2. Оценка эффективности сов осуществляющих анализ аномалий

Несмотря на универсальность СОВ и возможности масштабирования, оценить ее эффективность без привязки к конкретной АС невозможно.

Для оценки эффективности, можно воспользоваться тремя методами исследования систем:

• создание имитационной модели;

• описание аналитическими выражениями;

• экспериментальное исследование.

Описание аналитическим выражениями в данном случае невозможно, так как АС, согласно ГОСТ Р ИСО/МЭК 15408, является сложной системой.

Для создания имитационной модели необходимо обладать входящими и исходящими данными АС. Так как не существует стандартизации по конфигурации программных и аппаратных средств АС, для определения входящих и исходящих последовательностей необходимо проводить ряд тестов на целевой АС, что уже является методом экспериментального исследования и делает нецелесообразным использование метода имитационного моделирования [45].

1. Подготовка тестируемой системы

Тестирование целесообразно проводить со стороннего узла сети с помощью программного или аппаратного комплекса сетевого сканирования безопасности таких как XSpider или LanGuard (рис. 2.1).

Рис. 2.1. Испытательный комплекс

Испытательный комплекс после ряда тестов предоставляет отчет о найденных уязвимостях АС в формате списка именованных и классифицированных в соответствии с Common Vulnerabilitiesand Exposures (CVE).

Общедоступная, бесплатная база данных CVE поддерживаемая корпорацией MITRE, содержит в себе стандартизированную и классифицированную информацию о уязвимостях и рисках. Основной целью является согласование различных баз данных в области защиты информации для корректной оценки эффективности инструментов и услуг по защите информации [79].

Согласно этой базе данных, уязвимости, найденные в испытуемой АС, классифицируются следующим образом:

1. серьёзные уязвимости:

1. DDoS;

2. удаленное выполнение команд;

3. переполнение буфера;

2. уязвимости:

1. список ресурсов;

2. список активных сессий;

3. вход любого пользователя;

3. доступная информация:

1. имя компьютера;

2. доступ по нулевой сессии;

3. LanManager и OS.

Подобная классификация уязвимостей была проведена исходя из ущерба, который может причинить атака, реализованная на базе данной уязвимости.

Группы «Уязвимости» и «Доступная информация» включают в себя уязвимости, использование которых злоумышленником не приводят к прямому ущербу, а лишь обеспечивают его информацией о АС. Эти группы уязвимостей влияют на эффективность работы в худшую сторону, но не значительно. Таким образом для оценки риска и эффективности целесообразно использовать только группу «Серьезные уязвимости» [56].

2. Расчет риска для атак, основанных на серьезных уязвимостях вида «dDoS»

При наличии достаточного количества статистических данных, есть возможность создать модель распределения статистики, что в свою очередь поможет рассчитать распределение рисков, которое можно использовать для прогнозирования последствий, наступающих от преступлений, реализуемых в АС, в отношении КИ, связанных с DDos – атаками (табл. 2.1).

В данной работе представлена статистика DDoS -атак, полученная из открытых новостных источников. Выборка состоит из 220 случаев нанесения ущерба в результате взлома компьютерных систем за последние 1 года. На рис. 2.2 представлено распределение ущерба по вероятности его нанесения.

Таблица 2.1

Распределение величины ущерба от атак, основанных на серьезных уязвимостях вида «DDoS»

Индекс	Интервалы ущерба (тыс. $ США)	Частота абсолютная	Частота относительная
1	[0-10]	3	0,014
2	[10-20]	8	0,036
3	[20-30]	17	0,077
4	[30-40]	25	0,114
5	[40-50]	39	0,177
6	[50-60]	45	0,205
7	[60-70]	32	0,145
8	[70-80]	27	0,123
9	[80-90]	19	0,086
10	[90-100]	5	0,023

Рис. 2.2. Распределение величины ущерба от атак, основанных на уязвимостях вида “DDoS” (тыс. $ США)

Для проведения риск-анализа, необходимо определить закон распределения вероятности нанесения ущерба определенной величины. Опытным путем, на основе сравнительного анализа было выбрано Нормальное распределение. Общий вид нормального закона (2.1) распределения, с различными коэффициентами представлен на рис. 2.3.

