Алгоритм оценки вероятности вторжений для средств мониторинга безопасности компьютерных систем
Предложен новый алгоритм оценки вероятности вторжений для средств мониторинга безопасности в компьютерных системах, который предусматривает проведение анализа целей вторжений, ранжируемых по степени угроз безопасности компьютерным системам, что позволяет сформировать дифференциальную оценку вероятно...
Збережено в:
| Дата: | 2007 |
|---|---|
| Автори: | , |
| Формат: | Стаття |
| Мова: | Російська |
| Опубліковано: |
Навчально-науковий комплекс "Інститут прикладного системного аналізу" НТУУ "КПІ" МОН та НАН України
2007
|
| Теми: | |
| Онлайн доступ: | https://nasplib.isofts.kiev.ua/handle/123456789/14643 |
| Теги: |
Додати тег
Немає тегів, Будьте першим, хто поставить тег для цього запису!
|
| Назва журналу: | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| Цитувати: | Алгоритм оценки вероятности вторжений для средств мониторинга безопасности компьютерных систем / В.Е. Мухин, А.Н. Волокита // Систем. дослідж. та інформ. технології. — 2007. — № 2. — С. 47-58. — Бібліогр.: 7 назв. — рос. |
Репозитарії
Digital Library of Periodicals of National Academy of Sciences of Ukraine| _version_ | 1859603641481035776 |
|---|---|
| author | Мухин, В.Е. Волокита, А.Н. |
| author_facet | Мухин, В.Е. Волокита, А.Н. |
| citation_txt | Алгоритм оценки вероятности вторжений для средств мониторинга безопасности компьютерных систем / В.Е. Мухин, А.Н. Волокита // Систем. дослідж. та інформ. технології. — 2007. — № 2. — С. 47-58. — Бібліогр.: 7 назв. — рос. |
| collection | DSpace DC |
| description | Предложен новый алгоритм оценки вероятности вторжений для средств мониторинга безопасности в компьютерных системах, который предусматривает проведение анализа целей вторжений, ранжируемых по степени угроз безопасности компьютерным системам, что позволяет сформировать дифференциальную оценку вероятности этих вторжений. Разработанный алгоритм обеспечивает повышение эффективности функционирования систем мониторинга безопасности, построенных на его основе.
A new algorithm for intrusion probability evaluation for safety monitoring mechanisms in computer systems is suggested. The algorithm provides the analysis of the subjects’ intrusion goals, which are ranged according to the levels of the safety threats to computer systems and allows one to generate a differential estimation of the intrusion probability. The developed algorithm ensures an increase in the efficiency of functioning of the safety monitoring systems, based on this algorithm.
Запропоновано новий алгоритм оцінки ймовірності вторгнень для засобів моніторингу безпеки в комп’ютерних системах, який передбачає виконання аналізу цілей вторгнень, що ранжуються за ступенями загроз безпеці комп’ютерним системам, і дозволяє сформувати диференціальну оцінку ймовірності цих вторгнень. Розроблений алгоритм забезпечує підвищення ефективності функціонування систем моніторингу безпеки, побудованих на його основі.
|
| first_indexed | 2025-11-28T01:22:32Z |
| format | Article |
| fulltext |
В.Е. Мухин, А.Н. Волокита, 2007
Системні дослідження та інформаційні технології, 2007, № 2 47
TIДC
ПРОБЛЕМНО І ФУНКЦІОНАЛЬНО
ОРІЄНТОВАНІ КОМП’ЮТЕРНІ СИСТЕМИ ТА
МЕРЕЖІ
УДК 681.14
АЛГОРИТМ ОЦЕНКИ ВЕРОЯТНОСТИ ВТОРЖЕНИЙ ДЛЯ
СРЕДСТВ МОНИТОРИНГА БЕЗОПАСНОСТИ
КОМПЬЮТЕРНЫХ СИСТЕМ
В.Е. МУХИН, А.Н. ВОЛОКИТА
Предложен новый алгоритм оценки вероятности вторжений для средств мони-
торинга безопасности в компьютерных системах, который предусматривает
проведение анализа целей вторжений, ранжируемых по степени угроз безо-
пасности компьютерным системам, что позволяет сформировать дифференци-
альную оценку вероятности этих вторжений. Разработанный алгоритм обеспе-
чивает повышение эффективности функционирования систем мониторинга
безопасности, построенных на его основе.
