Помощь в написании студенческих работ
Антистрессовый сервис

Компьютерные преступления в АС, связанные с неправомерным доступом к компьютерной информации: оценка и регулирование рисков

ДипломнаяПомощь в написанииУзнать стоимостьмоей работы

Субъективная сторона данного преступления характеризуется только прямым умыслом. В случае если в результате неправомерного доступа к системе ЭВМ, управляющей процессами, связанными с повышенной опасностью, например системе управления атомной станцией, в результате уничтожения, блокирования, модифицирования информации была нарушена работа реактора, что привело к тяжким последствиям, даже если… Читать ещё >

Компьютерные преступления в АС, связанные с неправомерным доступом к компьютерной информации: оценка и регулирование рисков (реферат, курсовая, диплом, контрольная)

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА

Компьютерные преступления в АС, связанные с неправомерным доступом к компьютерной информации: оценка и регулирование рисков

1. Анализ реализуемых в автоматизированной системе компьютерных преступлений, связанных с неправомерным доступом к компьютерной информации, их характерных особенностей и способов реализации

1.1 Сущность неправомерного доступа к компьютерной информации как компьютерного преступления

Под компьютерным преступлением следует понимать предусмотренное уголовным законом общественно опасное деяние (действие или бездействие), направленное против информации, представленной в особом (машинном) виде, принадлежащей государству, юридическому или физическому лицу, а также против установленного государством или ее собственником порядка создания (приобретения), использования и уничтожения, если оно причинило или представляло реальную угрозу причинения ущерба законному владельцу информации или автоматизированной системы, в которой эта информация генерируется (создается), обрабатывается, передается и уничтожается, или повлекло иные опасные последствия.

Согласно Конституции РФ, «охраняемая законом компьютерная информация» — это любая информация, которая поставлена под защиту закона в связи с обеспечением собственных и обязательственных прав на ЭВМ, компьютерное оборудование, а также в связи с тайной сообщений".

Согласно Уголовному кодексу Российской Федерации (в редакции с 11.03.2011) неправомерным доступом к компьютерной информации является деяние, которое повлекло её уничтожение, блокирование, модификацию или копирование, нарушение работы ЭВМ, системы ЭВМ или их сети, при осуществлении которых использовались информационно-телекоммуникационные сети [92], причем компьютерная информация может выступать как в качестве предмета преступления, так и в качестве средства преступления, причем в рамках одного и того же случая правонарушения. К статье 272 УК РФ («Неправомерный доступ к компьютерной информации») относятся как преступления, совершаемые в отношении компьютерной информации, находящейся в глобальных компьютерных сетях или при обращении к ним, так и преступления, совершаемые в отношении компьютерной информации, находящейся в ЭВМ, не являющихся компьютером в классическом понимании этого слова (таких, как пейджер, сотовый телефон, кассовый аппарат и т. п.).

Состав данного преступления носит материальный характер и предполагает обязательное наступление одного из следующих последствий:

— уничтожение информации — приведение ее полностью либо в существенной части в непригодное для использования по назначению состояние;

— блокирование информации — обеспечение недоступности к ней, невозможности ее использования в результате запрещения дальнейшего выполнения последовательности команд либо выключения из работы какого-либо устройства, а равно выключения реакции какого-либо устройства ЭВМ, системы или сети ЭВМ при сохранении самой информации;

— модификация информации — внесение изменений в программы, базы данных, текстовую информацию, находящуюся на материальном носителе;

— копирование информации — перенос информации на другой материальный носитель, при сохранении неизмененной первоначальной информации;

— нарушение работы ЭВМ, системы ЭВМ или их сети, что может выразиться как в нарушении работы отдельных программ, баз данных, выдаче искаженной информации, так и в нештатном, т. е. не предусмотренном специальными инструкциями либо правилами, функционировании программно-аппаратных средств и периферийных устройств либо нарушении нормального функционирования сети.

Важным является установление причинной связи между несанкционированным доступом и наступлением последствий.

При этом следует учитывать, что неправомерный доступ может осуществляться к одной компьютерной информации, а вредоносные последствия наступать в отношении другой.

При функционировании сложных компьютерных систем возможны уничтожение, блокирование и нарушение работы ЭВМ в результате технических неисправностей или ошибок в программных средствах. В этом случае лицо, совершившее неправомерный доступ к компьютерной информации, не подлежит ответственности из-за отсутствия причинной связи между действиями и наступившими последствиями.

Данное преступление считается оконченным в момент наступления предусмотренных в комментируемой статье последствий.

Субъективная сторона данного преступления характеризуется только прямым умыслом. В случае если в результате неправомерного доступа к системе ЭВМ, управляющей процессами, связанными с повышенной опасностью, например системе управления атомной станцией, в результате уничтожения, блокирования, модифицирования информации была нарушена работа реактора, что привело к тяжким последствиям, даже если наступление этих последствий не охватывалось умыслом лица, уголовная ответственность за такие последствия наступает в случае, если лицо предвидело возможность их наступления, но без достаточных к тому оснований самонадеянно рассчитывало на их предотвращение, или в случае, если лицо не предвидело, но должно было и могло предвидеть возможность наступления этих последствий. В целом такое преступление признается совершенным умышленно.

Субъектами данного преступления в основном могут являться лица, имеющие опыт работы с компьютерной техникой, поэтому в силу профессиональных знаний они обязаны предвидеть возможные последствия уничтожения, блокирования, модификации информации либо нарушения работы ЭВМ, системы ЭВМ и их сети. По общему правилу субъектом преступления, предусмотренного комментируемой статьей, может быть лицо, достигшее 16-летнего возраста, однако ч. 2 этой статьи предусматривает наличие специального субъекта, совершившего данное преступление с использованием своего служебного положения, а равно имеющего доступ к ЭВМ, системе ЭВМ или их сети. Под доступом в данном случае понимается фактическая возможность использовать ЭВМ при отсутствии права на работу с защищенной информацией. Например, инженер по ремонту компьютерной техники имеет доступ к ЭВМ в силу своих служебных обязанностей, но вносить какие-либо изменения в информацию, находящуюся в памяти ЭВМ, не имеет права.

