Russian Federation
Russian Federation
Based on the apparatus of regenerating processes, a model is analyzed that describes the process of malicious attacks on a protected object of critical information infrastructure (CII). It is assumed that the intervals between the successive moments of preparation and implementation of malicious attacks are completely independent. These intervals are quite large for each of the attack sources, and the sources do not communicate with each other. The probability of a successful attack from a single source is quite low, so the moments of a successful attack for each of the attack sources are far enough apart from each other. As a result, the event associated with the successful completion of the attack for the attacker is a rare event. However, due to the fact that a successful attack on a CII facility generates large losses and costs, it becomes necessary to study the process under consideration. The main characteristic under study within the framework of the described model is the first (nearest) moment of successful malicious attack. This characteristic is one of the most important for the process of countering attacks. Numerical estimates of the parameters of the moment of the first successful attack will make it possible to more adaptively organize the process of countering attacks by implementing additional information security measures at the most dangerous and vulnerable time intervals. The analysis of this characteristic was performed in the context of the heterogeneity of the behavior of the entire process of countering attacks and countering them. It is assumed that the intervals between successive moments of attacks and the probabilities of attack success vary over time according to a power law on average. This assumption reflects the process of dynamic change in the sources of attacks and in the protection system of the CII facility. An asymptotic relationship is derived for the normal value of the moment of the first attack in conditions when the intervals between successive moments of attacks grow indefinitely, but at the same time the number of attack sources increases so that the average proportion of successful attacks tends to a certain non-zero limit. Asymptotic expressions for the average time to the nearest attack are obtained.
information security, critical infrastructure object, time of the nearest successful attack, non-homogeneous regenerative processes, rare events, asymptotic behavior, power-law variation over time
Введение
В настоящее время объекты ключевой информационной инфраструктуры (КИИ) в России подвергаются интенсивным атакам на всех уровнях: физическом, информационном, военно-диверсионном
и др., поэтому задача повышения их надежности и защищенности является актуальной. Ввиду высокой защищенности объектов КИИ вероятность совершения злонамеренной успешной атаки крайне мала, но возможный ущерб может быть очень большим, т. е. риски в сфере обеспечения информационной безопасности (ИБ) в результате достаточно значимы, поэтому целесообразно их оценить. Ключевой характеристикой, необходимой для оценки рисков, является совокупная вероятность успешности злонамеренной атаки. Именно эта характеристика и рассматривается в работе. Ввиду малой величины вероятностей и редкости успешных атак для изучения указанных вероятностей предлагается использовать аппарат редких регенерирующих процессов [1–3]. В данной работе рассматривается задача оценки вероятностей возможных атак на объекты КИИ во времени. Опишем рассматриваемую модель более детально.
Модель противоборства злоумышленным атакам
Процесс совершения атак на объект защиты достаточно адекватно описывается восстанавливаемыми системами с очень малой вероятностью происшествия некоторого редкого события. В рамках данной работы таковым является совершение успешной для злоумышленника атаки на объект защиты, примеры приведены в [1–3]. С точки зрения противодействия атакам на объект защиты наибольший интерес представляет ближайший, начиная с данного, момент успешной атаки злоумышленника. Знание этой характеристики позволит более адекватно и своевременно предпринимать меры по противодействию атаке. Применительно к введенной модели на основе регенерирующих процессов данная характеристика описывает момент первого наступления некоторого (редкого) события [2].
В настоящее время для однородных регенерирующих процессов успешно реализован подход, опирающийся на результат А. Д. Соловьева [3]. Однако применительно к процессам обеспечения ИБ условие однородности, как правило, не выполняется. Это связано, прежде всего, с тем, что злоумышленный источник активно, агрессивно ищет новые возможности для проникновения на объект защиты и к защищаемым ресурсам, постоянно совершенствуя и изменяя свои методы и приемы злоумышленного проникновения. Поэтому необходимо обобщить результаты работ по однородным процессам на случай неоднородных регенерирующих процессов. Подобный результат для случая неоднородных процессов был ранее получен в работе [4]. Указанный ниже результат уточняется для важного частного случая, когда характеристики процесса противодействия с течением времени изменяются достаточно регулярным (степенным) образом. Данное предположение вполне приемлемо для сферы ИБ, поскольку в этой сфере резкие революционные изменения в средствах атак и методах противодействия практически не происходят, идет непрерывное устойчивое развитие возможностей как атак, так и средств противодействия им.