ОСОБЕННОСТИ СОВРЕМЕННЫХ СИСТЕМ МОНИТОРИНГА
БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ И СЕТЕЙ
Высокая степень информатизации, которая характеризует современное об-
щество, обусловливает зависимость его безопасности от защищенности ис-
пользуемых информационных технологий. Широкое применение компью-
терных систем (КС), позволившее решить задачу автоматизации процессов
обработки постоянно возрастающих объемов информации, сделало эти про-
цессы особенно уязвимыми по отношению к агрессивным воздействиям и
атакам, что породило новую проблему — информационную безопасность.
Опыт эксплуатации современных КС показывает, что проблема инфор-
мационной безопасности еще не решена, ввиду того, что средства защиты не
в состоянии предотвратить нарушения, число которых растет год от года.
Необходима разработка новых подходов к созданию средств защиты ин-
формации, способных обеспечить адекватное противодействие современ-
ным угрозам и удовлетворить постоянно возрастающим требованиям к
безопасности КС и сетей.
Одним из ключевых механизмов защиты информации в современных
КС и сетях являются средства мониторинга безопасности, которые реализу-
ют наблюдение, анализ и прогнозирование состояний безопасности КС. Они
выполняют предварительный анализ, оперативный контроль и реализацию
механизмов реакции на вторжения в КС, что обеспечивает выявление атак
злоумышленников и упреждающее формирование комплекса мер по локали-
зации возможных несанкционированных действий в системе.
В.Е. Мухин, А.Н. Волокита
ISSN 1681–6048 System Research & Information Technologies, 2007, № 2 48
Эффективность системы мониторинга безопасности КС (СМБ КС) во
многом определяется корректностью реализации. Одним из важнейших ее
элементов является алгоритм оценки состояния контролируемого объекта
для формирования реакции средств мониторинга безопасности на потенци-
ально опасные действия в системе [1, 2].
Таким образом, всесторонний анализ современных СМБ требует оцен-
ки свойств алгоритмов формирования вероятности вторжений в КС, исполь-
зуемых при реализации средств мониторинга безопасности [3].
В настоящее время существует несколько основных подходов к реали-
зации средств мониторинга безопасности [4], которые используют:
1. Статистический анализ. Накапливается статистическая информа-
ция о действиях субъектов. В дальнейшем она сравнивается с показателями
нормального поведения легальных субъектов или, наоборот, действий, ха-
рактерных для вторжения. Недостатки данного подхода — субъективный
фактор (эксперты), неоднозначная трактовка получаемых результатов и от-
сутствие возможности адаптивной настройки системы.
2. Экспертная система. Принимает решения о принадлежности того
или иного события к классу атак на основании сформированных правил.
Недостатки этого подхода — высокая сложность практической реализации
системы и субъективные экспертные оценки.
3. Искусственные нейронные сети. Обучаются специальным образом,
чтобы идентифицировать типичные характеристики вторжений или стати-
стически значимые отклонения от нормального режима работы субъектов.
Свойства СМБ на основе данного подхода определяются характеристиками
аппарата нейронных сетей, которые представляют собой так называемый
«черный ящик», что обусловливает вероятность получения необъяснимых
или некорректных результатов.
В целом, для всех известных подходов к построению СМБ КС харак-
терны следующие недостатки:
• Существующие СМБ не способны точно идентифицировать зло-
умышленника, определить его конечную цель и мотив поступков. В общем
случае они лишь блокируют действия злоумышленника, что в будущем мо-
жет привести к повторным атакам [5].
• Алгоритмы формирования вероятности вторжений в СМБ КС опе-
рируют сокращенным вектором опасных действий, сформированным лишь
на основании данных самой системы.
• При определении вероятности вторжения злоумышленников в КС
или сеть не выполняется автоматическое ранжирование угроз их действий
путем анализа потенциального ущерба системе.
• События, связанные с безопасностью КС, инициаторы которых не
выявлены, в дальнейшем игнорируются [6,7].
• Алгоритмы формирования вероятностей вторжений не предусматри-
вают прогнозирования действий нарушителя, которое позволяет сформиро-
вать «ложные уязвимости» для злоумышленника.