Способы осуществления неправомерного доступа можно разделить на 2 группы:

1). Простые в техническом плане преступления, не требующие особой подготовки.

2). Высокотехнологичные способы, характеризующиеся специальными методами и средствами совершения преступления, а также сокрытия следов преступления. Такие правонарушения требуют специальной подготовки.

Преступления первой группы наиболее распространены. Их обнаружение и раскрытие не составляет особого труда для криминалистов. Такие правонарушения не характеризуются предварительным сбором информации об объекте посягательства, организации его работы, версии операционной системы, программном обеспечении, сетевой топологии и так далее.

Вторая группа способов неправомерного доступа, напротив, характеризуется высокотехнологичными приемами взлома, является наиболее опасной и редко поддается раскрытию всех их обстоятельств. Используемые приемы сокрытия следов неправомерного доступа обуславливают высокую сложность обнаружения преступления, а также выяснения личностей преступников.

Рассматриваемый тип преступлений имеет очень низкий процент раскрываемости ввиду того, что очень часто деяния злоумышленников остаются незамеченными, а их жертвы иногда по каким-либо причинам боятся или считают нецелесообразным обращаться в правоохранительные органы. Согласно статистике «American Internet Crime Complaint Center» («Центра жалоб по компьютерным преступлениям — IC3») число жалоб в центр значительно превышает количество обращений, переданных на рассмотрение в правоохранительные органы в случаях возникновения инцидентов компьютерных преступлений.

Рисунок 1.1 — Количество жалоб в IC3 по случаям возникновения инцидентов компьютерных преступлений Рисунок 1.2 — Количество переданных на рассмотрение дел по случаям возникновения инцидентов компьютерных преступлений

Данная статистика публикуется ежегодно и служит для выявления необнаруженных инцидентов преступлений в отношении компьютерной информации. Приведенные диаграммы лишь подтверждают точку зрения о высокой латентности киберпреступлений, что является одной из главных причин их слабой раскрываемости. Проанализировав эти данные, можно сделать вывод о том, что порядка 58% преступлений проходят «мимо» поля зрения правоохранительных органов. Обнаруживаются же преступления, как правило, в случаях, приведенных на диаграмме рис. 1.3.

Рисунок 1.3 — Соотношение причин обнаружения случаев компьютерных преступлений при отсутствии соответствующего обращения в правоохранительные органы Обычно потерпевшая сторона при возникновении инцидента компьютерного преступления, в частности, связанного с неправомерным доступом к компьютерной информации принимает решение об обращении в правоохранительные органы, исходя из анализа следующих факторов[16]:

1). Уровень доверия правоохранительным органам по вопросу скрытия данного события от общественности в целях сохранения репутации и клиентов.

2). Вера в компетентность сотрудников полиции по вопросам установления факта преступления, а также его расследования и раскрытия.

3). Низкий уровень юридической грамотности руководства и персонала потерпевшей организации.

4). Возможность требования создания системы безопасности со стороны государства в разбирательства, что приведет к непредвиденным затратам, возможно, большим, нежели ущерб, нанесенный инцидентом.

5). Страх раскрытия собственных незаконных механизмов осуществления экономической или прочих видов деятельности.

6). Возможность выявления низкой профессиональной подготовки некоторых должностных лиц.

Кроме того, в настоящее время криминалистические аспекты расследования и предупреждения преступлений, связанных с неправомерным доступом компьютерной информации, исследованы недостаточно, не решены вопросы тактики и методики следственных действий.

Одной из главных особенностей неправомерного доступа к компьютерной информации является то, что обычно он реализуется удаленно, то есть место совершения преступления не совпадает с местонахождением преступника в момент правонарушения. Следовательно, следы правонарушений необходимо искать на пути следования данных от взломщика до жертвы. Ниже на рисунке 1.4 приведена обобщенная схема, описывающая наличие следов атаки на различных этапах пути прохождения информации.

Для реализации преступного посягательства злоумышленники чаще всего используют 5 нижеприведенных способов:

1). Использование чужих IP-адресов в ЛВС с выходом в Интернет. Следы могут быть представлены в виде IP и MAC-адресов.

2). Использование беспроводного соединения Wi-Fi. Сервер провайдера содержит настройки и некоторые данные злоумышленника.

3). Использование чужого телефонного номера. Следы также можно обнаружить на сервере провайдера.

4). Использование чужого компьютера. Целесообразно воспользоваться файлами регистрации и аудита системных событий. Однако грамотные взломщики такие следы тщательно скрывают.

5). Пользование услугами провайдера, не хранящего данные о своих пользователях. Следов не остается.

Рисунок 1.4 — Обобщенная схема удаленного неправомерного доступа к компьютерной информации с перечнем следов преступления

1.2 Описание мотивов, объектов, используемых уязвимостей и методов неправомерного доступа к компьютерной информации

Для анализа мотивов действий компьютерных преступников обратимся к «Web Hacking Incident Database» («База данных случаев веб-хакинга») — WHID.

Рисунок 1.5 — Соотношение мотивов неправомерного доступа Проанализировав приведенную диаграмму, можно увидеть, что чаще всего хакеры прибегают к взлому в целях обеспечения простоя атакуемых систем, что приводит к потере их функциональности и снижению эффективности функционирования. Достаточно часто действия взломщиков направлены на уничтожение важных данных и ознакомление с конфиденциальной информацией, а также на навязывание ложной информации (имитацию или подмену). Не секрет, что Интернет в последнее время широко используется для мошенничества, особенно в нашей стране, где уровень компьютерной грамотности населения в среднем невысок. Гораздо реже хакеры реализуют свои противоправные действия в целях удовлетворения собственного любопытства или же банального бесплатного просиживания во всемирной паутине за счет другого абонента.

Рисунок 1.6 — Соотношение объектов атак взломщиков Как видно из рисунка, наиболее подвержены атакам правительственные системы, т.к. именно они используются для оперативного управления делами государства. Искажение уничтожение, либо модификация важных правительственных данных способно подорвать доверия народа к правительству, внести сумятицу в государственные дела, ведь именно в руках правительства находится исполнительная власть, обеспечивающая порядок в стране и безопасность граждан. Банковская система также оказывается весьма уязвимой по отношению к неправомерному доступу в целях нанесения ущерба и упущению выгоды от финансовых операций.

