DEVELOPMENT OF INTERVAL RISK ESTIMATION SYSTEM
38
УДК 004.413.4
С. В. САВКОВ, В. М. ШИШКИН
РАЗРАБОТКА СИСТЕМЫ ИНТЕРВАЛЬНОГО ОЦЕНИВАНИЯ ИНФОРМАЦИОННЫХ РИСКОВ
Представлена система интервального оценивания информационных рисков на основе разнородных и неполных исходных данных. Показана необходимость распараллеливания вычислений и описана реализация разработанной системы на вычислительном кластере. Ключевые слова: безопасность, оценка рисков, гетерогенность информации, параллельные вычисления.
Введение. Для решения задач анализа и оценивания информационных рисков используются различные экспертные системы [1, 2], обладающие достаточно широкими функциональными возможностями и удобством в эксплуатации, что обусловливает привлекательность использования таких систем на практике [3]. В то же время они имеют существенные недостатки, характерные для многих прикладных систем экспертного оценивания: сомнительность выбора исходных данных и отсутствие характеристик рассеяния рассчитываемых показателей, что снижает достоверность оценок и доверие к результатам анализа.
В реальных условиях исходная информация плохо структурирована, неполна, неточна, часто имеет нечисловой характер, все первичные данные, по сути, являются случайными величинами. Следовательно, чтобы повысить достоверность оценок необходимо, во-первых,
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2011. Т. 54, № 9
Разработка системы интервального оценивания информационных рисков
39
предусмотреть возможность обработки именно таких, недостаточно определенных и разно-
родных данных и, во-вторых, обеспечить расчет стохастических характеристик показателей,
используемых для принятия решений. Зачастую источники первичных данных имеют нечи-
словое выражение — ординальное или лингвистическое, в предельном случае это могут быть
и слабоструктурированные тексты на естественном языке. В общем случае в качестве исход-
ных данных может выступать различная информация, получаемая, например, в результате
экспертизы объекта оценивания.
Структурная метамодель. В настоящей статье рассматривается система интервального
оценивания информационных рисков. В разработанной системе в качестве основы использо-
валась модель, допускающая различные интерпретации [4]. Она построена на дихотомиче-
ской оппозиции: „защищаемый объект“ — потенциально враждебная „среда“ в широком
смысле этих слов. Подчеркивается необходимость фиксации „границы объекта“, или функ-
ционально — „границы ответственности“, и „внешней границы среды“, ограничивающей зо-
ну досягаемости для противодействия факторам риска. Элементы модели определяются в
терминах трех категорий: субъектов, объектов и воздействий первых на вторые. Соответст-
венно категориям выделяются три непересекающихся непустых подмножества множества
M0 = M s ∪ Me ∪ Mc элементов модели:
— независимые активные субъекты, „источники угроз“ — множество M s (threat
sources);
— проводники воздействий: события, порождаемые источниками угроз, „угрозы“ на-
рушения безопасности — множество Me (threat events), в котором выделяется подмножество
так называемых „событий риска“ — угроз, наносящих ущерб непосредственно объекту;
— компоненты объекта — множество Mc (components).
Структурная схема метамодели представлена на рис. 1. На множестве M0 определяется би-
нарное отношение причинности R со свойством транзитивности, к которому можно свести мно-
гие связи, имеющие импликативный характер. Отношение R упорядочивает множество M0 и
задает на нем структуру, фиксирующую каналы распространения потоков угроз от источников до
объекта, и порождает квадратную матрицу отношений W0 .
Ms
— источники угроз
Me — угрозы Mc — компоненты
Среда
Объект
z ft
S Система защиты
Рис. 1
Решение задачи противодействия факторам риска реализуется с помощью системы защиты информации (СЗИ), представляемой в виде множества элементов S , каждый из которых осуществляет воздействие на элементы множества M0 . Между элементами множеств S
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2011. Т. 54, № 9
40 С. В. Савков, В. М. Шишкин
и M0 устанавливается отношение, формально сводимое к R , порождающее прямоугольную матрицу отношений R0 .