Таким образом, разработка новых алгоритмов анализа вероятности
вторжений в СМБ, позволяющих устранить или существенно снизить пред-
ставленные выше характерные недостатки, является актуальной.
Алгоритм оценки вероятности вторжений для средств мониторинга безопасности…
Системні дослідження та інформаційні технології, 2007, № 2 49
УЛУЧШЕННЫЙ АЛГОРИТМ ОЦЕНКИ ВЕРОЯТНОСТИ ВТОРЖЕНИЙ НА
ОСНОВЕ АНАЛИЗА ЦЕЛЕЙ ЗЛОУМЫШЛЕННИКОВ ДЛЯ СИСТЕМ
МОНИТОРИНГА БЕЗОПАСНОСТИ
На основании анализа существующих подходов и алгоритмов мониторинга
безопасности предлагается новый алгоритм оценки вероятности вторжений
в КС, в котором учитываются цели злоумышленников и выполняется груп-
пировка их действий по определенным признакам.
В данном алгоритме для формирования вероятности вторжений в КС
используется расширенный сеансовый вектор }{ nxxx ,, ...,21=X , представ-
ляющий собой счетчики факторов различных угроз безопасности ix , зафик-
сированные средствами сбора информации и проверки состояния КС.
В существующих подходах вектор X характеризуется дублированием
факторов и, как следствие, их избыточностью, а также высокой детализаци-
ей учитываемых параметров угроз, что усложняет дальнейшую его обработ-
ку. В предложенном алгоритме выполняется группирование факторов ix
отдельных, в том числе низкоуровневых, действий нарушителя в более вы-
сокоуровневые события нарушения безопасности, и формируется вектор
действий A (рис. 1).
Элементы вектора A рассчитываются как
∑
=
=
n
i ijj axxa i
1
, (1)
где ijxa — элемент матрицы преобразования
=
nmn
m
xaxa
xaxa
...
......
...
1
111
AX ,
x1
x2
x3
xi
xn
a1
ai
am
xa11
xanm
Рис. 1. Группирование элементов вектора Х в вектор действий A
В.Е. Мухин, А.Н. Волокита
ISSN 1681–6048 System Research & Information Technologies, 2007, № 2 50
причем ijxa — коэффициент, соответствующий весу фактора ix в конечном
действии ja субъекта.
В общем виде выражение (1) можно записать так:
)(XFxa=A , (2)
где xaF — функция преобразования вектора X в вектор A.
Формирование вектора }{ maaa ,...,, 21=A в соответствии с (1) позволяет
минимизировать объем обрабатываемой информации за счет группирования
факторов действий субъектов и при этом, как будет показано далее, более
корректно анализировать ее по сравнению с использованием обычного по-
рогового вектора X .
Вначале коэффициент ijxa определяется на основе статистических
данных о действиях субъектов в КС и экспертных оценок, затем он автома-
тически обновляется по следующему принципу: коэффициент ijxa того
фактора ix , который оказывает большее/меньшее влияние при осуществле-
нии соответствующего действия ja , увеличивается/уменьшается на величи-
ну ∆ ij по формулам
∆+= ijijij xaxa нов , (3)
δ
a
xx
j
ii
ij
−
=∆
нов , (4)
где ∆ ij — коррекция веса фактора ix в действии ja ; новixa — значение
веса фактора ix в действии ja после коррекции; новix — новое значение
фактора ix ; δ — коэффициент настройки факторов.
Кроме того, предложенный алгоритм позволяет модифицировать
состав групп факторов }{x для вектора A , но решение об включе-
нии/исключении факторов принимает администратор.
Таким образом, параметры вторжения представляются в виде кортежа
данных
}{ nss ,..,1 , }{ ctt ,...,1 , }{ dll ,...,1 , }{ emm ,...,
1
, }{ fγγ ,...,1 ,
где is — субъект инициатор события; it — время события; il — место со-
бытия; im — задействованные средства; iγ — степень успешности вторже-
ния.
Далее производится импликация действий субъектов в их цели (рис. 2).
Данное преобразование позволяет прогнозировать возможный сле-
дующий шаг субъекта за счет установления корреляционной зависимости
между целью jg и набором действий }{a , необходимых для ее достижения.
Важность выполнения этого преобразования обусловлена тем, что набор
формально несвязанных действий может преследовать общую цель.
