Разработка и исследование алгоритмов комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы Сушков Павел Феликсович

Содержание к диссертации

Введение

Глава 1. Особенности противодействия вредоносным программам в критически важных сегментах информационной сферы 12

1.1. Вредоносные программы как источник угроз критически важным сегментам информационной сферы 12

1.2. Противодействие вредоносным программам в критически важных сегментах информационной сферы 33

1.3. Постановка задачи комплексной оценки эффективности противодействия вредоносным программам в критически важ ных сегментах информационной сферы 35

1.4. Выводы 38

Глава 2. Формирование показателей эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы 40

2.1. Методика структуризации показателей эффективности противодействия вредоносным программам 40

2.2. Методика синтеза иерархической структуры показателей эффективности противодействия вредоносным программам 43

2.3. Унифицированное описание структуры показателей эффективности противодействия вредоносным программам 44

2.4. Выводы 51

Глава 3. Математическое моделирование процессов противодействия вредоносным программам в критически важных сегментах информационной сферы 52

3.1. Особенности синтеза математической модели для оценки показателей эффективности противодействия вредоносным программам 52

3.2. Формальное представление процессов функционирования средств противодействия вредоносным программам 54

3.3. Имитационная модель для оценки временных показателей эффективности противодействия вредоносным программам 57

3.4. Аналитические модели для оценки вероятностных показателей эффективности противодействия вредоносным программам ^д

3.5. Представление исходных данных для оценки вероятностных показателей эффективности противодействия вредоносным программам 66

3.6. Выводы 69

Глава 4. Вычислительные эксперименты по оценке эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы 70

4.1. Методика планирования вычислительных экспериментов по оценке эффективности противодействия вредоносным про граммам 70

4.2. Результаты вычислительных экспериментов 71

4.3. Анализ эффективности предложенного способа оценки противодействия вредоносным программам 141

4.4. Выводы 146

Заключение 148

Литература

• Противодействие вредоносным программам в критически важных сегментах информационной сферы
• Методика синтеза иерархической структуры показателей эффективности противодействия вредоносным программам
• Формальное представление процессов функционирования средств противодействия вредоносным программам
• Анализ эффективности предложенного способа оценки противодействия вредоносным программам

Введение к работе

Актуальность темы исследования. Интенсивное развитие и совершенствование информационных технологий приводит к необходимости рассматривать в качестве доминирующей тенденцию расширения информационной сферы. Это обусловило появление отдельного класса элементов этой сферы, ее так называемых критически важных сегментов - информационных систем, обеспечивающих деятельность органов государственного управления /1/, систем управления инфраструктурой связи 121, финансов 131, энергетики /4/, транспорта 151 и чрезвычайных служб 161. Вместе с тем, расширение информационной сферы привело к появлению различного рода угроз элементам информационной сферы 111. При этом, главным объектом таких угроз стали ее критически важные сегменты. Это обусловило необходимость решения ряда проблем, связанных с организацией защиты информационной сферы с целью предотвращения ущерба от нарушения ее безопасности при наличии различных источников угроз /8-13/.

Одним из наиболее серьезных источников угроз информационной сферы являются вредоносные программы /14 - 16/ - один из основных инструментов противоправного манипулирования информацией /17/ в ее компьютерных сетях /18/. Вредоносные программы проектируются высококвалифицированными специалистами /19/ как программы вирусного типа /20 - 26/, что дает возможность использовать такие преимущества компьютерных вирусов как изоморфность структуры, способность создавать собственные копии и проявлять себя лишь при определенных параметрах вычислительной среды /27 - 28/. Эти свойства позволяют вредоносным программам реализо-вывать функции противозаконного манипулирования информацией за крайне короткие периоды времени, что значительно затрудняет возможность их обнаружения и устранения, и как следствие - ставит такие программы в разряд одного из самых совершенных, на сегодняшний день, инструментов противоправных действий в информационной сфере /29/.

Вредоносные программы влияют, в первую очередь, на временные характеристики элементов информационной сферы, так как результатом их воздействия являются значительные временные потери, связанные с восстановлением корректности информационных процессов.

