Аннотация результатов, полученных в 2024 году
В рамках настоящего проекта разработана и исследована марковская модель кибератак, в которой атаки моделируются нестационарными пуассоновыми потоками, то есть потоками с переменными функциями интенсивности, в то время как встречные потоки ответных действий системы описываются простейшими пуассоновскими потоками. В рамках данной модели корректно определена специальная характеристика, представляющая собой время до первого попадания в состояние отказа безопасности. Математическое ожидание этой случайной величины представляет собой важнейшую метрику безопасности, характеризующую способность системы противостоять компьютерным атакам – среднее время до отказа безопасности (СВОБ). Особое внимание нами уделено влиянию нестационарности потоков атак на эту метрику, состоящее в том, что вычисление СВОБ не сводится к применению аналогичной «стационарной» формулы, в которой постоянные интенсивности атак заменяются на соответствующие усреднённые по времени нестационарные величины. В ряде частных случаев для СВОБ получены явные аналитические выражения, показывающие, что влияние нестационарности нетривиально и в общем случае зависит как от частоты колебаний интенсивности атак, так и от её начальной фазы. В частности, отклонения от соответствующего «стационарного» значения могут достигать до 30%, что демонстрирует важность учёта влияния нестационарности потоков атак в реальных компьютерных системах. Насколько нам известно (из анализа соответствующей литературы), до настоящего времени подобное влияние практически не принималось во внимание. Влияние нестационарности пуассоновских потоков атак на СВОБ также было исследовано и в более общем случае, когда в системе предполагается наличие механизмов защиты. Математическая модель здесь усложняется за счёт появления ряда дополнительных входных параметров, представляющих собой ненулевые вероятности отражения кибератак. Исследование данного случая было осуществлено двумя путями: численно и с применением методов теории возмущений. В рамках второго подхода получена первая поправка к СВОБ по некоторому малому параметру. Численный подход позволил исследовать зависимость СВОБ от параметров интенсивности потока атак и получить ряд соответствующих графиков зависимости данной метрики от частоты и начальной фазы функции интенсивности потока атаки. Дополнительная валидация полученных результатов осуществлялась с помощью имитационного моделирования соответствующей нестационарной марковской цепи с применением математического пакета MatLAB. Сравнение результатов обоих подходов (численного, на основе интегрирования уравнения Колмогорова и имитационного) показало их хорошее согласие друг с другом. Следует отметить, что разработанные нами в системе MatLAB подпрограммы легко модифицируются на более общие ситуации случаи потоков атак с произвольными законами распределения, что актуально для дальнейших исследований, связанных с полумарковскими подходами к моделированию процессов кибератак. В рамках настоящего проекта на данный момент также получены аналитические формулы для среднего времени до отказа безопасности в стационарном случае. Основываясь на этом результате сформулированы и решены две задачи оптимизации, наиболее естественным образом формулируемые в рамках исследуемой марковской модели. В первой задаче целевой функцией является СВОБ при ограничении на стоимость используемых механизмов и средств кибербезопасности, в то время как во второй оптимизационной задаче уже стоимость является целевой функцией, а ограничение накладывается на СВОБ. Обе эти задачи являются двойственными друг к другу, причём переменными в них являются вероятности отражений соответствующих атак, тогда как остальные параметры модели считаются фиксированными. В предположении, что функция затрат на кибербезопасность является линейной, обе оптимизационные задачи решаются стандартными методами линейного программирования. В частности, применяя симплекс-метод, получено решение обеих оптимизационных задач в серии примеров при различных значениях остальных параметров модели. Результаты этих примеров показали среднюю полиномиальную сходимость симплекс-метода в достаточно широком диапазоне значений остальных параметров модели. Полумарковский подход к моделированию кибератак сводится к замене пуассоновских потоков на потоки, описываемые более общими распределениями. Анализ таких моделей более сложен, по сравнению с их марковскими аналогами, в частности, из-за того, что в общем случае не удаётся составить дифференциальную систему уравнений Колмогорова. Нами применён стандартный подход, заменяющий исходную полумарковскую цепь на вложенную в неё марковскую цепь с дискретным временем. В этом случае интересующие нас характеристики полумарковской цепи могут быть (приближённо) получены на основе анализа марковских цепей с дискретным временем. В одной из таких работ [J. Almasizadeh, M. A. Azgomi, “A stochastic model of attack process for the evaluation of security metrics,” Comput. Netw., vol. 57, pp. 2159-2180, 2013] была предложена модель, в которой потоки атак и встречных действий со стороны защиты моделировались равномерными распределениями. Специфический характер матрицы переходных вероятностей данной модели позволил нам осуществить дополнительное исследование соответствующей марковской цепи и получить явные аналитические формулы для вычисления метрик безопасности – среднего времени до отказа безопасности и среднего риска.