Таким образом, работа посвящена получению асимптотической оценки для момента времени совершения первой успешной для злоумышленника атаки на информационные ресурсы объекта защиты, относящегося к объектам КИИ. Предлагаемое решение опирается на методы анализа неоднородных регенерирующих процессов. Работ по неоднородным регенерирующим процессам применительно к данной сфере в доступной литературе найти не удалось. По общей теории однородных регенерирующих процессов достаточно полный обзор приведен в [2]. Работ по использованию аппарата регенерирующих процессов в сфере ИБ найти не удалось, за исключением работ с участием одного из авторов [4–6]. В данной работе основной теоретический результат работы [4] доказывается для случая степенного изменения во времени основных характеристик модели. Представляет интерес работа [7], также отсылающая к исследованию описанной характеристики.
Формализация задачи и предварительные сведения
Для формализации описанной выше задачи приведем вначале ограничения и условия, которые обеспечивают определенную асимптотическую согласованность основных характеристик модели [4].
Пусть задан регенерирующий процесс k(t) с точками регенерации t0 = 0 < t1 < t2 < ... < tn < ...; положим 
. Далее, на промежутке [tn–1, tn) в некоторый момент tn–1 + ηn (0 £ ηn < xn) возможно возникновение события An, представляющего собой успешную для злоумышленника завершившуюся атаку на информационные ресурсы объекта защиты. Предполагается, что событие An
и промежуток времени hn не зависят от значений процесса k(t) вне промежутка [tn–1, tn). Через ck обозначим индикатор события Ak: 
, когда событие Ak происходит, и 
, если не происходит. Основной изучаемой характеристикой является момент tn первого после tn–1 происшествия одного из событий Ak (k ³ n), т. е. успешной для злоумышленника реализации злонамеренной атаки, 
. Введем обозначения (n ³ 1; z ³ 0):
где M – знак математического ожидания. Отметим, что 
.
В работе изучается асимптотическое поведение момента tn в условиях, когда число источников атак растет, но сами атаки становятся более редкими. Указанное положение формализуется путем введения некоторого малого параметра, и чем меньше значение этого параметра, тем меньше значение уменьшения вероятностей редких событий. Таким образом, все перечисленные выше характеристики зависят также от некоторой переменной (параметра) : 
, где – множество допустимых значений переменной γ, представляющее собой интервал или дискретное множество на числовой оси, причем точка 0 есть предельная точка этого множества, поэтому запись «γ → 0» ниже равносильна условию: γ → 0 так, что
.
Для формулировки и доказательства основных утверждений работы воспользуемся условиями на введенные характеристики, которые сформулированы в [4]. Для обеспечения асимптотической сходимости введенных регенерирующих процессов необходимо потребовать определенную регулярность поведения основных характеристик системы. Данное требование в работе охвачено условиями А и Д, приводимыми ниже.
А. Существуют нормирующие функции 
) и для произвольного n ³ 1, z > 0 выполнено соотношение
(1)
Отметим, что функции 
описывают скорость стремления к нулю длительностей промежутков между последовательными моментами совершения атак.
Требование исчезающей редкости злоумышленных действий сформулировано в условии Б; количество точек регенерации на конечном промежутке и, соответственно, попыток злоумышленных действий согласованы в условии В. При этом рост числа интервалов и количества злоумышленных попыток также должны быть синхронизированы для обеспечения определенной регулярности поведения всей модели – условие Г.
Б. Справедливо соотношение 
.
Прежде чем описывать остальные условия, введем обозначения n £ 1, z > 0:
С целью упрощения изложения материала ниже, наряду с обозначением Si(n, g), используется также обозначение Si(n).