В связи с этим становится очевидным, что вредоносные программы являются фактором существенного снижения эффективности применения, в первую очередь, критически важных сегментов информационной сферы, так как их деятельность ориентирована на оперативную обработку поступающей информации. Это, в свою очередь, позволяет отнести вредоносные программы к отдельному классу наиболее серьезных угроз безопасности информационной сферы.

Отсюда актуальной становится проблема защиты критически важных сегментов информационной сферы от данного вида угроз. Очевидно, что ее решение должно осуществляться системно, на основе всестороннего исследования технологий противодействия вредоносным программам. То обстоятельство, что такие технологии характеризуется множеством разнородных параметров, относит вопросы их исследования к числу сложных как в научном, так и в практическом плане.

Подобные исследования предполагают:

• проведение системного анализа состояния защищенности от вредоносных программ как в целом информационной сферы и ее отдельных критически важных сегментов;

• исследование эффективных способов и средств противодействия вредоносным программам;

• оценку технологий противодействия вредоносным программам в критически важных сегментах информационной сферы.

Все это обусловило необходимость поиска таких подходов в оценке эффективности противодействия вредоносным программам, которые системно учитывали бы все множество свойств используемых технологий.

Как показывает анализ состояния вопроса /30/, одним из наиболее перспективных путей решения данной задачи является синтез комплексного показателя, характеризующего возможности используемых технологий противодействия вредоносным программам. Вместе с тем, синтез комплексного показателя имеет ряд особенностей, связанных с наличием множества направлений как в классификации возможностей различных технологий противодействия вредоносным программам, так и в использовании для исследования математических средств.

Это позволило предложить принципиально новый подход к решению задачи комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы.

Суть данного подхода состоит в разработке обоснованных правил синтеза комплексного показателя эффективности противодействия вредоносным программам, форма которого будет оптимальной с точки зрения отражения возможностей применяемых технологий противодействия.

Несмотря на то, что совершенствование теории и практики обеспечения информационной безопасности стало чрезвычайно актуальной проблемой, специальные исследования применительно к задачам комплексной оценки эффективности противодействия вредоносным программам в информационной сфере вообще и противодействия вредоносным программам в ее критически важных сегментах, в частности, не проводились.

В связи с тем, что предлагаемый способ оценки эффективности противодействия вредоносным программам в доступной литературе не освещен, а известные методы не позволяют осуществлять всестороннюю оценку возможностей средств противодействия вредоносным программам, дает основания утверждать, что задача разработки методов комплексной оценки эффективности этих средств является чрезвычайно актуальной, а связанные с этим направлением вопросы нуждаются в серьезной проработке как в методическом, так и в прикладном плане. Все это свидетельствует об актуальности темы настоящей диссертационной работы, выполненной в соответствии с Доктриной информа ционной безопасности Российской Федерации 111, а также в соответствии с научным направлением Воронежского института МВД России, связанным с обоснованием требований к средствам и системам защиты информации.

Объектом исследования являются технологии противодействия вредоносным программам в критически важных сегментах информационной сферы.

Предметом исследования выступают методы комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы.

Целью диссертационной работы является совершенствование методов оценки противодействия вредоносным программам в критически важных сегментах информационной сферы на основе синтеза комплексного показателя эффективности используемых технологий противодействия.

Для достижения цели в работе решаются следующие научные задачи:

• теоретическое обоснование системных требований к синтезу комплексного показателя эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы;

• разработка алгоритма синтеза такого показателя;

• построение оптимальной структуры частных показателей эффективности используемых технологий противодействия вредоносным программам;

•разработка комплекса аналитических и имитационных моделей, обеспечивающих оценку показателей эффективности используемых технологий противодействия вредоносным программам;

•экспериментальная проверка алгоритмов комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы.

Методы исследования. В работе использованы методы системного анализа, теории информационной безопасности, теории множеств, теории графов, математического моделирования, теории вероятности и математической статистики, теории случайных процессов.

Обоснованность и достоверность полученных результатов обеспечивается:

• применением апробированного математического аппарата в процессе формализации процессов противодействия вредоносным программам;

• экспериментальной проверкой разработанных математических моделей и соответствием полученных результатов известным из научной литературы случаям.

Научная новизна и теоретическая значимость результатов, полученных в диссертации, состоит в следующем:

1. Разработаны алгоритмы комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы, отличающийся от известных способов решения аналогичных задач тем, что интегрирование частных показателей производится на основе учета их влияния на целевую функцию - степень предотвращения ущерба информационной сферы от нарушения ее безопасности.