Источники угроз M s считаются генераторами потока событий (угроз), распространяющегося по каналам, заданным соотношением R на множестве M0 . Элементы Me рассматриваются как функциональные преобразователи, перераспределяющие потоки событий. На выходе элементов Me , представляющих события риска, формируется поток угроз, непосредственно воздействующий на объект в составе множества Mc . Тогда средства защиты S можно интерпретировать как линейные фильтры.
Роль условного элемента z, соответствующего состоянию объекта в целом как преобразователя, ограничивается функцией сумматора-интегратора. Тогда на выходе z можно фиксировать результирующий поток ft , интеграл от которого по некоторому интервалу времени является, по сути, мерой риска для объекта, определяемой ущербом, наносимым ему за это время.
В простейшей количественной интерпретации метамодели матрица W0 отображается в арифметическую матрицу W = (wij ) , элементы которой можно рассматривать как весовые
коэффициенты, представляющие собой меру влияния i -го элемента на j -й. Матрица W со-
держит все исходные данные для последующих расчетов. Далее рассчитываются показатели vij , аналогичные по смыслу коэффициентам wij , но с
учетом транзитивности отношений, прежде всего на состоянии z . В результате определяется матрица V , структурно эквивалентная W . При отсутствии рефлексии элементов, если W считать взвешенной матрицей смежности некоторого графа, они легко рассчитываются как суммы по всем путям из i -й в j -ю вершину произведений оценок дуг каждого пути, что в
простейшем случае равносильно матричному преобразованию V = (I − W)−1 − I , где I — еди-
ничная матрица. Последний, всегда ненулевой, z -й столбец vz матрицы V содержит искомые показате-
ли {viz} влияния любого i -го фактора риска на состояние защищенности объекта. В соответствии с этими показателями выбирается СЗИ, ориентированная на противодействие наиболее значимым факторам риска.
Рассмотренный программный продукт, в котором используется подобный алгоритм, показал практическую применимость для анализа сложных объектов. Однако, обладая некоторыми преимуществами по сравнению с существующими системами анализа рисков, он имеет и недостатки, отмеченные выше.
Алгоритм интервального оценивания. В качестве исходной идеи для алгоритма был выбран метод арифметизации ординальных отношений, используемый в методе анализа и синтеза показателей при информационном дефиците [5] и применяемый только для простых расслоенных или древовидных структур факторов риска. Указанный способ позволяет при наличии нечисловой либо неполной информации об отношениях вычислить значения их математических ожиданий и дисперсий для последующего использования при расчете. Разработанный алгоритм позволяет арифметизировать каждый столбец матрицы W по отдельности, а сама матрица W в этом случае формируется как композиция случайных вектор-столбцов. Прямое использование этого метода для решения поставленной задачи связано с проблемой зависимости между генерируемыми элементами различных столбцов матрицы W .
Для выполнения требования независимости при реализации рассматриваемого алгоритма будем считать, что компоненты вектора весовых коэффициентов w = (w1,..., wm ) имеют рав-
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2011. Т. 54, № 9
Разработка системы интервального оценивания информационных рисков
41
номерное распределение, а сам вектор w также равномерно распределен на симплексе размерностью (m −1) в m -мерном пространстве. Значения параметров wj по каждой оси отсчи-
тываются дискретно с шагом h = 1 n , где n — параметр, задающий точность представления
значений. В результате генерируется множество W (m,n) всех возможных векторов весовых
коэффициентов на гиперкубе и выбираются только векторы, принадлежащие симплексу. Учет нечисловой, неточной и неполной информации I о весовых коэффициентах
w1,..., wm позволяет, как правило, существенно сократить множество W (m,n) до некоторого непустого множества W (m, n; I ) всех допустимых весовых векторов.
Для m=3 полученное множество W (m, n; I ) можно наглядно изобразить на пространст-
венном графике, как показано на рис. 2. Условие нормировки w1 + w2 + w3 = 1 задает в координатах (w1, w2, w3) плоскость, на которой расположены элементы множества W (m, n) . При задании различного вида исходной информации (точечной, интервальной, порядковой) формируется часть плоскости, содержащая элементы W (m, n; I ) .
