5.4.2. Оценка вероятностей реализации атак

Интенсивность возникновения атак рассчитывается аналогично таковой для атак с постоянным ущербом. Однако в данном случае следует отказаться от использования категории интенсивности реализации атак, поскольку применение вероятностного механизма уже имеет место при расчете среднего ущерба от проведения атаки.

Несмотря на это, величина интенсивности возникновения сложных атак, очевидно, зависит от интенсивности успешной реализации простых атак как их этапов. В таком случае для атак, не наносящих системе ущерб непосредственно, предлагается величина вероятности реализации этапа сложной атаки. Величину данной вероятности возможно связать с временем действия, т.е. под вероятностью реализации этапа сложной атаки будем понимать вероятность того, что длительность действия данного этапа как атаки превышает некоторую величину T_k, необходимую злоумышленнику для достижения цели подготовки.

В рассматриваемой системе возможны три последовательных состояния:

s₁ — действие атаки не началось,

s₂ — действие атаки началось,

s₃ — действие атаки закончилось.

Между этими состояниями возможны два перехода:

t₁ — процесс осуществления атаки, результатом которого является начало действия. Этому переходу соответствует рассмотренная функция распределения

t₂ — процесс завершения атаки, которому соответствует функция плотности распределения

(5.32)

Необходимо найти вероятность того, что переход t₂ произойдет не раньше, чем через время t после срабатывания перехода t₁. Функция распределения вероятности реализации второго перехода равна

где P₁ — значение вероятности выполнения необходимого условия, т.е. того, что к моменту времени  от начала действия атаки пройдет интервал времени t:

Получается, что искомая функция представляет собой свертку:

(5.33)

Для 100, _з200 график функции принимает вид, представленный на рис. 5.9, где

P(t) — вероятность начала действия атаки к моменту времени t,

P_а(t) — вероятность действия атаки к моменту времени t,

P_д(t) — Вероятность продолжительности действия атаки в течение интервала времени t.

Р

P(t)

t

P_д(t)

P_а(t)

ис. 5.9. Вероятности нахождения системы в некотором состоянии к моменту времени t

Таким образом, для оценки вероятности реализации этапа атаки, необходимо оценить время, необходимое злоумышленнику для достижения цели. Например, при сканировании портов оно не превышает нескольких секунд, а при прослушивании трафика на предмет паролей, передаваемых в незащищенном виде, зависит от интенсивности обмена по атакуемым протоколам и может иметь порядок нескольких минут.

Вводится вектор величин {_k}, элементами которого являются соответствующие интервалы времени для этапов каждой из исследуемых атак. Далее рассчитываются вероятности реализации этапов атак p_ik как значение приведенной выше функции в заданной точке p_ikP_дk(_k).

При рассмотрении атак, для которых имеет смысл не время их действия, но факт реализации (сканирование портов) необходимо рассчитать количественное значение вероятности реализации. В случае начала системой защиты ответных действий до наступления момента начала действия атаки, считается, что атака будет реализована в том случае, если все действия системы защиты вплоть до полного устранения эффективности попыток злоумышленника продолжать атаку (запрет обработки сообщений с блокированного адреса) не успеют завершиться к моменту начала действия атаки. Формула для значения вероятности имеет следующий вид:

(5.34)