Алгоритм оценки вероятности вторжений для средств мониторинга безопасности…
Системні дослідження та інформаційні технології, 2007, № 2 51
Элемент jg вектора целей G рассчитывается как
∑
=
=
m
i
ijij gaag
1
, (5)
где ijag — коэффициент, показывающий вес действия ia субъекта в дости-
жении цели jg . Данный коэффициент — это элемент весовой матрицы
GA , которая формируется на основании экспертных оценок и статистиче-
ских данных о действиях субъектов.
=
mkm
k
agag
agag
...
......
...
1
111
GA .
Аналогично обновлению коэффициентов ijxa выполняется автомати-
ческое обновление коэффициентов ijag на основании статистики о действи-
ях субъектов в КС.
В общем виде выражение (5) можно представить как
)(AFag=G , (6)
где agF — функция преобразования вектора A в вектор G .
На следующем этапе на основе информации о существующих причин-
но-следственных связях, указывающих на взаимосвязь между вторжениями,
дифференцированными по времени, месту, способу атаки и задействован-
ным средствам, строится вероятностный граф потенциальных целей нару-
шителей (рис. 3).
a1
a2
a3
ai
am
g1
gi
gk
ag11
agmk
Рис. 2. Импликация вектора A в вектор целей G
В.Е. Мухин, А.Н. Волокита
ISSN 1681–6048 System Research & Information Technologies, 2007, № 2 52
Данный граф описывает последовательность потенциальных целей на-
рушителей для реализации вторжений. Вершины графа ig представляют
собой цели, достижение которых позволяет оказывать определенное воздей-
ствие на КС, а дуги ijw — вероятности, показывающие степень возможно-
сти перехода от одной цели к другой. Граф целей позволяет выстроить це-
почку возможных действий злоумышленника, исходя из его текущего
положения в пространстве целей и текущей активности, а также спрогнози-
ровать его следующие шаги и определить потенциальные и возможные ко-
нечные цели и, соответственно, возможные действия.
Так, если известны потенциальные цели злоумышленника, то соответ-
ствующие им действия ia могут быть получены из
)(1 GFag
−=A , (7)
а факторы ix различных угроз безопасности, которые при этом необходимо
контролировать, из
)(1 AFxa
−=X , (8)
где 1−
agF и 1−
xaF — функции обратного преобразования относительно функ-
ций agF и xaF , соответственно.
Полученный прогноз поведения нарушителя может быть использован
для эмуляции уязвимостей и системных сведений (маскарад). Причем в за-
висимости от характера действий и целей злоумышленника могут приме-
няться как сокрытие и дезинформация, так и полная подмена критичных
данных.
Задача средств защиты информации состоит в обеспечении безопасно-
сти информационных ресурсов КС. Таким образом, необходимо установить
соответствие между целями злоумышленника и ресурсами, которые будут
подвержены атакам при реализации этих целей.
g2 g4
g3g1 g7
g6
g8
w13
w36
g5
w24 w48
w57
w35
w67
w45
w78w68
Рис. 3. Вероятностный граф потенциальных целей субъектов
Алгоритм оценки вероятности вторжений для средств мониторинга безопасности…
Системні дослідження та інформаційні технології, 2007, № 2 53
На рис. 4 показано отражение набора целей }{g злоумышленников на
те информационные ресурсы }{r КС, которые будут подвержены воздейст-
вию.
Значение вектора конкретных информационных ресурсов
GRGR
fkkf ×××
×=
11
, (9)
где kG ×1 — вектор целей; fkGR × — матрица преобразования, коэффициен-
ты ijgr которой отражают влияние достигнутых злоумышленником целей
ig в воздействии на информационный ресурс jr КС.
На рис. 5 показан полный цикл преобразования действий нарушителя
ia с помощью формирования соответствующих им наборов целей }{g в
элементы вектора }{r , отражающие степень угрозы действий }{a субъектов
для конкретных информационных ресурсов }{r КС.