2. Предложен методический подход к комбинированию имитационного и аналитического моделирования для оценки частных показателей технологий противодействия вредоносным программам, который, в отличие от аналогов, дает возможность управлять степенью детализации исследуемых процессов.

3. Предложены новые решения по построению математических моделей противодействия вредоносным программам, основанные на использовании подобия частных показателей используемых технологий противодействия классическому представлению случайных величин.

Практическая ценность исследования состоит в разработке эффективной системы поддержки решений по оценке используемых технологий противодействия вредоносным программам в критически важных сегментах информационной сферы, которая выполняет следующие функции:• анализ и обобщение частных показателей противодействия вредоносным программам для различных практических вариантов используемых технологий противодействия;

• построение удобных для практического восприятия схем анализа технологий противодействия вредоносным программам;

• сравнение показателей эффективности различных технологий проти-водействия вредоносным программам.

Результаты теоретических и экспериментальных исследований могут быть использованы для решения следующих научно-прикладных задач:

• обоснования новых подходов к организации противодействия вредоносным программам в критически важных сегментах информационной сферы;

• анализа существующих технологий противодействия вредоносным ф, программам в процессе их использования.

Полученные результаты могут применяться в лекционных курсах и учебных материалах высших учебных заведений при изучении основ информационной безопасности, а также при переподготовке персонала, отвечающего за безопасность критически важных сегментов информационной сферы. На защиту выносятся следующие основные положения диссертацион- ,$ ной работы:

1. Постановка и результаты решения задачи синтеза комплексного показателя эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы на основе построения оптимальной структуры частных показателей и его применения для оценки эффективности используемых технологий противодействия вредоносным программам.

2. Методический подход к комбинированию имитационного и аналитического моделирования для оценки частных показателей технологий противодействия вредоносным программам.

Внедрение результатов работы. Результаты диссертационной работы внедрены в:

Военном институте радиоэлектроники Министерства обороны Российской Федерации;

Воронежском институте Министерства внутренних дел Российской Федерации;

Главном Управлении внутренних дел Воронежской области;

Управлении внутренних дел Тамбовской области.

Внедрение результатов подтверждается соответствующими актами.

Апробация работы. Основные методические и практические результаты исследований докладывались на следующих конференциях:

Основные методические и практические результаты исследований докладывались на следующих конференциях:

1. Всероссийская научно-практическая конференция «Современные проблемы борьбы с преступностью» - Воронеж, 2002 г. /48/.

2. Межрегиональная научно-практическая конференция «Информация и безопасность» - Воронеж, 2002 г. /56/.

3. IV Всероссийская научно-практическая конференция «Охрана, безопасность и связь» - Воронеж, 2003 г. /49/.

4. Всероссийская научно-практическая конференция «Современные проблемы борьбы с преступностью» - Воронеж, 2005 г. /57/.

Публикации. По теме диссертации опубликовано 9 статей /28, 29, 30, 35, 50, 53, 54, 55, 67/.

В работах, опубликованных в соавторстве, лично соискателем предложено:

в /28/ - классифицировать компьютерные вирусы с учетом комплексного проявления ими свойств ассоциативности, репликативности и изоморфности;

в /29/ - иллюстрацию использования злоумышленниками различных свойств компьютерных вирусов при реализации этапов обобщенной стратегии несанкционированного доступа к информации в компьютерных системах;

в /30/ рассматривать в качестве основных классифицирующих признаков свойств вредоносных программ их активность и живучесть;

в /35/ - систематизацию обстоятельств, обусловливающих необходимость сохранения в тайне действий правоохранительных органов;

в /48/ - идентифицировать противоправные действия в сфере компьютерной информации с помощью двухуровневой системы, первый уровень которой обеспечивает выявление факта противоправного действия, а второй -следов таких воздействий;

в /49/ - выявлять факты противоправного воздействия на информацию в компьютерных сетях с помощью смыслового контроля информационных параметров вычислительных процессов;

в /50/ - в качестве основополагающего принципа идентификации компьютерных преступлений принцип иерархического описания стратегий несанкционированного доступа к информации в компьютерных системах;