В. Для любых γ > 0 и целых n > 0 справедливы соотношения
, (2)
где 
– медленно меняющаяся функция, 
.
При этом справедливы соотношения [4]
(3)
Соотношение (2) и определяет степень регулярности изменения основных характеристик модели в схеме серий, в рамках которой доказывается основной результат. Соотношения (2) и (3) гарантируют существование функций λ1(γ) и λ2(γ) таких, что при согласованном изменении n и γ (напомним, рассматривается схема серий) конечен предел.
Необходимо 
i = 1,2.
Положим
Г. Существует предел:
(4)
То есть поведения процессов совершения атак и противоборства им асимптотически синхронизированы.
Д. При произвольном фиксированном значении переменной x > 0 соотношение (1) справедливо равномерно по всем n £ xl(g):
(5)
Е. Равномерно по k и n £ xl(g), где a и b (0 < a < < b < +¥) – произвольные числа, для любого T ³ 1 имеют место соотношения
где Qn(g) = gn(g) + qn(g) (n ³ 1), при ïNkï < +¥ полагаем Qn(g) = 0 для n > ïNkï; c(A) есть индикатор события A; множества Nk вводятся в [4] и представляют собой разбиение множества всех источников атак на группы однородных.
Требование выполнения соотношения (6) равносильно следующему условию: для любого T ³ 1 равномерно по k (1 £ k £ M) и xÎ(a, b), где a и b (0 < a < b < ¥) – любые числа, существуют пределы:
(8)
Асимптотическое поведение момента совершения первой успешной атаки
Как было указано выше, момент наступления первой успешной злоумышленной атаки в рамках введенной модели совпадает с моментом первого наступления редкого события, поэтому ниже основной результат формулируется на языке редких событий. Предварительно введем некоторые обозначения:
В работе [6] был выведен следующий результат.
Утверждение 1. Пусть выполнены условия A–E. Тогда существует предел:
(9)
Ниже соотношение (9) и используется для получения основного результата работы.
Утверждение 2. Предположим, что выполнены следующие условия:
а) для любого k ≥ 1существует Mξk Tk = Tk(γ), и для любых γ > 0 и n > 0 справедливы соотношения 
, где θi ≥ 0, Li(n) – медленно меняющиеся функции при n → ∞, 
и пусть λ(γ) есть функция такая, что 
;
б) для любого x ≥ 0 равномерно по n ≥ 1 существует предел
(10)
в) для любого x ≥ 0 равномерно по n ≥ 1 справедливо
Тогда существует предел (z ≥ 0):
(11)
При этом среднее время до первого отказа (до первой успешной злоумышленной атаки) равно
(12)
при γ → 0 и 
. Здесь Г(х) – гамма-функция Эйлера.
В частности, если 
, то предельное распределение в (11) представляет собой показательное распределение с параметром 1.
Докажем утверждение 2. Условие Б утверждения 1 следует из условия в) утверждения 2 (см. (10)).
Из определения функции λ(γ) следует:
(13)
Пусть функция m(γ) такова, что выполнено условие
(14)
Отметим, что условие (14) допускает определенную многозначность выбора функции m(γ), что приемлемо при выводе асимптотических соотношений.
Тогда для любого u > 0
,
откуда, ввиду (10), следует: для любого x > 0 равномерно по n ≥ 1
. (15)
Полагая 
, на основе (15) заключаем, что совокупность (по γ) вероятностных мер Φn(x, γ) при γ → 0 равномерно по
n сходится в собственном смысле к вероятностной мере, сосредоточенной в нуле. Отсюда, в силу замечания 2 [8, с. 317], следует, что для любого z > 0 равномерно по n ≥ 1 существует предел
(16)
Соотношение (16) совпадает с соотношением (1), т. е. выполнено условие А с gn(ω) = m(γ)Tn(γ),
ωn(z) = z (n ≥ 1). Далее, поскольку 
где 
имеем:
(17)
при γ → 0 равномерно по n ≥ 1 ввиду условия (15). Следовательно, выполнено условие Д (см. (5)). Таким образом, при выполнении условия (13) имеют место условия А и Д.