Информационная ценность ресурса 1r определяется выражением
grggrgr 4141111 += , (10)
что эквивалентно
+++= gragaagaagar
113132121111
)(
gragaaga
41646343
)( ++ . (11)
Информационная ценность ir ресурса прямо пропорциональна вероят-
ности вторжения ip злоумышленника в КС.
g1
g2
g3
gi
gk
r1
ri
rf
rg11
rgkf
Рис. 4. Отражение набора целей }{g субъектов на ресурсы }{r КС
В.Е. Мухин, А.Н. Волокита
ISSN 1681–6048 System Research & Information Technologies, 2007, № 2 54
Предложенный подход позволяет определить потенциальную ценность
нов1r ресурса ir с помощью вероятностного графа целей (см. рис. 3). Так,
например, если цель 4g еще не достигнута, то
412421нов1
)( grwgrr += . (12)
Как видно из соотношения (12), потенциальная ценность данного ре-
сурса КС больше или равна его текущей ценности.
Текущая информационная ценность ресурса уменьшается в том случае,
если цели злоумышленников (соответственно и их действия) не направлены
на данный информационный ресурс. Далее в предложенном алгоритме фор-
мируется дифференциальная оценка вероятности вторжений ip в КС, учи-
тывающая ранжирование состояний КС, которая определяется как вероят-
ность воздействия на ресурс ir , с учетом коэффициента нормирования ik .
iii rkp = . (13)
Коэффициент нормирования ik — параметр для приведения диапазона
значений, полученных при анализе возможных воздействий на информаци-
онный ресурс, к интервалу [0…1]. Для различных ресурсов значения коэф-
фициента ik отличаются и зависят от их ценности, критичности и важности
для работы всей системы в целом.
На конечном этапе алгоритма собираются полученные данные по ряду
сеансов работы субъектов и определяется квота подозрительности действий
a1
a2
a3
a4
a5
g1
g2
gk
r1
rfa6
an
g3
g4
r2
r3
Рис. 5. Зависимость между действиями нарушителя }{a и ресурсами }{r КС, под-
вергающимися атакам
Алгоритм оценки вероятности вторжений для средств мониторинга безопасности…
Системні дослідження та інформаційні технології, 2007, № 2 55
нарушителей, а также формируется степень угрозы информационным ре-
сурсам.
Предложенный алгоритм позволяет ранжировать действия и цели субъ-
ектов по степеням их угроз безопасности КС, что, в свою очередь, обеспе-
чивает дифференциальную оценку вероятности вторжения в зависимости от
ценности информационного ресурса.
ЭКСПЕРИМЕНТАЛЬНЫЕ ИССЛЕДОВАНИЯ СРЕДСТВ МОНИТОРИНГА
БЕЗОПАСНОСТИ, ПОСТРОЕННЫХ НА ОСНОВЕ РАЗЛИЧНЫХ
АЛГОРИТМОВ ОЦЕНКИ ВЕРОЯТНОСТИ ВТОРЖЕНИЙ В КС
Для оценки эффективности функционирования предложенного алгоритма
оценки вероятности вторжений для СМБ КС проведены экспериментальные
исследования его характеристик.
Выполнено моделирование функционирования четырех различных ал-
горитмов анализа вероятности вторжений в КС, входящих в состав четырех
различных СМБ:
1) использующей статистический алгоритм обнаружения аномального
поведения (система типа I);
2) имеющей встроенную экспертную систему (типа II);
3) построенной с использованием нейросетевых технологий (типа III);
4) созданной на основе предложенного алгоритма оценки вероятности
вторжений в КС (типа IV).
Вероятность корректной работы СМБ
},{max1 III PPP −= , (14)
где IP — вероятность ошибки I рода (отсутствие реакции на атаку); IIP —
вероятность ошибки II рода (ложное срабатывание).
Эксперименты проводились для КС, состоящей из 10 информационных
ресурсов. Все СМБ сконфигурированы по принципу false positive, т.е. при
обнаружении какого-либо подозрительного действия, которое нельзя досто-
верно идентифицировать, система относит его к классу потенциальных
вторжений. В таком случае, как правило, III PP ≤ .
Моделирование 75-ти дней работы КС показало результаты, приведен-
ные на рис. 6 и 7.
На рис. 6 приведены графики зависимости вероятности корректной ра-
боты СМБ от времени. Как видно, при моделировании наихудшие результа-
ты по корректности выявления атак показаны СМБ на основе алгоритма
анализа вторжений статистического типа, а СМБ на основе нейросети и
предложенного алгоритма по данной характеристике практически эквива-
лентны.