в /53/ - использовать технологии распределенной защиты информации в качестве источника криминалистически значимой информации при расследовании компьютерных преступлений;

в /54/ - рассматривать в качестве доминирующего фактора повышения раскрываемости компьютерных преступлений наличие полного набора идентифицирующих признаков такого рода противоправных действий;

в /56/ - рассматривать методику оценки защищенности информационно-телекоммуникационных систем от угроз их информационной безопасности как процедуру формирования иерархической структуры показателей рассмотреть в качестве примера функционально-информационной модели деятельность службы режима спецподразделения по обеспечению сотрудников служебной документацией;

в /57/ - формировать комплексный показатель для оценки эффективности противодействия вредоносным программам на основе иерархической структуризации частных показателей;

в /67/ - использовать функциональное описание информационных процессов как необходимый этап их формализации.

Структура и объем работы. Диссертация изложена на 164 страницах и состоит из введения, четырех глав, заключения, библиографического списка использованной литературы и приложения, содержит 51 рисунок и 19 таблиц.

Противодействие вредоносным программам в критически важных сегментах информационной сферы

В настоящее время существует два концептуальных подхода к решению проблемы противодействия вредоносным программам: традиционный /38 - 40/ и подход, основанный на принципах распределенной защиты информации /41 - 43/.

Первый из этих подходов основан на периодической проверке памяти вычислительных средств на наличие вредоносных программ. Для этого используются пакеты стандартных антивирусных программ /44 - 47/.

Типовыми функциями этих средств являются: сканирование памяти вычислительных средств; сравнение содержимого памяти со штаммами известных вредоносных программ; обнаружение вредоносных программ; удаление обнаруженных вредоносных программ; восстановление информации в файлах, подвергнутых воздействию вредоносных программ.

В основу второго подхода положена идея одновременной реализации функций обработки информации и противодействия вредоносным программам путем их распределения по всему процессу обработки информации в компьютерной сети. Это достигается за счет внесения операций, реализующих функции противодействия вредоносным программам, непосредственно в системное или прикладное ПО.

Типовыми функциями распределенной защиты информации являются: контроль корректности выполнения элементами ПО своих функций; идентификация фактов воздействий вредоносных программ; идентификация следов воздействий вредоносных программ; подавление вредоносных программ; идентификация злоумышленника; анализ последствий воздействия вредоносных программ; автоматическое восстановление информационных процессов, под вергнутых воздействию вредоносных программ.

Одним из возможных вариантов построения распределенной системы защиты информации является ее представление в виде двухуровневой системы идентификации воздействий вредоносных программ: идентификации факта воздействия вредоносной программы /48 - 50/ и идентификации следов воздействия /51, 52/.

В свою очередь, идентификация факта воздействия вредоносной программы представляется двухуровневым механизмом контроля информационных процессов в компьютерной сети, регистрирующим некорректное поведение ее ПО: путем сравнения текущих результатов выполнения функций обработки информации и функций контроля, полученных в динамике функционирования сети; путем выполнения операций сравнения текущих параметров информационного процесса в компьютерной сети с заранее известными эталонными величинами.

Особенностью такой совокупности распределенных средств контроля является то, что каждое такое средство в отдельности обладает ограничен ными контролирующими характеристиками вредоносных функций, так как может охватить лишь некоторые, в основном неявные, признаки и проявле ния вредоносных программ. Для правильного принятия решения о том, что некорректное функционирование ПО компьютерной сети обусловлено имен fu но воздействием вредоносных программ, необходим анализ всей совокупно сти формируемых в результате идентификации фактов воздействия вредоносных программ значимых признаков такого функционирования, т.е. идентификация следов воздействия вредоносных программ.

Это приводит к выводу о необходимости отслеживания последовательности всех контрольных точек всех ПМ и точек их вызовов в соответствии с иерархией построения ПО и анализа этой последовательности с целью полу-чения информации о времени, месте и условиях проявления воздействия вредоносной программы и последствий такого воздействия. При этом учитывается тот факт, что в спроектированном в соответствии с модульным подходом структурно сложном ПО одни и те же ПМ могут реализовываться на различных участках одной и той же программы или вообще в разных программах.

Перечисленные функции составляют суть механизма трассологической идентификации вредоносных программ.