Ввиду леммы 2 [4] выполняется соотношение
с M = 1 и ψk(z) = z, т. к. ωn(z) = z для всех n ≥ 1.
Покажем, что условие (4) выполнено при 
. Подсчитаем Mτ. Из (15) [6] имеем:
.
Отсюда после замены переменной m = k – 1 аналогично (16) [6] получаем:
,
откуда следует:
.
Так как 
, то первая часть соотношений (12) утверждения 2 доказана.
Из равенства (12) получаем:
где 
при γ → 0 ввиду условия в) утверждения 2. Отсюда следует: при γ → 0
.
Поскольку для i = 1,2 ввиду условия а) утверждения 2 при фиксированном γ > 0 и y → ∞ выполнено 
, то в силу условия а) утверждения 2 имеем:
.
Воспользовавшись последним соотношением в последнем интегральном соотношении для 
и проведя интегрирование по частям, приходим к асимптотическому соотношению:
На основе общего представления медленно меняющихся функций [9, с. 323], заключаем: при любом выбранном δ > 0 можно выбрать постоянную величину γ1 > 0 такую, что выполнено 
при любом ν ≥ 1. Поэтому справедливо
Таким образом, при любых γ > γ1 и x ≥ 1 выполнено соотношение
([9, с. 323]) 
. Так как 
при x ≤ 1, то из последнего соотношения получаем:
для всех x > 0 и γ > γ1.
Далее, совокупность вероятностных мер (по γ) 
при γ → 0 сходится в собственном смысле к вероятностной мере 
и, следовательно, в силу замечания 2 [8, с. 317], выводим: при γ → 0 выполнено
,
откуда следует асимптотическое соотношение (12).
Так как 
, то из последнего соотношения получаем:
,
откуда выводим справедливость (13) с
.
Таким образом, условия А и Д имеют место при 
.
Из условия а) утверждения 2 выводим:
, (18)
где 
. Поскольку (см. (17)) 
, то из условия а) утверждения 2 очевидно следует, что 
, и, в силу (18), получаем:
. (19)
Выполнение условия В при i = 1 следует из условия а) утверждения 2, т. к. 
. При i = 2 справедливость условия В следует из (18). Из условия а) утверждения 2 следует ; из (18) также следует
. Отсюда вытекает 
, и, следовательно, выполнено условие Г.
Наконец, для проверки выполнения условия Е отметим, прежде всего, что число различных групп M = 1, т. к. ωn(z) = z для всех n ≥ 1. Поэтому условие (8) равносильно условию: для любого T ≥ 1
,
которое вытекает из условий 
для всех i ≥ 1.
Условие (7) равносильно условию 
.
Так как 
, то последнее соотношение следует из (19). При этом 
.
Таким образом, мы доказали справедливость условий А–Е. При этом M = 1, 
. Отсюда, в силу следствия 1 [6], следует соотношение:
.
Из последнего соотношения после замены переменной 
следует соотношение (11).
В частном случае 
и 
Отсюда после замены переменной
выводим:
.
Утверждение 2 доказано.
Таким образом, мы получили асимптотическое распределение (см. (11)) момента ближайшей атаки. Полученное распределение позволяет найти среднее время ожидания до момента ближайшей атаки, построить доверительные интервалы для разных уровней значимости, оценить вероятность злоумышленной атаки на конкретном временном интервале. Все перечисленные характеристики позволяют более адекватно реагировать на возможные атаки, предприняв, ввиду важности объекта, дополнительные усилия по повышению защиты информации на интервалах времени, где указанные характеристики указывают на повышенную вероятность злоумышленной атаки при степенном изменении интенсивности атак во времени.