Среди уязвимостей особняком стоит недостаточная анти-автоматизация, которая предполагает возможность автоматизации злоумышленником процесса, который должен выполняться исключительно вручную. Все чаще используется уязвимость, связанная с неправильной обработкой данных, что обуславливает распространение атак типа «Межсайтовый скриптинг» и «SQL-инъекция».

Рисунок 1.7 — Соотношение используемых хакерами уязвимостей Рисунок 1.8 — Соотношение методов взлома Среди всех видов атак стоит выделить атаки 3-х видов: отказ в обслуживании (DoS-атаки), компрометация системы, межсайтовый скриптинг — XSS. Dos-атака (атака типа «отказ в обслуживании», от англ. Denial of Service) — атака на вычислительную систему с целью обеспечения невозможности или существенного затруднения получения доступа пользователей к ее ресурсам. Обусловлена наличием уязвимости типа «недостаточная анти-автоматизация». Обычно при возникновении внештатной ситуации атакуемое программное обеспечение выдает некоторую критическую информацию (версию операционной системы, часть программного кода, список пользователей и т. д.), которая может быть использована для овладения системой. Чаще всего подобные атаки обуславливают упущение выгоды в результате простоя служб, приносящих доход.

Компрометация системы позволяет выполнить произвольный код на целевой системе. Одним из основных способов компрометации является SQL-инъекция. Данный тип атаки основан на неправильной обработке СУБД входных данных, что позволяет хакеру выполнить произвольный SQL-запрос (самовольно получать доступ, изменять, добавлять и удалять данные). В результате СУБД остается полностью уязвимой к хакерским атакам, и предоставляет взломщикам возможность всецело управлять её состоянием.

По данным «Securitylab» на 2012 год XSS-атаки являются наиболее часто встречающимися. Суть такого воздействия заключается в наличии возможности попадания пользовательских скриптов в генерируемые сервером страницы. Взломщик может получить доступ к данным cookie (пароль, идентификатор сессии и т. д.). Такой сервер можно использовать в качестве средства атаки на клиентов.

Рисунок 1.9 — Соотношение векторов атак На рис. 1.8. Представлено соотношение видов атак по источнику их возникновения.

Из представленной диаграммы видно, что неправомерный доступ в 84-х процентах случаев реализуется удаленно, в 10-ти процентах — из пределов локальной сети, и лишь в 6-ти процентах при непосредственном доступе к аппаратуре.

Рисунок 1.10 — Соотношение опасностей атак Диаграмма на рисунке 1.10 свидетельствует о том, что более половины всех атак считаются малоопасными, около трети котируются как атаки средней опасности, 17% - высокой, и лишь 1 процент — критической.

1.3 Характеристика личности преступника как субъекта неправомерного доступа

Для анализа национальной принадлежности нарушителей обратимся к статистике IC3. Согласно приведенным ниже данным, подавляющее большинство хакеров являются гражданами Соединенных Штатов. Российская Федерация в статистике не представлена, так как не входит в десятку стран, являющихся источниками нападения.

Рисунок 1.11 — Топ 10 стран-источников неправомерного доступа Согласно статистике ФБР, наиболее опасными нарушителями с точки зрения вероятности успешной реализации деструктивных действий являются так называемые «инсайдеры», то есть внутренние пользователи системы, знающие специфику и особенности построения атакуемой вычислительной системы.

Рисунок 1.12 — Перечень категорий нарушителей

Наименьшую же угрозу представляют клиенты и аудиторы, мало осведомленные об атакуемой системе.

В экспертно-криминалистическом центре МВД была проведена классификация взломщиков. В результате получился некий портрет современного российского компьютерного преступника. Это, в 75-ти процентах случаев мужчина с большим опытом работы. Разброс возраста весьма существенный (15−45 лет). Что же касается судимости, то она, как правило, отсутствует. Такой человек является весьма уважаемым в своем кругу, не терпит всякого рода насмешек, мыслит быстро и нестандартно.

Таблица 1.1 — Портрет современного российского компьютерного преступника

Параметр

Характеристика

Пол

Мужской

Возраст (лет)

15−45

Наличие судимости

Отсутствует

Способность нестандартно мыслить

Присутствует

Способность принимать ответственные решения

Присутствует

Отзыв как о работнике

Положительный, трудоголик с большим опытом работы

Потребность соц. контактов

Низкая

Потребность в отдыхе

Низкая

Темперамент

Сангвиник

1.4 Выводы по первой главе

В первой главе был произведен анализ компьютерных преступлений, связанных с неправомерным доступом к компьютерной информации, рассмотрена обобщенная схема реализации данных правонарушений, рассмотрены способы их осуществления, а также их следы, используемые правоохранительными органами для расследования подобных инцидентов. Кроме того, была приведена и проанализирована статистика используемых методов неправомерного доступа, уязвимостей, их обуславливающих, а также субъектов преступлений и их мотивов.

Дабы резюмировать вышеописанное и собрать результаты анализа воедино, сформирована матрица-классификатор неправомерного доступа к компьютерной информации, содержащая объект, субъект, предмет, метод неправомерного доступа и описание уязвимости.

Объект неправомерного доступа — пассивная составляющая процесса неправомерного доступа, автоматизированная система, принадлежащая какой-либо из представленных сфер и подвергающаяся взлому со стороны злоумышленника.

Субъект неправомерного доступа — активная составляющая процесса неправомерного доступа, способная влиять на другие составляющие посредством выполнения каких-либо действий. Является источником угрозы и характеризуется по следующим параметрам: — численность, мотивация, полномочия в атакуемой системе, уровень профессионализма.

Предмет неправомерного доступа — цель воздействия на субъект. Предметом может являться какое-либо свойство объекта, его характеристика или значение.

Метод неправомерного доступа — способ неправомерного доступа, определяющий последовательность действий при реализации воздействия на АС. Используемая уязвимость — «слабое место» в атакуемом объекте, обуславливающее наличие угрозы и соответствующую опасность.