Иерархическое построение программных средств трассологической идентификации вредоносных программ должно предусматривать такую структуру, при которой программные модули идентификации факта воздействия вредоносной программы вызываются модулями идентификации следов воздействия.

Важным моментом, положительно характеризующим распределенные системы защиты информации, является возможность использования этих & систем в качестве источника криминалистически значимой информации при расследовании компьютерных преступлений /53 - 55/.

Рассмотрев особенности организации противодействия вредоносным программам в критически важных сегментах информационной сферы, осуществим постановку задачи оценки комплексной оценки его эффективности.

Методика синтеза иерархической структуры показателей эффективности противодействия вредоносным программам

С целью реализации методики синтеза иерархической структуры jt показателей эффективности противодействия вредоносным программам воспользуемся введенными обозначениями в разделе 1.3 и представим элементы множества Z в виде: zj=(uJiKj,yj J)i (2.2.1) где: uj - идентификатор j - го показателя; к j - класс возможностей средств противодействия, относящийся к данному показателю; У j уровень иерархии в структуре показателей, соответствующий данному классу возможностей средств противодействия; Ф j - форма представления показателя, соответствующая данному w классу возможностей средств противодействия.

С учетом изложенных в предыдущем разделе теоретических положений произведем структуризацию соответствующих свойств. При этом будем следовать следующим правилам.

Правило 2.2.1. Одному уровню структуры соответствует один конкретный класс возможностей средств противодействия вредоносным программам.

Правило 2.2.2. Для произвольных уровней у k и у t справедливо условие: Ук Уі, ,. если свойство к будет более обобщенно, чем свойство / характеризовать степень достижения целей противодействия вредоносным программам в критически важных сегментам информационной сферы. При этом исходное множество S частных показателей эффективности средств противодействия имеет уровень, равный единице, а комплексный показатель О, непосредственно характеризующий цель противодействия, самый высокий уровень.

Правило 2.2.3. Для произвольных уровней У к и У і справедливо ус-ловие: если Ук У1% то кЫ} {л/(иД, где {пк(уК)} и {"/(у/)} множество показателей уровней У к и У і соответственно. С учетом рассмотренных в разделах 2.1 и 2.2 методических правил дадим унифицированное формальное описание структуры показателей эффективности противодействия вредоносным программам. При этом воспользуемся сложившейся к настоящему времени в теории информационной безопасности классификацией возможностей по обеспечению защищенности информационной сферы, предполагающей их деление на четыре класса, применительно к: 1 - видам обрабатываемой информации; 2 - отдельным источникам угроз и их действиям; 3 - нарушениям состояния информации; 4 - целевому назначению средств противодействия угрозам информационной безопасности.

Приведенная классификация отражает степень влияния возможностей средств противодействия вредоносным программам на обеспечение защищенности информационной сферы (от косвенного - класс 1, до непосредственного - класс 4).

Первый класс характеризует возможности элементов информационной сферы, связанные с введением избыточности в средства обработки информа , {\ ции с целью реализации функций своевременного обнаружения воздействий вредоносных программ /58, 59/, а также функций их подавления и автоматического восстановления информационных процессов, подвергнутых воздействию вредоносных программ /60/.

С учетом принципа унификации показателей эффективности противодействия вредоносным программам, в качестве основы для конструирования частных показателей первого уровня условимся использовать время реализации соответствующими средствами противодействия своих функций. При этом под временем т, обеспечения / ой возможности средств противодействия вредоносным программам условимся понимать время с момента начала выполнения функций данными средстйамютдамтсштранваечавижи зрения влияния средств противодействия вредоносным программам на обеспечение защищенности информационной сферы показатели данного уровня отражают самую низкую степень, что позволяет использовать их в качестве исходных при синтезе структуры показателей эффективности противодействия. В этой связи будет справедливым равенство:

Второй класс характеризует возможности, связанные с предупреждением условий применения вредоносных программ, их поиском, обнаружением и обезвреживанием, а также с восстановлением информационных процессов, подвергшихся воздействию вредоносных программ.

Перечисленные возможности определяются своевременностью реагирования средств противодействия вредоносным программам на воздействия такого рода угроз информационной безопасности, что позволяет в качестве основы для конструирования показателей второго уровня использовать своевременность реализации средствами противодействия собственных функций.