Далее проведены оценки затрат на реализацию СМБ перечисленных
выше типов. При расчете затрат на построение СМБ учитываются следую-
щие факторы:
Z — общая величина затрат
В.Е. Мухин, А.Н. Волокита
ISSN 1681–6048 System Research & Information Technologies, 2007, № 2 56
7654321 zzzzzzzZ ++++++= , (15)
где 1z — затраты на аппаратную часть агентов сбора информации; 2z —
затраты на внедрение и поддержку ПО (средства сбора информации и про-
верки состояния КС); 3z — затраты на СМБ; 4z — затраты на оплату труда
экспертов (7 у.е. /час); 5z — затраты на оплату труда администратора безо-
пасности (3 у.е. /час); 6z — величина вычислительных затрат на СМБ КС
(3 у.е. /час за каждые 10% ресурсов системы); 7z — затраты из-за пропу-
щенных атак (потеря, кража, искажение, недоступность информации и т.д.,
50 у.е. /каждый ресурс).
Значения факторов 1z , 2z , 3z для всех СМБ приблизительно одинако-
вы.
Таким образом, при моделировании учитывались только факторы 4z ,
5z , 6z , 7z .
На рис. 7 показаны текущие затраты на реализацию и поддержку функ-
ционирования СМБ за каждый день работы. Всплески на графике у всех
СМБ отражают пропущенную на 15-й день успешную атаку, что требует
настройки систем мониторинга для адекватной реакции в будущем. Макси-
мумы на 60-й день связаны с аналогичным пропуском атаки СМБ I и II ти-
пов.
Для получения суммарной оценки затрат на реализацию СМБ за весь
период наблюдений полученные кривые (рис. 7) интегрируются, т.е.
∫=Σ
T
dttzZ
0
)( , (16)
где )(tz — затраты в определенный момент времени; ΣZ — суммарная
стоимость затрат за весь период наблюдений T .
Рис. 6. Зависимости вероятности корректной работы от времени функционирова-
ния СМБ I (4), II (3), III (1), IV (2) типов
0,4
0,7
1
0 15 30 45 60 75
t, дни
P
1
2
3
4
Алгоритм оценки вероятности вторжений для средств мониторинга безопасности…
Системні дослідження та інформаційні технології, 2007, № 2 57
Как видно из рис. 7, суммарные затраты на реализацию СМБ на основе
предложенного алгоритма оценки вероятности вторжений в КС оказывают-
ся наименьшими.
Также для сравнения характеристик СМБ целесообразно ввести показа-
тель отношения качества работы СМБ (вероятности p ее корректной рабо-
ты) к уровню затрат z на ее реализацию. Обозначим его zp / .
Как видно из рис. 8, СМБ на основе предложенного алгоритма оценки
вероятности вторжений в КС имеет наилучший показатель отношения кор-
ректности ее функционирования к затратам на ее реализацию, что подтвер-
ждает эффективность разработанного алгоритма.
40
90
0 15 30 45 60 75
t, дни
z, y.e.
1
2
3
4
Рис. 7. Результаты экспериментальных исследований затрат на реализацию СМБ
I (2), II (1), III (3), IV (4) типов
0
0,01
0,02
0 15 30 45 60 75
t, дни
p/z
1
2
3
4
Рис. 8. Оценка показателя отношения корректности работы к уровню затрат на
реализацию СМБ I (4), II (3), III (2), IV (1) типов
В.Е. Мухин, А.Н. Волокита
ISSN 1681–6048 System Research & Information Technologies, 2007, № 2 58
ЗАКЛЮЧЕНИЕ
Построение качественных СМБ КС требует применения эффективных алго-
ритмов для анализа потенциальных атак злоумышленников в КС. Предло-
женный алгоритм формирования вероятностей вторжений в КС обеспечива-
ет:
• повышение защищенности пользовательских и системных данных за
счет выполнения прогнозирования действий злоумышленника и эмуляции
уязвимостей и системных сведений;
• гибкую реакцию СМБ на действия нарушителя;
• ранжирование действий и целей субъектов по степеням их угроз
безопасности КС;
• уменьшение объема анализируемой системой информации, что по-
зволяет практически не снижать производительность КС.
Проведенный анализ основных параметров предложенного и аналогич-
ных существующих алгоритмов подтвердил эффективность разработанного
алгоритма, что обусловливается комплексным анализом в данном алгоритме
целей действий легальных пользователей и злоумышленников в КС.