Таблица 1.2 — Матрица-классификатор случаев неправомерного доступа

Объект неправомерного доступа

Субъект неправомерного доступа

Предмет неправомерного доступа

Метод неправомерного доступа

Используемая уязвимость

Правительство

Компьютерные террористы, сотрудники иностранных разведок

Уничтожение данных

SQL-инъекция

Недостаточная проверка входных данных

Банковская система

Бывшие служащие, клиенты, независимые хакеры.

Нанесение ущерба, кража реквизитов кредитных карт

Раскрытие важных данных

Недостаточная аутентификация

Торговля

Независимые хакеры

Утечка реквизитов кредитных карт

SQL-инъекция

Недостаточная проверка входных данных

Веб-сервисы

Независимые хакеры

«Кража времени»,

распространение вирусов, спам.

Межсайтовый скриптинг

Недостаточная проверка выходных данных

Развлекательные организации

Бывшие служащие, независимые хакеры.

«Кража времени»

Отказ в обслуживании

Недостаточная анти-автоматизация

Политические организации

Конкуренты

Уничтожение данных

Отказ в обслуживании

Недостаточная анти-автоматизация

Средства массовой информации

Компьютерные террористы

Дезинформация

SQL-инъекция

Недостаточная проверка входных данных

Промышленность

Лица, занимающиеся промышленным шпионажем, поставщики оборудования и ПО.

«Кража времени»

Отказ в обслуживании

Недостаточная анти-автоматизация

Торговля

Конкуренты

Нанесение ущерба

Отказ в обслуживании

Недостаточная анти-автоматизация

Образование и наука

Сотрудники иностранных разведок

Утечка и уничтожение данных

SQL-инъекция

Недостаточная проверка входных данных

Гостиничный бизнес

Конкуренты, консультанты и временные сотрудники

«Кража времени»

Отказ в обслуживании

Недостаточная анти-автоматизация

Страховые компании

Клиенты, бывшие служащие, независимые хакеры, внутренние пользователи

«Кража времени»

Нанесение ущерба, мошенничество.

Отказ в обслуживании

Недостаточная анти-автоматизация

Бизнес

Конкуренты

«Кража времени»,

нанесение ущерба.

SQL-инъекция

Недостаточная проверка входных данных

Спорт

Персонал вычислительных систем

Фишинг

Раскрытие важных данных

Утечка информации

Туризм

Персонал вычислительных систем

Мошенничество

Раскрытие важных данных

Утечка информации

Транспорт

Поставщики оборудования и ПО

Мошенничество

Раскрытие важных данных

Утечка информации

Производители кредитных карт

Независимые хакеры

Мошенничество, кража реквизитов кредитных карт.

Раскрытие важных данных

Утечка информации. Некорректное восстановление паролей

2. Статистическое моделирование компьютерных преступлений в АС, связанных с неправомерным доступом к компьютерной информации

2.1 Основные параметры риска, используемые при статистическом моделировании

Как уже было отмечено выше, в настоящее время существует множество способов осуществления неправомерного доступа к компьютерной информации АС, каждый из которых может нанести тот или иной ущерб системе. В связи с этим уместно утверждать, что ущерб от подобных воздействий является величиной случайной. Для описания ущерба как случайной величины используется аппарат теории вероятностей и математической статистики, практикующий подход с использованием различных функций и законов распределения вероятности случайной величины. Так как величина ущерба может принимать значения в диапазоне [0;+), уместно использовать законы распределения, определенные на данной области и удовлетворяющие физическому смыслу ущерба: экспоненциальный и логнормальный законы; гамма-распределение; распределения Эрланга, Вейбула и Релея.

Функция распределения является основой для исследования непрерывных случайных величин. Непрерывная случайная величина — случайная величина, значения которой образуют несчетные множества. Значение функции распределения непрерывной случайной величины в точке определяет вероятность того, что случайная величина примет значение, меньше заданного.

Плотность или закон распределения вероятностей случайной величины имеет смысл первой производной функции распределения. Соответственно интегральная функция распределения плотности вероятности имеет вид

. (2.1)

Так как ущерб — величина положительная, то интегральная функция распределения представляет собой определенный интеграл от плотности распределения в пределах от 0 до +.

(2.2)

автоматизированный компьютерный преступление неправомерный Основными характеристиками ущерба как случайной величины являются:

— математическое ожидание (имеет смысл среднего значения ущерба, начальный момент первого порядка);

— дисперсия (характеризует разброс значений ущерба относительно математического ожидания, центральный момент второго порядка);

— центральные моменты третьего и четвертого порядков (определяются математическим ожиданием разности между текущим значением и начальным моментом первого порядка, возведенной в соответствующую степень).

Важнейшей характеристикой при оценке ущерба является математическое ожидание, характеризующее его среднее значение. Формула для расчета математического ожидания имеет следующий вид:

. (2.3)

для непрерывного распределения вероятностей ущерба.

Дисперсия также является весьма важной характеристикой ущерба как случайной величины. Дисперсия показывает разброс случайной величины относительно ее математического ожидания. Дисперсия ущерба определяется по формуле 2.4:

. (2.4)

Среднеквадратическое отклонение (первый центральный момент) ущерба имеет вид .

Следует также отметить, что крайне важное значение имеют начальные и центральные моменты.

Начальным моментом k-го порядка случайно распределенной величины ущерба в общем виде является математическое ожидание k-й степени его величины (формулы 2.5, 2.6).

. (2.5)

. (2.6)

Центральным моментом порядка k случайной величины ущерба называется математическое ожидание k-й степени соответствующей центрированной случайной величины:

. (2.7)

(2.8)

Следует отметить, что первый начальный момент — нечто иное как математическое ожидание (), а второй центральный момент — это дисперсия случайной величины ущерба ().

С использованием этих величин вводится коэффициент асимметрии распределения значений ущерба в системе:

. (2.9)

Коэффициент асимметрии показывает, насколько распределен ущерб относительно своего среднего значения, и не имеется ли в распределении асимметрии. Используя коэффициент асимметрии, можно узнать о направленности асимметрии. Если As>0, то распределение имеет правостороннюю асимметрию, а если As<0 — асимметрия левосторонняя.