Заключение
Полученный в работе результат показывает, что при весьма общих ограничениях на поведение исходных характеристик системы момент ближайшей злонамеренной атаки асимптотически сходится
к некоторому из распределений из двухпараметрического класса, описываемого преобразованием Лапласа – Стилтьеса (11). Необходимо исследовать особенности поведения соответствующей функции распределения, что предполагается выполнить в последующих работах. Более того, при некоторых естественных дополнительных ограничениях, охватывающих практически большинство ситуаций применимости утверждения 1, предельное распределение оказывается экспоненциальным. Таким образом, при «разумных» ограничениях поведение момента ближайшей злонамеренной атаки при достаточно большом числе источников атак с высокой степенью точности подчиняется экспоненциальному закону. Отметим следующие важные особенности этого закона:
1) экспоненциальный закон обладает свойством «отсутствия памяти», т. е. время ожидания атаки, начиная с текущего момента, никак не зависит от времени ожидания этой атаки;
2) среднее значение экспоненциального закона и среднее отклонение совпадают, т. е. поток экспоненциально распределенных событий (атак) ведет себя крайне нестабильно, принимая то очень малые значения, то очень большие.
Указанные особенности потока злонамеренных атак порождают нередко «эффект неожиданности» в системе обеспечения ИБ и требуют принятия мер по поддержанию ее непрерывно в полной готовности
1. Gnedenko D. B., Solov'ev A. D. Odna obshchaya model' rezervirovaniya s vosstanovleniem [One common backup model with recovery]. Izvestiya AN SSSR. Tekhnicheskaya kibernetika, 1974, no. 6, pp. 113-119.
2. Gnedenko D. B., Solov'ev A. D. Asimptoticheskaya ocenka nadezhnosti slozhnyh sistem s bystrym vosstanov-leniem [Asymptotic estimation of reliability of complex systems with fast recovery]. Trudy III Vsesoyuznoj shkoly-soveshchaniya po teorii massovogo obsluzhivaniya. Mos-cow, Izd-vo MGU, 1975. Vol. 1. P. 185-197.
3. Solov'ev A. D. Asimptoticheskoe povedenie momenta pervogo nastupleniya redkogo sobytiya v regeneriruyu-shchem processe [Asymptotic behavior of the moment of the first occurrence of a rare event in the regenerating process]. Izvestiya AN SSSR. Tekhnicheskaya kibernetika, 1971, no. 6, pp. 79-90.
4. Popov G. A., Popova E. A., Burmistrova O. V. Analiz vhodnyh uslovij v modeli informacionnoj bezopasnosti, postroennoj na osnove apparata redkih sobytij [Analysis of the input conditions in the information security model based on the apparatus of rare events]. Nauchnyj vestnik NGTU, 2019, vol. 3, pp. 112-131.
5. Popov G. A. Asimptoticheskoe povedenie momenta pervogo nastupleniya redkogo sobytiya v neodnorodnom regeneriruyushchem processe [Asymptotic behavior of the moment of the first occurrence of a rare event in an inhomogeneous regenerating process]. Deponirovano VINITI. N. 2193-V00, 2000. 46 p.
6. Popov G. A., Popov A. G., Laptev P. V. Formalizaciya processa izmeneniya veroyatnosti narusheniya servisov informacionnoj bezopasnosti na osnove apparata redkih sobytij [Formalization of the process of changing the probability of violation of information security services based on the apparatus of rare events]. Nauka, obrazovanie, innovacii: puti razvitiya: materialy VIII Vserossijskoj nauchno-prak-ticheskoj konferencii (Petropavlovsk-Kamchatskij, 23–25 maya 2017 g.). Petropavlovsk-Kamchatskij, Izd-vo Kamchat. GTU, 2017. Pp. 56-61.
7. Tkachenko A. V. Mnogokanal'nye sistemy obslu-zhivaniya s neidentichnymi priborami. Dissertaciya … kand. fiz.-mat. nauk [Multi-channel service systems with non-identical devices. Dissertation ... cand. physico-mathematical sciences]. Moscow, Izd-vo MGU im. M. V. Lomonosova, 2013. 108 p.
8. Shilov G. E. Matematicheskij analiz. Special'nyj kurs [Mathematical analysis. Special course]. Moscow, GIFML, 1961. 436 p.
9. Feller V. Vvedenie v teoriyu veroyatnostej i ee prilozheniya [An introduction to probability theory and its applications]. Moscow, Mir Publ., 1984. Vol. 2. 738 p.