ЛИТЕРАТУРА
1. Галатенко В.А. Основы информационной безопасности / Под ред. чл.-корр.
РАН В.Б. Бетелина. — М.: ИНТУИР.RU, 2003. — 280 с.
2. Щербаков А.Ю. Введение в теорию и практику компьютерной безопасно-
сти. — М.: Молгачева С.В., 2001. — 352 с.
3. Bace R. An Introduction to Intrusion Detection Assessment for System and Network
// Security Management. — 1999. — № 7. — Р. 167–180.
4. Беляев А., Петренко С. Системы обнаружения аномалий: новые идеи в защите
информации // Экспресс-Электроника. — 2004. — № 2. — С. 57–71.
5. Земсков И.А. SIMCOSAR: Программный комплекс моделирования процесса
мониторинга состояния информационного поля Интернет // Математиче-
ские структуры и моделирование. — 2003. — № 11. — С.128–157.
6. Система функционального активного мониторинга FLAME / В.А. Васенин,
В.В. Корнеев, М.Ю. Ландина, В.А. Роганов // Программирование. —
2003. — № 3. — С. 161–173.
7. Вихорев C., Кобцев Р. Как определить источники угроз? // Открытые сис-
темы. — 2002, № 7–8. — С. 37–49.
Поступила 13.11.2006
http://electronica.finestreet.ru/�
http://www.citforum.ru/security/articles/threats/�
http://www.osp.ru/�
http://www.osp.ru/�
ПРОБЛЕМНО І ФУНКЦІОНАЛЬНО ОРІЄНТОВАНІ КОМП’ЮТЕРНІ СИСТЕМИ ТА МЕРЕЖІ
АЛГОРИТМ ОЦЕНКИ ВЕРОЯТНОСТИ ВТОРЖЕНИЙ ДЛЯ СРЕДСТВ МОНИТОРИНГА БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ
В.Е. Мухин, А.Н. Волокита
ОСОБЕННОСТИ СОВРЕМЕННЫХ СИСТЕМ МОНИТОРИНГА БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ И СЕТЕЙ
УЛУЧШЕННЫЙ АЛГОРИТМ ОЦЕНКИ ВЕРОЯТНОСТИ ВТОРЖЕНИЙ НА ОСНОВЕ АНАЛИЗА ЦЕЛЕЙ ЗЛОУМЫШЛЕННИКОВ ДЛЯ СИСТЕМ МОНИТОРИНГА БЕЗОПАСНОСТИ
ЭКСПЕРИМЕНТАЛЬНЫЕ ИССЛЕДОВАНИЯ СРЕДСТВ МОНИТОРИНГА БЕЗОПАСНОСТИ, ПОСТРОЕННЫХ НА ОСНОВЕ РАЗЛИЧНЫХ АЛГОРИТМОВ ОЦЕНКИ ВЕРОЯТНОСТИ ВТОРЖЕНИЙ В КС
ЗАКЛЮЧЕНИЕ
Рис. 1. Группирование элементов вектора Х в вектор действий A
Рис. 2. Импликация вектора A в вектор целей G
Рис. 3. Вероятностный граф потенциальных целей субъектов
Рис. 5. Зависимость между действиями нарушителя и ресурсами КС, подвергающимися атакам
Рис. 6. Зависимости вероятности корректной работы от времени функционирования СМБ I (4), II (3), III (1), IV (2) типов
Рис. 7. Результаты экспериментальных исследований затрат на реализацию СМБ I (2), II (1), III (3), IV (4) типов
Рис. 8. Оценка показателя отношения корректности работы к уровню затрат на реализацию СМБ I (4), II (3), III (2), IV (1) типов
|
| id | nasplib_isofts_kiev_ua-123456789-14643 |
| institution | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| issn | 1681–6048 |
| language | Russian |
| last_indexed | 2025-11-28T01:22:32Z |
| publishDate | 2007 |
| publisher | Навчально-науковий комплекс "Інститут прикладного системного аналізу" НТУУ "КПІ" МОН та НАН України |
| record_format | dspace |
| spelling | Мухин, В.Е. Волокита, А.Н. 2010-12-27T13:55:58Z 2010-12-27T13:55:58Z 2007 Алгоритм оценки вероятности вторжений для средств мониторинга безопасности компьютерных систем / В.Е. Мухин, А.Н. Волокита // Систем. дослідж. та інформ. технології. — 2007. — № 2. — С. 47-58. — Бібліогр.: 7 назв. — рос. 1681–6048 https://nasplib.isofts.kiev.ua/handle/123456789/14643 681.14 Предложен новый алгоритм оценки вероятности вторжений для средств мониторинга безопасности в компьютерных системах, который предусматривает проведение анализа целей вторжений, ранжируемых по степени угроз безопасности компьютерным системам, что позволяет сформировать дифференциальную оценку вероятности этих вторжений. Разработанный алгоритм обеспечивает