Четвертый центральный момент является характеристикой островершинности распределения ущерба. Для того, чтобы описать это свойство, в теории вероятностей с помощью него вводится эксцесс случайной величины.

. (2.10)

Коэффициент эксцесса ущерба показывает, является ли распределение ущерба более островершинными, нежели нормальное (нормальное распределение имеет). При значении () распределение более островершинно, а при — менее.

Мода — значение случайной величины, имеющее наибольшую вероятность.

U0 — мода, соответствующая максимальному значению.

Риск — вероятность возникновения ущерба определенной величины. Аналитическое выражение для его расчета имеет вид:

. (2.11)

Найдем аналитические выражения для параметров риска, используя вышеприведенные характеристики.

Начальный момент k-го порядка для риска можно найти следующим образом:

. (2.12)

Центральный момент k-го порядка для риска находится следующим образом:

. (2.13)

Найдем центральный моменты 2-го, 3-го и 4-го порядка для риска, используя выражение 2.13.

(2.14)

По формуле 2.12 имеем

. (2.15)

Следовательно, центральный момент 2-го порядка для риска может быть выражен следующим образом:

. (2.16)

(2.17)

(2.18)

Определим аналитическое выражения для среднеквадратического отклонения риска как квадратный корень из второго центрального момента риска (дисперсии).

. (2.19)

Объединим результаты, полученные для основных параметров риска, в единую таблицу (таблица 2.1).

Таблица 2.1 — Обобщенные аналитические выражения для расчета параметров риска

Параметры риска

Аналитические выражения параметров

k-й начальный момент

Математическое ожидание (1-й начальный момент)

2-й центральный момент (дисперсия)

3-й центральный момент

4-й центральный момент

Коэффициент асимметрии

Коэффициент эксцесса

Среднеквадратическое отклонение

Алгоритм расчета параметров риска для АС можно представить в виде последовательности следующих процедур:

1) Определение закона распределения на основе статистических данных.

2) Расчет первых пяти начальных моментов распределения .

3) Расчет математического ожидания ущерба MR.

4) Расчет среднеквадратического отклонения ущерба .

5) Расчет моды и пика риска.

6) Расчет второго, третьего и четвертого центральных моментов.

7) Расчет асимметрии и эксцесса риска и .

2.2 Определение закона распределения ущерба с использованием статистических критериев

2.2.1 Критерий Пирсона

Статистическая гипотеза — некоторое предположение, которое принимается или отвергается на основании статистических данных. Основная проверяемая гипотеза называется нулевой и обозначается H0. Наряду с ней всегда выдвигается альтернативная гипотеза H1, и если основная отвергается, то принимается H1.

Принятие той или иной гипотезы не означает, что предположение абсолютно верно, а означает лишь, что эмпирические данные не противоречат тому или иному предположению. Методы проверки статистических гипотез называются статистическими критериями.

Критерий согласия предназначен для проверки гипотез о том, что генеральная совокупность, представленная выборкой, имеет заданный закон распределения. Основным критерием согласия является критерий Пирсона (критерий «Хи-квадрат»).

Пусть имеется генеральная совокупность непрерывного типа, представленная выборкой объема n. Проверяется гипотеза H0, что генеральная совокупность имеет закон распределения f (x) с альтернативной гипотезой H1, что закон распределения отличен от f (x).

На основе выборочных данных строится группированный статистический ряд с числом интервалов группировки k. Число интервалов k зависит от объема выборки n.

Таблица 2.2 — Зависимость числа интервалов разбиения от объема выборки.

Объем выборки n

Число интервалов k

25−40

5−6

40−60

6−8

60−100

7−10

100−200

8−12

Свыше 200

10−15

Ширина каждого из интервалов (если все они выбираются одинаковой ширины) определяется по формуле 2.18.

. (2.20)

Далее для каждого из интервалов считают эмпирические частоты (количество значений в выборке, принадлежащих данному интервалу) и эмпирические вероятности попадания величины в заданный интервал как отношение ni/n, где ni — эмпирическая частота i-го интервала.

Теоретические частоты попадания элемента выборки в тот или иной интервал считаются по формуле 2.21.

(2.21)

где — предполагаемый закон распределения генеральной совокупности, , — границы интервалов. При этом крайнюю левую границу считают равной, а крайнюю правую .

Статистикой критерия будет являться:

. (2.22)

Критическое значение определяется формулой 2.23:

(2.23)

где — уровень значимости, l — число параметров распределения, для которого по выборке были найдены точечные оценки.

H0 принимается, если. В противном случае принимается H1.

2.2.2 Определение закона распределения на основе статистических данных с использованием критерия Пирсона

Проанализируем статистику случаев неправомерного доступа за февраль, март, апрель 2012 года. Статистика представлена сайтом zone-h.org, собирающим данные о компьютерных преступлениях.

Рисунок 2.3 — Количество зарегистрированных случаев неправомерного доступа в феврале, марте и апреле 2012 года Продолжение рисунка 2.3

Согласно данным «American Internet Crime Complaint Center», средний ущерб от 1-ой успешной атаки составляет 916 $. Таким образом, составим выборку из 75-ти элементов, каждой из которых будет являться величина ущерба от инцидентов неправомерного доступа за 1 день. Для этого необходимо умножить количество атак за день на средний ущерб от 1-й атаки.

На рисунке 2.4 представлена статистика ущербов от 75 инцидентов неправомерного доступа к компьютерной информации, зафиксированных в феврале, марте, апреле 2012 г.

Рисунок 2.4 — Статистика ущербов от инцидентов неправомерного доступа за февраль, март, апрель 2012 г.

Математическое ожидание М ущерба определяется формулой 2.24:

(2.24)

где n — количество элементов выборки, Ui — i-й ущерб.

Среднеквадратическое отклонение определяется по формуле 2.25:

. (2.25)

Таким образом, для данной выборки получили значения M=26 622,77; =10 559,9.

