Учебное пособие 1310
.pdf2. АНАЛИТИЧЕСКАЯ ФОРМАЛИЗАЦИЯ УЩЕРБА И
РИСКА ПРЕВЫШЕНИЯ ПОРОГОВЫХ ЗНАЧЕНИЙ
КРИТИЧНЫХПЕРЕМЕННЫХ СОСТОЯНИЯ
2.1. Пути аналитического развития инструментария оценки рисков для критичных переменных состояния
Развитие методологии риск – анализа систем во многом ориентировано сейчас на оценки ущербов в аналитическом виде[92]. Вместе с тем, с точки зрения оценивания эффективности уместно рассмотреть вышеуказанную задачу в пространстве переменных состояния. Динамика таких переменных и ее вероятностное исследование являются обязательным атрибутом мониторинга многих систем, работающих в реальном масштабе времени, в т. ч. критически важных объектов, где соотношение полезности и ущербности характеризует их жизнестойкость. Рассмотрим такую ситуацию для компонента подобных систем. Пусть известно (рис. 2.1, а) распределение плотности вероятности f(x) экстремальных значений переменной состояния x. Когда они достигают величины Xд рассматриваемый объект временно попадает в нештатный режим. При x=Xс работоспособность свою компонент теряет безвозвратно (наступает гибель объекта и/или он переходит в качественно иное состояние).
С учетом вышеизложенного могут быть определены:
вероятность штатной работы объекта в пространстве допустимых значений переменной состояния (рис. 2.1, б)
41
( ) = 1− ( ± );
вероятность нештатных ситуаций на объекте по достижению переменной состояния значений, превышающих допустимый порог (рис. 2.1, в)
( ) = (Δ ) ( − д),
где |
= |
|
– шаг дискретизации переменной. |
|
При этом, могут быть определены функции:
пользы
( ) = ω ;
ущерба
u(x)=ω ( − д),
где ω – максимальное значение производительности объекта.
Шанс и риск (рис. 2.1, е и ж) определяются следующими выражениями:
Chance(x) = F(x)u(x) и Risk(x) = P(x)u(x).
42
Рис. 2.1. Иллюстрация оценки шанса, риска и жизнестойкости объекта по переменным его состояния
43
Соответствующую поправку на нелинейность производительности при малых и запредельных значениях переменных состояния (рис. 2.1, з) следует сделать так
( ) = [1− ( )] ω( )
и
−д = (Δ ) ( )( − д)ω( ).
Вышеприведенные выражения относятся к элементарным (в дискретной точке xi) значениям шанса и риска. Однако в полной мере эффективность (жизнестойкость) объекта возможно оценить лишь с помощью интегральных значений
∑ = |
д |
( )[1− ( )] |
и
∑ = ∑ д( − д)ω( )(Δ ) ( ).
Предлагаемая модель опирается на предположение о линейности функций ущерба и шанса. Но для целого ряда практических задач это недопустимо. Особый класс таких систем образуют критически важные объекты, где присутствует значительная нелинейность вышеуказанных функций в окрестности Xд и особенно Xс (точка бифуркации). Варьируя соотношением параметров Xд и Xс, фактически можно управлять жизнестойкостью объекта. Так, расширяя его ресурс, мы неизбежно увеличиваем порог Xд. Подобным образом возможно и увеличение продолжительности жизни объекта через управление
44
параметром Xс. Однако это предмет и направление самостоятельного исследования, основой для которого могут послужить вышеуказанные умозаключения и модели.
Риск - анализ не мыслим без использования мер риска, среди которых наиболее распространенной является мера усреднения ущерба
( ) = |
∫ |
ср |
( |
) |
, |
(2.1) |
∫ |
ср |
( |
) |
|
|
где: u - случайная величина ущерба в диапазоне значений
(0, ср);
f(u) – плотность вероятности появления ущерба. Матожидание является простейшей мерой риска.
Измеряется этот риск в тех же единицах, что и ущерб u. При дискретизации u мы можем найти
(2.2)
где P(ui) – вероятность наступления ущерба величины ui. При охвате полной группы событий знаменатель
(2.2) будет равен единице и нам достаточно рассмотреть только числитель. Тогда можно определить мгновенный риск, т.е. – найти вероятность появления конкретного значения ущерба
= ( ).