Аннотация результатов, полученных в 2025 году
В рамках настоящего проекта проведено углублённое исследование стохастических моделей кибератак, направленное на развитие теории и создание практического инструментария для оценки защищённости информационных систем. Ключевые усилия были сосредоточены на трёх взаимосвязанных направлениях: развитие аналитического аппарата для нестационарных моделей, разработка и верификация вычислительного комплекса подпрограмм, а также расширение класса рассматриваемых моделей за счёт полумарковских процессов. Основным теоретическим результатом текущего года стало существенное обобщение ранее разработанной нестационарной марковской модели на случай системы, подверженной произвольному числу независимых атак. Это позволило преодолеть ограничения предыдущего этапа, где основной анализ проводился для одиночной атаки. В рамках обобщённой модели, где каждая атака описывается нестационарным пуассоновским потоком с гармонической интенсивностью, были решены следующие задачи: 1) в частном случае системы без механизмов защиты (нулевые вероятности отражения) получено точное аналитическое выражение для ключевой метрики — среднего времени до отказа безопасности (СВОБ) — в виде несобственного интеграла (в квадратурах); 2) для общего случая с защитой разработана итеративная процедура в рамках теории возмущений, позволяющая представлять СВОБ в виде степенного ряда по малым параметрам модели; 3) для демонстрации метода получено явное аналитическое выражение для СВОБ в первом порядке теории возмущений для случая одной атаки. Проведённый анализ подтвердил и количественно оценил ранее обнаруженный нетривиальный эффект: влияние нестационарности на СВОБ не сводится к простой замене постоянных интенсивностей на их средние значения. Установлено, что СВОБ существенно зависит от частот колебаний интенсивностей атак, а зависимость от их начальных фаз, будучи формально присутствующей, устраняется необходимым на практике статистическим усреднением. Наиболее значимым является выявленный факт, что отклонение СВОБ от значения для стационарного случая может достигать 30%, что подтверждает критическую важность учёта нестационарности потоков атак при проектировании систем защиты. Достоверность полученных аналитических результатов была подтверждена комплексной трёхэтапной валидацией путём сравнения с: 1) точными решениями для частных случаев; 2) численным интегрированием уравнений Колмогорова; 3) данными статистического имитационного моделирования (Монте-Карло). Согласование результатов по всем направлениям подтвердило корректность модели и адекватность теории возмущений в заданном диапазоне параметров. В рамках проекта также разработан и зарегистрирован специализированный программный комплекс, представляющий собой универсальную вычислительную платформу для оценки эффективности систем кибербезопасности. Комплекс реализует несколько независимых методов анализа: численное интегрирование уравнений Колмогорова для марковских моделей, статистическое имитационное моделирование по методу Монте-Карло (универсальный метод для марковских и немарковских процессов), аналитические расчёты по формулам, полученным в ходе проекта. Комплекс позволяет конфигурировать модели, автоматически вычислять ключевые метрики (СВОБ, средний риск), оценивать погрешности и решать задачи оптимизации конфигурации средств защиты. Его модульная архитектура и гибкость делают его основным инструментом как для верификации теоретических результатов, так и для проведения прикладных исследований. В рамках проекта также осуществлён содержательный переход к более общему классу полумарковских моделей, где временные интервалы между событиями могут описываться произвольными распределениями, а не только экспоненциальными. Для анализа таких моделей, где вывод уравнений Колмогорова невозможен, применён стандартный методологический подход через исследование вложенной марковской цепи с дискретным временем. В качестве значимого частного результата выполнен углублённый анализ полумарковской модели, первоначально предложенной в работе [Almasizadeh & Azgomi, 2013], где потоки событий описываются равномерными распределениями. Благодаря исследованию специфической блочной структуры матрицы переходных вероятностей соответствующей вложенной цепи, получены явные аналитические формулы для вычисления СВОБ и среднего риска. Эти формулы имеют самостоятельную теоретическую ценность и вычислительную эффективность, превосходящую общие численные методы анализа вложенных цепей. Проведено тестирование разработанных моделей и методов на основе реальных данных. С использованием сведений из базы шаблонов атак CAPEC и каталога уязвимостей БДУ ФСТЭК России сформирована карта распространённых сценариев атак, оценены их частота и потенциальный ущерб (на основе CVSS 3.0). Рассчитанное для тестового сценария значение СВОБ показало хорошую корреляцию с реальной статистикой инцидентов, что свидетельствует о практической релевантности подхода. Для обеспечения актуальности моделей ведутся работы по созданию API-клиентов для автоматического подключения к внешним базам угроз и уязвимостей (в частности, ФСТЭК России), что является необходимым шагом для перехода от модельных исследований к построению оперативных систем оценки рисков. Основные публикации по результатам работ: 1. Горохова В.Ф., Касенов А.А., Магазев А.А., Серёгина Я.А. Об оценке среднего времени до отказа безопасности для нестационарных марковских моделей атак // Математические структуры и моделирование. – 2025. – № 4(76). 2. Касенов А.А., Магазев А.А., Серёгина Я.А. Непрерывные марковские модели атак: имитационное моделирование // Модели, системы, сети в экономике, технике и обществе. – 2025. – № 4. 3. V. F. Gorohova, A. A. Kassenov, A. A. Magazev and E. K. Titova, "Continuous-Time Markov Models of Cyber Attacks for Evaluating the Time to Security Failure," 2024 Dynamics of Systems, Mechanisms and Machines (Dynamics), Omsk, Russian Federation, 2024, pp. 1-6, doi: 10.1109/Dynamics64718.2024.10838682. Таким образом, за отчётный период достигнут значительный прогресс как в теоретическом обобщении и углублении нестационарных марковских моделей, так и в создании универсального программного инструментария, доказана принципиальная возможность и эффективность перехода к полумарковскому моделированию, что в совокупности создаёт прочную основу для дальнейших исследований в области количественной оценки кибербезопасности.