(2.1)

Рис. 2.3. Общий вид нормального закона распределения

На основе полученных значений вероятностей построим график плотностей вероятностей. Для его построения на оси ущерба для каждого интервала будем откладывать по одной точке, являющей средним его значением. Рассчитаем значения выборочного среднего и выборочной дисперсии и модифицированной выборочной дисперсии:

Проверим статистическую гипотезу H₀, что генеральная совокупность ущербов распределена по нормальному закону с параметрами:

с уровнем значимости:

На основании того, что параметры закона распределения были вычислены по выборке, а не выведены математически был выбран критерий согласия «Хи-квадрат». Суть критерия состоит в том, чтобы найти отклонение полученной статистики от теоретического Нормального распределения, и если оно не превышает определенного критического значения, то выборка совместима с гипотезой Н₀ можно считать подтвержденной. Критическое значение берется из таблиц значений, с учетом числа степеней свободы и уровня значимости. Вычисляется значение статистического коэффициента по следующей формуле:

(2.2)

где N – число интервалов разбиения выборки, n – объем выборки, n_i – частота i-го интервала, p_i – теоретическая вероятность попадания случайной величины в i-й интервал.

Вычислим вероятность попадания значения величин ущерба в i-ый интервал по теоретическому распределению.

Для нормального закона

(2.3)

Полученные значения занесем в табл. 2.2.

Таблица 2.2

Вероятности попадания величин ущерба в i-ый интервал

Интервалы ущерба (тыс. $ США)	Относительная частота по расчетам (теоретическое распределение)
[0-10]	0,014
[10-20]	0,036
[20-30]	0,077
[30-40]	0,114
[40-50]	0,177
[50-60]	0,205
[60-70]	0,145
[70-80]	0,123
[80-90]	0,086
[90-100]	0,023

Рис. 2.4. Сравнение относительных частот по гипотезе и выборке

Для проверки правильности выбора гипотезы проверим действительность гипотезы. Найдем коэффициент «Хи-квадрат», для статистического распределения:

Число степеней свободны в нашем случае k = s – 1 – r, где r– число параметров предполагаемого распределения, оцененных по данным выборки. Нормальное распределение характеризуется двумя параметрами, поэтому k = s – 3=10-3=7.

.

Следовательно, можно сделать вывод, что данная выборка согласуется с гипотезой о нормальном распределении с параметрами:

и уровнем значимости:

На основе данного анализа можно сделать вывод, что нормальное распределение в достаточной мере пригодно для проведения на его основе статистического риск-анализа DDoS атак. Поэтому для дальнейшего исследования мы будем пользоваться именно им. [49]

Для определения распределения риска пронормируем величину ущерба. За максимальное его значение возьмем 100 тыс. долларов США. Соответственно для нормировки все величины ущерба делятся на 100 000.

График кривой риска построим по точкам. Для нахождения конкретного значения риска возникновения ущерба конкретного размера воспользуемся следующей формулой:

, (2.4)

где P – вероятность нанесения организации ущерба определенной величины, U – нормированная величина этого ущерба.

Для вычисления вероятности возникновения ущерба в конкретной точке, продискретизируем график плотностей вероятностей и найдем вероятность попадания величины ущерба в каждый интервал (вычислим площадь под кривой закона распределения вычислением определенных интегралов по выбранным интервалам в районе выбранных точек), по которым будем строить функцию риска.

Согласно теоремы Котельникова [72], период дискретизации должен удовлетворять неравенству:

, (2.5)

где P_max – наибольшее значение вероятности. В нашем случае P_max=0,196*10^-5,

то Т_дискр<25,5 тыс. долларов США. Таким образом, для полученной функции плотностей вероятностей период дискретизации должен быть меньше 25,5 тыс. долларов США (в этом случае исходную функцию можно будет восстановить по дискретным значениям). Для нашей задачи возьмем период равным 10 тыс. долларов США и найдем вероятности нанесения определенного ущерба по новым интервалам с точками, равными серединам интервалов. [47,48]

Результаты вычисления вероятности реализации преступления, наносящего ущерб попадающий в интервалы, произведенного по выражению (2.3), и результаты вычисления риска возникновения ущерба конкретной величины, произведенного по выражению (2.4), представлены в табл. 2.3.

Таблица 2.3

Значения рисков

Ущерб (U)	Нормированный ущерб	Вероятность попадания ущерба в интервал (Р)	Значение риска на интервале
5000	0,05	0,01076269	0,000538135
15000	0,15	0,031273266	0,00469099
25000	0,25	0,071263455	0,017815864
35000	0,35	0,127363351	0,044577173
45000	0,45	0,178540603	0,080343271
55000	0,55	0,196319195	0,107975557
65000	0,65	0,169327296	0,110062742
75000	0,75	0,114556975	0,085917731
85000	0,85	0,060789044	0,051670687
95000	0,95	0,025299079	0,024034125

Полученные результаты расчетов представлены на рис. 2.5.

Рис. 2.5. Распределение риска от атак, основанных на уязвимостях вида “DDoS”

Для определения общей степени опасности для АС от рассматриваемых нами уязвимостей посчитаем суммарный риск (2.6).

(2.6)