На практике, довольно часто ущерб является функцией некоторой случайной величины x, которая, в свою очередь, является переменной состояния рассматриваемой системы (компоненты). Тогда
45
=( ) [ ( )].
Во многих практических задачах рассматриваются ситуации возникновения ущерба в связи с превышением x некоторого допустимого значения Xд. В таком случае величину ущерба можно оценить следующей функцией
( ) = ω(t)− д ,
где: x0 – текущее значение переменной состояния x, превышающее Xд;
ω(t) – производительность объекта, зависящая t от периода жизненного цикла, в котором находится объект.
При этом, вероятность появления ущерба в диапазоне величин ±∆ будет равна
±(Δ ) ( ),
где: x= - шаг дискретизации переменной состояния;
f(x0) – плотность вероятности появления экстремума x0, имеющая вид (рис. 2.2, а).
Здесь также уместно общее ограничение по среднему значению порога ущерба
с = ( )д,
46
что следует из рис. 2.2, б.
С учетом вышеизложенного мгновенный (элементарный) риск (рис. 2.2, в) будет равен:
|
( |
) = |
д |
( |
|
|
) |
( |
), |
|
|
|
|
где w – с точки зрения x, константа. |
|
|
|
|
|
|
|||||||
Для |
дискретизации, |
|
|
т.е. |
следует |
ввести |
|||||||
обозначения: |
= (Δ ); |
|
= (Δ ). |
|
|||||||||
|
= (Δ ); |
|
|
||||||||||
Тогда элементарный риск равен: |
|
|
|
|
|
||||||||
|
Risk( |
) = |
|
д |
|
(Δx) |
( |
), |
|
|
|||
а интегральный риск составит: |
− д |
|
|
|
|
|
|
|
|||||
|
∑ = |
|
|
( |
) |
( |
) |
. |
|
||||
|
|
ω |
|
|
|
|
|||||||
По аналогии может быть найден интегральный
шанс
∑ = ∑ (Δω) ( ),
где ki– текущее дискретное значение переменной состояния ( = ∆ ).
47
f(x)
x
а) |
Xд |
X Xc |
u(x)
x
б) |
Xд |
Xc |
Risk(x)
x
в) |
Xд |
|
|
|
|
Xc |
|
|
|
||||
|
Δx |
|
|
|||
|
|
|
|
|
||
|
|
|
|
|
|
|
Рис. 2.2. Экстремальные распределения плотности вероятности (а), ущерба (б) и риска (в)
48
Практическое использование предлагаемых моделей уместно также пояснить на примере переменных состояния периодического характера (рис. 2.3).
X(t)
Xmax1
|
Xmax2 |
t1 |
t2 |
0 |
t |
t3 t4
Xmin1 Xmin2
T
Рис. 2.3. Практическое применение экстремальных моделей для периодических переменных состояния
где: (0, t1);(t1, t2);(t2,t3);(t3, t4) – интервалы периода T,
соответствующие порогам безопасности Xmin1, Xmin2 , Xmax1 и Xmax2, а T – период повторения сигнала переменной состояния.
Специфика подобного анализа заключается в том, что на различных интервалах периода повторения сигнала, следует применять свой порог. Это существенно осложняет процедуру риск – анализа, но не изменяет ее методологически.
49
Нелинейные и сложные процессы нарушения работоспособности атакуемых элементов ИТИ КВО разумеется требуют использования вероятностных методов анализа. Одна из наиболее опасных и распространенных атак ориентирована на проникновение в систему и организацию нештатных ситуаций с последующим нарушением ее работоспособности.
Рассмотрим подобную ситуацию на примере DOSатаки (рис. 2.4). Скачок переменной состояния (запросов), произошедший в момент времени t1, означает, что их количество превысило допустимый порог Xд и образовалась очередь, объем которой представляет собой разность между пиковым значение Xп и Xд. Ликвидировать эту коллизию представляется возможным только в темпе присущей рассматриваемой системе производительности обработки данных. Речь идет о максимально возможном количестве операций по ликвидации инцидента, реализуемом в единицу времени Uд. Отсюда время ликвидации коллизии будет равно:
− = п д.
д
Утраченная выгода в результате ухудшения работоспособности системы будет равна:
( − ) = ω(t) п д,
д
где ω(t) – производительность системы.
Отсюда, по отношению к x при фиксированной функция ущерба будет иметь линейный вид:
( ) = ( − д),
50