Возможности средств противодействия вредоносным программам по выполнению собственных функций считаются реализованными своевременно, ес ли время Т м реализации т-ои возможности по противодействию не превышает требуемого времени Т(тр) т.е. при выполнении неравенства:

Формальное представление процессов функционирования средств противодействия вредоносным программам

Начальная стадия разработки математической модели процессов функционирования средств противодействия вредоносным программам состоит в формализации реализуемых ими процедур мониторинга информационного пространства и защиты критически важных элементов информационной сферы. Начальная стадия формализации реализуется, как правило, методами структурного моделирования /67/, предполагающими, применительно к решаемой задаче, декомпозицию описания целевой функции моделируемого процесса до уровня описания конкретных возможностей средств противодействия (класс 1 в приведенной в разделе 2.3 классификации).

Определим процедуру Prf"a) противодействия вредоносным программам в критически важных сегментах информационной сферы как кортеж: = (4 .). в котором: Idt - идентификатор /-ой процедуры; Funl - структурированное множество функций, реализующих і-ую процедуру; , - временная характеристика / -ой процедуры противодействия вредоносным программам, представляемая, в свою очередь, в виде кортежа: Т, ={VPM2),VP,VP,VP) (3.2.1), где у/}1 , у/\2 , у/\ъ , у/І и y/j - характеристики случайного времени реализации / -ой процедуры: }1 - условное обозначение закона распределения случайного време ни реализации / -ой процедуры (равномерный, усеченный экспоненциальный, усеченный нормальный); (2) - у/ - среднее значение случайного времени реализации / -ои процедуры (для равномерного и экспоненциального законов распределения -ноль); у/у - среднеквадратическое отклонение случайного времени реализации / -ой процедуры (для равномерного закона распределения - ноль); у/} - минимальное значение случайного времени реализации / -ои процедуры; у/}5 - максимальное значение случайного времени реализации /-ой процедуры (для усеченного экспоненциального и усеченного нормального законов распределения - ноль).

На множестве / 1/ = 1,2,...,/,/ = 1 1 } процедур определим отношение зацепленности между ними и опишем его матрицей вероятностей переходов Р, определяющей порядок следования процедур. Элемент Рп,і = 1,2,...,1,1 = 1,2,...,1 матрицы содержит вероятность выполнения процедуры Рг/ после процедуры Рг,, либо ноль, если зацепленность между про цедурой Pi) и процедурой Рг/ отсутствует. При этом для каждой строки матрицы справедливо условие: Геометрическим изображением отношений зацепленности процедур является ориентированный граф /68/: с=с(Км}И1), множества вершин и дуг Pi} которого совпадают с исходными множествами процедур {Pi\(nd)} и отношений Р между ними, соответственно.

Множество Fun, функций, реализующих процедуру Pr/nd), формально представляется в виде массива Q, их временных характеристик размерностью \Funt х 4. Каждая j -я строка матрицы (j = 1,2,..., \Fun, ) имеет вид: (3.2.2) где cojp, cof\ ojp, а\р и cofp -характеристики случайного времени реализации у-ой функции: Щ условное обозначение закона распределения случайного времени реализации j -ой функции (равномерный, усеченный экспоненциальный, усеченный нормальный); щ - среднее значение случайного времени реализации j -ой функции (для равномерного закона распределения - ноль); щ - среднеквадратическое отклонение случайного времени реализации j -ой функции (для равномерного и экспоненциального законов распределения - ноль); (4) . щ - минимальное значение случайного времени реализации j -ои функции; o)\p - максимальное значение случайного времени реализации у -ой функции (для усеченного экспоненциального и усеченного нормального законов распределения - ноль).

Определим на множестве (3.2.1) отношение операционной зацепленно-сти между функциями funtj єFunt, j = 1,2, ....[рш/,), и опишем его с помощью матрицы вероятностей переходов \ри\, структура которой аналогична структуре матрицы Р.

Геометрическим эквивалентом матричного описания отношений является ориентированный граф: множество вершин которого совпадает с множеством (3.2.2) функций, а множество связей между вершинами - с множеством отношений между функциями.

Рассмотренный методический подход является основой для разработки математических моделей функционирования средств противодействия вредоносным программам в критически важных сегментах информационной сферы.