точечная w3 w3=0,5
W(m, n, I)
Информация интервальная w3
0,4
УДК 004.413.4
С. В. САВКОВ, В. М. ШИШКИН
РАЗРАБОТКА СИСТЕМЫ ИНТЕРВАЛЬНОГО ОЦЕНИВАНИЯ ИНФОРМАЦИОННЫХ РИСКОВ
Представлена система интервального оценивания информационных рисков на основе разнородных и неполных исходных данных. Показана необходимость распараллеливания вычислений и описана реализация разработанной системы на вычислительном кластере. Ключевые слова: безопасность, оценка рисков, гетерогенность информации, параллельные вычисления.
Введение. Для решения задач анализа и оценивания информационных рисков используются различные экспертные системы [1, 2], обладающие достаточно широкими функциональными возможностями и удобством в эксплуатации, что обусловливает привлекательность использования таких систем на практике [3]. В то же время они имеют существенные недостатки, характерные для многих прикладных систем экспертного оценивания: сомнительность выбора исходных данных и отсутствие характеристик рассеяния рассчитываемых показателей, что снижает достоверность оценок и доверие к результатам анализа.
В реальных условиях исходная информация плохо структурирована, неполна, неточна, часто имеет нечисловой характер, все первичные данные, по сути, являются случайными величинами. Следовательно, чтобы повысить достоверность оценок необходимо, во-первых,
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2011. Т. 54, № 9
Разработка системы интервального оценивания информационных рисков
39
предусмотреть возможность обработки именно таких, недостаточно определенных и разно-
родных данных и, во-вторых, обеспечить расчет стохастических характеристик показателей,
используемых для принятия решений. Зачастую источники первичных данных имеют нечи-
словое выражение — ординальное или лингвистическое, в предельном случае это могут быть
и слабоструктурированные тексты на естественном языке. В общем случае в качестве исход-
ных данных может выступать различная информация, получаемая, например, в результате
экспертизы объекта оценивания.
Структурная метамодель. В настоящей статье рассматривается система интервального
оценивания информационных рисков. В разработанной системе в качестве основы использо-
валась модель, допускающая различные интерпретации [4]. Она построена на дихотомиче-
ской оппозиции: „защищаемый объект“ — потенциально враждебная „среда“ в широком
смысле этих слов. Подчеркивается необходимость фиксации „границы объекта“, или функ-
ционально — „границы ответственности“, и „внешней границы среды“, ограничивающей зо-
ну досягаемости для противодействия факторам риска. Элементы модели определяются в
терминах трех категорий: субъектов, объектов и воздействий первых на вторые. Соответст-
венно категориям выделяются три непересекающихся непустых подмножества множества
M0 = M s ∪ Me ∪ Mc элементов модели:
— независимые активные субъекты, „источники угроз“ — множество M s (threat
sources);
— проводники воздействий: события, порождаемые источниками угроз, „угрозы“ на-
рушения безопасности — множество Me (threat events), в котором выделяется подмножество
так называемых „событий риска“ — угроз, наносящих ущерб непосредственно объекту;
— компоненты объекта — множество Mc (components).
Структурная схема метамодели представлена на рис. 1. На множестве M0 определяется би-
нарное отношение причинности R со свойством транзитивности, к которому можно свести мно-
гие связи, имеющие импликативный характер. Отношение R упорядочивает множество M0 и
задает на нем структуру, фиксирующую каналы распространения потоков угроз от источников до
объекта, и порождает квадратную матрицу отношений W0 .
Ms
— источники угроз
Me — угрозы Mc — компоненты
Среда
Объект
z ft
S Система защиты
Рис. 1
Решение задачи противодействия факторам риска реализуется с помощью системы защиты информации (СЗИ), представляемой в виде множества элементов S , каждый из которых осуществляет воздействие на элементы множества M0 . Между элементами множеств S
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2011. Т. 54, № 9
40 С. В. Савков, В. М. Шишкин
и M0 устанавливается отношение, формально сводимое к R , порождающее прямоугольную матрицу отношений R0 .