Минимальный ущерб от атак неправомерного доступа за указанный период составил 9160 $, а максимальный — 58 608 $.

Разобьем диапазон попадания ущерба на 10 интервалов и построим гистограмму количества попаданий величины ущерба в каждый из интервалов (рисунок 2.6).

Рисунок 2.5 — Гистограмма ущербов от неправомерного доступа к компьютерной информации Для удобства частоты попадания ущерба в каждый из интервалов разделим на объем выборки n=75. На рисунке 2.6 представлена полученная таким образом диаграмма распределения ущерба по количеству инцидентов. Полученная гистограмма является эмпирическим приближением к функции распределения ущерба как случайной и величины.

Рисунок 2.6 — Распределение ущерба по количеству инцидентов Поставим задачу определения закона распределения дневного ущерба как случайной величины. Для этого построим и проанализируем графики следующих распределений: экспоненциальное, логнормальное, бета-распределение, гамма-распределение, Релея, Вейбулла. Отметим, что ущерб не может быть распределен по нормальному закону, либо по Коши, т.к. область определения данных законов составляет все множество действительных чисел, что не удовлетворяет физическому смыслу ущерба.

Для удобства пронормируем выборку ущербов на рисунке 2.4, разделив каждое из значений на 58 700 $. Получим следующую статистику (рисунок 2.7).

Рисунок 2.7 — Нормированная выборка ущербов от инцидентов неправомерного доступа к компьютерной информации за февраль, март, апрель 2012 г.

Для полученной выборки рассчитаем математическое ожидание m=0,455 и дисперсию D=0,033.

Для построения графика необходимо знать параметры и. Их можно определить, зная математическое ожидание и дисперсию:

Для бета-распределения математическое ожидание равно:

. (2.26)

Дисперсия определяется как:

. (2.27)

Таким образом, для параметров распределения б и в имеем:

. (2.28)

. (2.29)

Для нашей выборки получили значения б = 2,088, в = 2,501. Построим график для бета-распределения с данными параметрами.

Рисунок 2.8 — График бета-распределения с параметрами б = 2,088, в = 2,501

Проанализировав полученный график, можно сделать вывод, что бета-распределение не соответствует статистическим данным.

Проанализировав график экспоненциального распределения с параметром, также сделаем вывод, что экспоненциальный закон не соответствует статистическим данным.

Рисунок 2.9 — График экспоненциального распределения с параметром

Аналогично рассмотрим график гамма-распределения с параметром, рассчитанным по формуле (2.28).

. (2.30)

По графику на рисунке 2.10 четко видно, что и этот вид распределения нам не подходит.

Рисунок 2.10 — График гамма-распределения с параметром

Для распределения Релея с параметром имеем следующий график:

Рисунок 2.11 — График распределения Релея с параметром

Опытным путем, чтобы график максимально соответствовал гистограмме, построенной на основе статистических данных, были установлены следующие значения параметров распределения Вейбулла и построен график (рисунок 2.13).

Рисунок 2.12 — График распределения Вейбулла с параметрами

Для того чтобы построить график логарифмически нормального распределения, необходимо от каждого из элементов выборки взять натуральный логарифм. Для полученной выборки считаем m=-0,843, Ниже приведен график логарифмически нормального распределения с данными параметрами.

Заметим, что именно логнормальный закон распределения наиболее точно соответствует гистограмме 2.6. Следовательно, имеет смысл проверить соответствие представленной выборки ущербов логарифмически нормальному закону.

Рисунок 2.13 — Логарифмически нормальный закон с параметрами m=-0,843,

Проверим гипотезу о том, что ущерб имеет логарифмически нормальный закон распределения, используя критерий Пирсона на уровне значимости 0,05. Известно, что неотрицательная случайная величина имеет логарифмически нормальный закон распределения вероятности, если ее натуральный логарифм имеет нормальный закон распределения. Следовательно, на первом шаге возьмем натуральный логарифм от каждого элемента Ui выборки 2.4. Получим следующую гистограмму (рисунок 2.14).

Рисунок 2.14 — Распределение величины ln (Ui) по количеству инцидентов Для проверки гипотезы H0 о нормальном распределении полученной выборки составим группированный статистический ряд.

Таблица 2.3 — Группированный статистический ряд.

№ интервала

От

До

Эмпирическая частота n

Теоретическая частота npi

9,2

0,375

1,04

9,201

9,4

1,125

0,013

9,401

9,6

3,375

1,67

9,601

9,8

7,725

0,009

9,801

12,75

1,416

10,001

10,2

15,825

1,69

10,201

10,4

14,7

1,5

10,401

10,6

10,35

1,82

10,601

10,8

5,4

0,06

10,801

3,375

0,115

Рисунок 2.15 — Диаграмма теоретических и эмпирических распределений вероятностей Гипотеза Н0 принимается том случае, если рассчитанное по формуле 2.22 значение критерия меньше критического значения, рассчитываемого по таблице значений квантилей распределения хи-квадрат .

Полученное значение не превосходит критического, следовательно, с вероятностью 0,95 данная выборка распределена по нормальному закону.

Таким образом, исходная выборка имеет логарифмически нормальный закон распределения с параметрами m=-0,843, .

Таким образом, полученная статистика удовлетворяет следующему закону распределения:

. (2.31)

Обобщенно семейство экспоненциальных распределений выглядит следующим образом:

. (2.32)

Применительно к логнормальному распределению коэффициенты A (u) и B (u) имеют следующий вид:

. (2.33)

. (2.34)

2.3 Расчет основных параметров риска

Общая формула для риска для логнормального распределения плотности вероятности наступления ущерба выглядит следующим образом:

. (2.35)

Построим график для функции риска с параметрами m=-0,843, =0,366.

Рисунок 2.16 — График функции риска с параметрами m=-0,843,

k-й начальный момент для логнормального закона распределения вероятности ущерба рассчитывается по формуле:

. (2.36)

Рассчитаем первые 5 начальных моментов логнормального распределения.

Таким образом, математическое ожидание для логнормального распределения определяется равенством:

(2.37)

Рассчитаем среднеквадратическое отклонение по формуле 2.38:

(2.38)

Найдем моду и пик риска. Для этого возьмем первую производную по ущербу от функции риска и приравняем ее к нулю.