повышение эффективности функционирования систем мониторинга безопасности, построенных на его основе. A new algorithm for intrusion probability evaluation for safety monitoring mechanisms in computer systems is suggested. The algorithm provides the analysis of the subjects’ intrusion goals, which are ranged according to the levels of the safety threats to computer systems and allows one to generate a differential estimation of the intrusion probability. The developed algorithm ensures an increase in the efficiency of functioning of the safety monitoring systems, based on this algorithm. Запропоновано новий алгоритм оцінки ймовірності вторгнень для засобів моніторингу безпеки в комп’ютерних системах, який передбачає виконання аналізу цілей вторгнень, що ранжуються за ступенями загроз безпеці комп’ютерним системам, і дозволяє сформувати диференціальну оцінку ймовірності цих вторгнень. Розроблений алгоритм забезпечує підвищення ефективності функціонування систем моніторингу безпеки, побудованих на його основі. ru Навчально-науковий комплекс "Інститут прикладного системного аналізу" НТУУ "КПІ" МОН та НАН України Проблемно і функціонально орієнтовані комп’ютерні системи та мережі Алгоритм оценки вероятности вторжений для средств мониторинга безопасности компьютерных систем Algorithm for intrusion probability evaluation for safety monitoring mechanisms in computer systems Алгоритм оцінки ймовірності вторгнень для засобів моніторингу безпеки комп’ютерних систем Article published earlier |
| spellingShingle | Алгоритм оценки вероятности вторжений для средств мониторинга безопасности компьютерных систем Мухин, В.Е. Волокита, А.Н. Проблемно і функціонально орієнтовані комп’ютерні системи та мережі |
| title | Алгоритм оценки вероятности вторжений для средств мониторинга безопасности компьютерных систем |
| title_alt | Algorithm for intrusion probability evaluation for safety monitoring mechanisms in computer systems Алгоритм оцінки ймовірності вторгнень для засобів моніторингу безпеки комп’ютерних систем |
| title_full | Алгоритм оценки вероятности вторжений для средств мониторинга безопасности компьютерных систем |
| title_fullStr | Алгоритм оценки вероятности вторжений для средств мониторинга безопасности компьютерных систем |
| title_full_unstemmed | Алгоритм оценки вероятности вторжений для средств мониторинга безопасности компьютерных систем |
| title_short | Алгоритм оценки вероятности вторжений для средств мониторинга безопасности компьютерных систем |
| title_sort | алгоритм оценки вероятности вторжений для средств мониторинга безопасности компьютерных систем |
| topic | Проблемно і функціонально орієнтовані комп’ютерні системи та мережі |
| topic_facet | Проблемно і функціонально орієнтовані комп’ютерні системи та мережі |
| url | https://nasplib.isofts.kiev.ua/handle/123456789/14643 |
| work_keys_str_mv | AT muhinve algoritmocenkiveroâtnostivtorženiidlâsredstvmonitoringabezopasnostikompʹûternyhsistem AT volokitaan algoritmocenkiveroâtnostivtorženiidlâsredstvmonitoringabezopasnostikompʹûternyhsistem AT muhinve algorithmforintrusionprobabilityevaluationforsafetymonitoringmechanismsincomputersystems AT volokitaan algorithmforintrusionprobabilityevaluationforsafetymonitoringmechanismsincomputersystems AT muhinve algoritmocínkiimovírnostívtorgnenʹdlâzasobívmonítoringubezpekikompûternihsistem AT volokitaan algoritmocínkiimovírnostívtorgnenʹdlâzasobívmonítoringubezpekikompûternihsistem |