Источники угроз M s считаются генераторами потока событий (угроз), распространяющегося по каналам, заданным соотношением R на множестве M0 . Элементы Me рассматриваются как функциональные преобразователи, перераспределяющие потоки событий. На выходе элементов Me , представляющих события риска, формируется поток угроз, непосредственно воздействующий на объект в составе множества Mc . Тогда средства защиты S можно интерпретировать как линейные фильтры.
Роль условного элемента z, соответствующего состоянию объекта в целом как преобразователя, ограничивается функцией сумматора-интегратора. Тогда на выходе z можно фиксировать результирующий поток ft , интеграл от которого по некоторому интервалу времени является, по сути, мерой риска для объекта, определяемой ущербом, наносимым ему за это время.
В простейшей количественной интерпретации метамодели матрица W0 отображается в арифметическую матрицу W = (wij ) , элементы которой можно рассматривать как весовые
коэффициенты, представляющие собой меру влияния i -го элемента на j -й. Матрица W со-
держит все исходные данные для последующих расчетов. Далее рассчитываются показатели vij , аналогичные по смыслу коэффициентам wij , но с
учетом транзитивности отношений, прежде всего на состоянии z . В результате определяется матрица V , структурно эквивалентная W . При отсутствии рефлексии элементов, если W считать взвешенной матрицей смежности некоторого графа, они легко рассчитываются как суммы по всем путям из i -й в j -ю вершину произведений оценок дуг каждого пути, что в
простейшем случае равносильно матричному преобразованию V = (I − W)−1 − I , где I — еди-
ничная матрица. Последний, всегда ненулевой, z -й столбец vz матрицы V содержит искомые показате-
ли {viz} влияния любого i -го фактора риска на состояние защищенности объекта. В соответствии с этими показателями выбирается СЗИ, ориентированная на противодействие наиболее значимым факторам риска.
Рассмотренный программный продукт, в котором используется подобный алгоритм, показал практическую применимость для анализа сложных объектов. Однако, обладая некоторыми преимуществами по сравнению с существующими системами анализа рисков, он имеет и недостатки, отмеченные выше.
Алгоритм интервального оценивания. В качестве исходной идеи для алгоритма был выбран метод арифметизации ординальных отношений, используемый в методе анализа и синтеза показателей при информационном дефиците [5] и применяемый только для простых расслоенных или древовидных структур факторов риска. Указанный способ позволяет при наличии нечисловой либо неполной информации об отношениях вычислить значения их математических ожиданий и дисперсий для последующего использования при расчете. Разработанный алгоритм позволяет арифметизировать каждый столбец матрицы W по отдельности, а сама матрица W в этом случае формируется как композиция случайных вектор-столбцов. Прямое использование этого метода для решения поставленной задачи связано с проблемой зависимости между генерируемыми элементами различных столбцов матрицы W .
Для выполнения требования независимости при реализации рассматриваемого алгоритма будем считать, что компоненты вектора весовых коэффициентов w = (w1,..., wm ) имеют рав-
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2011. Т. 54, № 9
Разработка системы интервального оценивания информационных рисков
41
номерное распределение, а сам вектор w также равномерно распределен на симплексе размерностью (m −1) в m -мерном пространстве. Значения параметров wj по каждой оси отсчи-
тываются дискретно с шагом h = 1 n , где n — параметр, задающий точность представления
значений. В результате генерируется множество W (m,n) всех возможных векторов весовых
коэффициентов на гиперкубе и выбираются только векторы, принадлежащие симплексу. Учет нечисловой, неточной и неполной информации I о весовых коэффициентах
w1,..., wm позволяет, как правило, существенно сократить множество W (m,n) до некоторого непустого множества W (m, n; I ) всех допустимых весовых векторов.
Для m=3 полученное множество W (m, n; I ) можно наглядно изобразить на пространст-
венном графике, как показано на рис. 2. Условие нормировки w1 + w2 + w3 = 1 задает в координатах (w1, w2, w3) плоскость, на которой расположены элементы множества W (m, n) . При задании различного вида исходной информации (точечной, интервальной, порядковой) формируется часть плоскости, содержащая элементы W (m, n; I ) .
точечная w3 w3=0,5
W(m, n, I)
Информация интервальная w3
0,4