 1. Blowfish 2. IDEA 3. ГОСТ 4. MARS 5. Rijndael

Предварительное ранжирование показателей Эксперты среднее среднек вадрати чное ранг ,5 11,40, ,53,10, ,5443,540, ,5 21,60, , , ,55554,90,

Определение согласия экспертов Матрица ранговых оценок 11,5233,544,556,59 1.0,20,8 2.0,80, ,20,60,2 5.0,80, ,20,8 10.1

Определение согласия экспертов Вычисление коэффициента согласия 11,5233,544,556, ,14-0, ,08-0, ,14-0,13-0, ,08-0, ,14-0,

Определение компетентности экспертов РангиD -1 коэф фиц иент , , ,27 2.0, ,12 3.0, ,50,07 4.0, , , ,27

Повторное ранжирование Коэффициенты компетентности среднее среднек вадрати чное ранг ,270,120,070, ,0700,041,340,051, ,043,130, ,09000,053,930, ,041,630,051, , , ,050004,930,

Нормирование частных характеристик Характеристика Вес Ед. измерения xixi x i max x i min Blowfish IDEA ГОСТ MARS Rijndael 1Длина ключа0,35 бит 448/ 0,86 128/ 0,4 256/ 0,43 448/ 0,86 256/ 0, Длина блока0,35 бит 64/0 128/ 0,14 256/ 0, Количество итераций0,17 ед. 16/0 128/1 56/0, Генерация подключей 0,13 ед. 52/ 0,92 52/ 0,92 8/010/ 0,04 56/1568

Построение Обобщенного Показателя эффективности Алгоритмы BlowfishIDEAГОСТMARSRijndael ОПЭ0,420,260,320,520,50