Анализ эффективности предложенного способа оценки противодействия вредоносным программам

С учетом приведенной в п. 1.3 постановки задачи исследования установим, насколько представленный в диссертации способ является оптимальным. С этой целью определим набор математических моделей для оценки воз-можностеи средств противодействия вредоносным программам, который, согласно (1.3.2), должен быть минимальным. Как следует из представленных в главе 3 диссертации результатов синтеза математических моделей для оценки показателей эффективности противодействия вредоносным программам, номенклатура таких моделей может быть представлена двумя классами: имитационной моделью для оценки показателей первого уровня иерархии в общей структуре показателей эффективности противодействия; аналитическими моделями для оценки показателей остальных трех уровней иерархии.

То обстоятельство, что аналитические модели однотипны, а имитаци онная модель является источником исходных данных для всех аналитических моделей, позволяет говорить о минимальной номенклатуре таких моделей.

Альтернативой предложенному в диссертации методу может быть метод, при котором каждому из четырех уровней иерархии структуры показателей эффективности противодействия вредоносным программам будут соот-ветствовать разнотипные математические модели /84 - 86/. Это позволяет сделать вывод о том, что применение разработанного в диссертации метода оценки эффективности противодействия вредоносным программам в критически важных сегментах позволяет снизить на 50% номенклатуру используемых математических моделей.

Для оценки точности разработанного в диссертации метода структуризации показателей эффективности противодействия вредоносным програм-мам воспользуемся известной методикой /87/.

В качестве показателя точности оценки воспользуемся вероятностью обобщения Р{р), характеризующей влияние обобщаемых показателей на комплексный. Так, для трехуровневой иерархической структуры показателей, представленной на рис. 4.3.1, вероятность обобщения J (0) определяется со-гласно выражения: Р - РШ - п11 п7/ %) У -Pi Pi , в котором Р\ — Р\\ Р\2 Різ - вероятность обобщения первой группы частных показателей (показателей первого уровня иерархии); „// _ „/ „/ Pi Р21 Pl2 - вероятность обобщения второй группы частных показателей; Pij - точность оценки j-ro частного показателя і-ой группы.

Точность разработанной в диссертации структуры показателей, в соответствии с используемой методикой оценки, рассматривается точность обобщенного показателя четвертого уровня и составляет 0.52.

Для сравнения оценим точность известного метода обобщения показа (ft телей, основанном на их интегрировании. С этой целью рассмотрим следую щую структуру показателей разнородных технических систем и средств защиты информации информационно-телекоммуникационных систем (рис. 4.3.2).

Представленная структура на 1 и 2 уровнях интегрирования показателей имеет аналогичные с разработанной в диссертации структурой точностные характеристики. Точностные характеристики показателей 3, 4 и 5 уровней, оцениваемых качественной шкалой при помощи лингвистических переменных /89 - 91/, зависят от градации шкалы. Общепринятая, исходя из условий неопределенности /92/, градация оцениваемого при помощи такой шкалы качества, предполагает 5 значений: «очень высокая», «высокая», «средняя», «низкая» и «очень низкая» /93/. Это как минимум в 20 раз ниже процентной шкалы, ко-торая, с определенными ограничениями, может служить аналогом вероятностной шкалы. Что касается всей структуры показателей, то, вследствие нечеткой принадлежности значений /94, 95/ к той или иной качественной градации, ее точностные характеристики как минимум на два порядка уступают точностным характеристикам структуры, предложенной в диссертации.

Завершая анализ разработанного в диссертации метода оценки эффек # тивности противодействия вредоносным программам в критически важных сегментах информационной сферы можно констатировать его универсальность и рассматривать как способ оценки защищенности информационных объектов.

4.4. Выводы

1. Оценку эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы целесообразно про , водить на основе анализа различных вариантов использования средств про тиводействия в соответствии с планом вычислительных экспериментов.

2. Применение разработанных в диссертации методов оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы позволяет снизить на 50% номенклатуру используемых математических моделей.

3. Точностные характеристики предложенной в диссертации иерархической структуры показателей, за счет применения вероятностной шкалы как минимум на два порядка превосходят точностные характеристики известных интегрированных структур показателей.

4. Разработанный в диссертации метод оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы можно рассматривать как универсальный способ оценки защищенности информационных объектов.