Таким образом, мода риска определяется следующим образом:

. (2.39)

Таким образом, несложной является задача нахождения пика риска:

. (2.40)

Найдем второй, третий и четвертый центральные моменты риска:

(2.41)

(2.42)

(2.43)

Найдем коэффициент асимметрии риска по формуле 2.44:

(2.44)

Используя формулу 2.45, найдем коэффициент эксцесса риска:

. (2.45)

С целью нахождения диапазона ущерба по заданному значению риска необходимо решить следующее уравнение:

где и задает уровень отсчета от .

Прологарифмировав обе части уравнения, получим:

Сделаем замену. Пусть

Тогда:

Возвращаясь к переменной u, получим:

Таким образом

. (2.46)

Графически суть задачи можно представлена на рисунке 2.17:

Рисунок 2.17 — Диапазон ущерба с заданным значением риска Таким образом, имеем диапазон ущерба при заданном уровне риска:

. (2.47)

3. Оценка динамики развития компьютерных преступлений в АС, связанных с неправомерным доступом к компьютерной информации

3.1 Функции чувствительности и их применение

В технике под чувствительностью принято понимать способность объекта определенным образом реагировать на некоторое внешнее воздействие, а также количественную меру этой способности.

Математически чувствительность — это зависимость их свойств системы от изменения ее параметров. Простейшим методом анализа чувствительности является численное исследование параметрической модели системы во всем диапазоне изменения определяющей совокупности параметров. Практическое применение такого подхода, как правило, оказывается нецелесообразным или невозможным из-за огромного количества требуемых вычислений и необозримости полученных результатов.

Для исследования чувствительности систем используются функции чувствительности. Они служат для оценки влияния малых отклонений параметров системы от расчётных значений на временные характеристики системы.

Пусть — множество некоторых параметров. При этом переменные состояния, и показатели качества являются однозначными функциями параметров, т. е.

. (3.1)

. (3.2)

Далее вся совокупность переменных состояния для простоты будет обозначаться через .

Частные производные

. (3.3)

называются функциями чувствительности первого порядка величин по соответствующим параметрам. Таким образом, функции чувствительности первого порядка представляют собой производные различных переменных состояния и показателей качества по параметрам соответствующей определяющей группы.

Частные производные k-го порядка от величин по аргументам называются функциями чувствительности k-го порядка по соответствующим комбинациям параметров.

. (3.4)

Очевидно, что функции чувствительности переменных состояния зависят от и параметров, а функции чувствительности показателей качества — только от параметров. Предполагается, что все производные, перечисленные выше, существуют. Предполагается также, что функции чувствительности не зависят от порядка дифференцирования по соответствующим параметрам. Для этого достаточно предполагать, что в некоторой окрестности О точки пространства параметров существуют всевозможные производные (k-1) — го порядка, а также смешанные производные k-го порядка, причем все эти производные непрерывны.

3.2 Расчет коэффициентов чувствительности риска

В риск-анализе функции чувствительности также широко применяются для исследования зависимости риска от изменения его параметров. Это позволяет оценить динамику изменения риска при изменении его параметров.

Рассмотрим функцию риска, полученную в предыдущей главе:

.

Поставим задачу нахождения коэффициентов дифференциальной чувствительности по математическому ожиданию m и среднеквадратическому отклонению .

Для нахождения коэффициента дифференциальной чувствительности по параметру m, найдем частную производную функции риска по m:

(3.5)

Рассмотрим поведение функции чувствительности при различных значениях u и =0,366.

При u=0,3; =0,366

Рисунок 3.1 — Поведение дифференциальной функции чувствительности в зависимости от параметра m

При u=0,5; =0,366

Рисунок 3.2 — Поведение дифференциальной функции чувствительности в зависимости от параметра m

При u=0,9; =0,366

Рисунок 3.3 — Поведение дифференциальной функции чувствительности в зависимости от параметра m

Рисунок 3.4 — Поведение дифференциальной функции чувствительности в зависимости от параметров u и m при =0,366

Рисунок 3.4 — Поведение дифференциальной функции чувствительности в зависимости от параметров u и m при =0,366

Для нахождения коэффициента дифференциальной чувствительности по параметру, также найдем частную производную:

(3.6)

Проанализируем поведение дифференциальной функции чувствительности по параметру при различных значениях u и при m=-0,843.

При u=0,1; m=-0,843

Рисунок 3.5 — Поведение дифференциальной функции чувствительности в зависимости от параметра

При u=0,3; m=-0,843

Рисунок 3.6 — Поведение дифференциальной функции чувствительности в зависимости от параметра

При u=0,4; m=-0,843

Рисунок 3.7 — Поведение дифференциальной функции чувствительности в зависимости от параметра

При u=0,5; m=-0,843

Рисунок 3.8 — Поведение дифференциальной функции чувствительности в зависимости от параметра

При u=0,6; m=-0,843

Рисунок 3.9 — Поведение дифференциальной функции чувствительности в зависимости от параметра

При u=0,8; m=-0,843

Рисунок 3.10 — Поведение дифференциальной функции чувствительности в зависимости от параметра

Рисунок 3.11 — Поведение дифференциальной функции чувствительности в зависимости от параметров u и при m=-0,843

Рисунок 3.12 — Поведение дифференциальной функции чувствительности в зависимости от параметров u и при m=-0,843

Рисунок 3.13 — Поведение дифференциальной функции чувствительности в зависимости от параметров u и при m=-0,843

Найдем коэффициент относительной чувствительности по параметру m:

(3.7)

Проанализируем поведение относительной функции чувствительности по параметру m в зависимости от u.

При u=0,1; =0,366

Рисунок 3.14 — Поведение относительной функции чувствительности в зависимости от параметра m

При u=0,3; =0,366

Рисунок 3.15 — Поведение относительной функции чувствительности в зависимости от параметра m

При u=0,5; =0,366

Рисунок 3.16 — Поведение относительной функции чувствительности в зависимости от параметра m

При u=0,8; =0,366

Рисунок 3.17 — Поведение относительной функции чувствительности в зависимости от параметра m

Рисунок 3.18 — Поведение относительной функции чувствительности в зависимости от параметров u и m при =0,366.

Рисунок 3.19 — Поведение относительной функции чувствительности в зависимости от параметров u и m при =0,366

Рисунок 3.20 — Поведение относительной функции чувствительности в зависимости от параметров u и m при =0,366.

Коэффициент относительной чувствительности по параметру находится следующим образом:

(3.8)

Проанализируем поведение относительной функции чувствительности по параметру при различных значениях u и m=-0,843.

При u=0,1; m=-0,843

Рисунок 3.21 — Поведение относительной функции чувствительности в зависимости от параметра

При u=0,8; m=-0,843

Рисунок 3.22 — Поведение относительной функции чувствительности в зависимости от параметра .

Рисунок 3.23 — Поведение относительной функции чувствительности в зависимости от параметров u и при m=-0,843

Рисунок 3.24 — Поведение относительной функции чувствительности в зависимости от параметров u и при m=-0,843

Рисунок 3.25 — Поведение относительной функции чувствительности в зависимости от параметров u и при m=-0,843

Приведенные графики наглядно показывают зависимость функций чувствительности от их аргументов при различных значениях ущерба. Определим, к какому из 2-х параметров логнормального распределения более чувствителен при тех или иных значениях ущерба.

Для этого составим отношение модулей функций чувствительности и построим графики получившихся функций.

Найдем отношение модулей дифференциальных функций чувствительности:

; (3.7)

Введем замену соответственно

Заметим, что исследуемое отношение имеет точку разрыва при u=exp (m).

Имеем:

Возведем обе части в квадрат, знак неравенства останется прежним, т.к. обе части положительны.

Решим данное неравенство методом интервалов. Для этого приравняем левую часть неравенства к нулю и найдем корни получившегося уравнения.

Умножим обе части уравнения на

Имеем:

Пусть тогда Возвращаясь к переменной t, получим 4 корня уравнения:

Возвращаясь к переменной u, получим:

(3.8)

Таким образом, неравенство 3.7 решается методом интервалов. Для нашего случая при m=-0,843; решения выглядят следующим образом:

Точка разрыва u=exp (-0,843)=0,43

+ - + + - +

u

0,239 0,344 0,43 0,538 0,776

Таким образом можно сделать вывод, что условие 3.7 выполняется, а следовательно, функция риска более чувствительна к параметру при u, принимающих значения в диапазоне:

Следовательно, при регулировании риска в данном диапазоне ущерба целесообразно изменять коэффициент .

Заключение

Работа посвящена оценке и регулированию рисков компьютерных преступлений в АС, связанных с неправомерным доступом к компьютерной информации. При выполнении дипломной работы были достигнуты следующие научные и практические результаты:

1. На основании выполненных исследований разработана научная идея, заключающаяся в использовании при исследовании неправомерного доступа к компьютерной информации подхода, основанного на риск-анализе деструктивных воздействий преступлений данного типа на автоматизированные системы. Это позволило выявить качественно новые закономерности исследуемого явления, получившие свое отражение в разработанной модели оценки рисков.

2. Подход к исследованию правонарушений, связанных с неправомерным доступом к компьютерной информации, на основе риск-анализа является нетрадиционным. В представленной работе описан подход, являющий своей целью минимизацию ущерба от правонарушений рассматриваемого типа на автоматизированные системы, в т. ч. на распределенные. Основной упор делается не на устранение следствий уже возникших инцидентов, а на их предотвращение и обеспечение безопасности АС в отношении данного вида угроз.

3. При анализе статистических данных выявлены закономерности, подтверждающие обоснованность применения предложенных методик оценки и регулирования рисков. Полученные результаты дают основание полагать, что анализ компьютерных преступлений в их общей массе делает перспективу практического применения подобных работ достаточно слабой, а гибкость и адаптируемость предложенных моделей к реальности — достаточно низкими.

4. По-новому рассмотрено понятие неправомерного доступа к компьютерной информации как сущность, являющая для автоматизированной системы угрозу, мера опасности которой выявляется на основе оценки рисков.

5. В работе обоснована целесообразность использования методики оценки и регулирования рисков применительно к компьютерным преступлениям, связанным с неправомерным доступом к компьютерной информации.

6. При решении задач, применительно к проблематике работы, результативно использовались методы теории риска, теории вероятности и математической статистики.

7. В работе использованы положения критериальной оценки закона распределения статистических данных на основе предложенных гипотез, доказывающие целесообразность использования того или иного закона распределения вероятности ущерба как случайной величины.

1 Айсанов Р. М. Состав неправомерного доступа к компьютерной информации в российском, международном и зарубежном уголовном законодательстве: диссертация… кандидата юридических наук: 12.00.08. / Айсанов Руслан Мухамедович. — Москва, 2006.

2 Астахов А. М. Искусство управления информационными рисками. / А. М. Астахов. М: ДМК-Пресс, 2010. — 312 с.

3 Анин Б. Ю. Защита компьютерной информации. / Б. Ю. Анин. СПб: БХВ — Санкт-Петербург, 2000. (Приложение: Англо-русский криптологический словарь с толкованиями), С. 15−20.

4 Андреев Д. А. Относительная чувствительность к изменению параметров риск-модели. / Д. А. Андреев // Информация и безопасность: Регион. Науч.-тех. журнал. — Воронеж. 2008. Вып. 1, С. 148−149.

5 Андреев Д. А. Концепция управления рисками информационных атак на основе распределения Пуассона./ Д. А. Андреев, А. К. Пичугин // Информация и безопасность: Регион. Науч.-тех. журнал. — Воронеж. 2008. Вып. 3, С. 407−412.

6 Андреев Д. А. Вирусы и риски заражения систем: обзор и построение обобщенных вероятностных моделей./ Д. А. Андреев, А. Е. Брянский // Информация и безопасность: Регион. Науч.-тех. журнал. — Воронеж. 2009. Вып. 4, С. 519−538.

Показать весь текст
Заполнить форму текущей работой