Средний риск.

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 00:42, 25 мая 2017.

По аналогии с определениями, выработанными в теории обнаружения, далее рассматриваются следующие понятия:

  • «ошибка ложной тревоги»;
  • «ошибка необнаружения» скрытого сообщения в подозрительном файле.

Будем обозначать далее событие принятия решения об обнаружении скрытого сообщения в подозрительном сигнале как «ДА», а событие, связанное с необнаружением скрытого сообщения – как «НЕТ». Вводим далее следующие обозначения:

P(ДА/o) – P(лт) – вероятность ложной тревоги
Р(НЕТ /) – Р(но) – вероятность необнаружения

События, связанные с принятием решения о наличии, либо отсутствии скрытого сообщения в подозрительном файле образуют полную группу, так что

Р(НЕТ /) + Р(ДА /)=1,
Р(НЕТ /о) + Р(ДА /о)=1

Тогда вероятность обнаружения Р(обн) определяется зависимостью

Р(обн)= Р(ДА /)= 1 - Р(НЕТ /)= 1 - Р(но),
Р(пно)= Р(НЕТ /о)= 1 - Р(ДА /о)= 1 – Р(лт)

Величина Р(обн) – вероятность заключения экспертизы о наличии в подозрительной реализации скрытого сообщения при условии, что скрытое сообщение действительно в ней присутствует.

Величина Р(пно) – вероятность заключения экспертизы об отсутствии скрытого сообщения в подозрительной реализации, при условии, что его действительно там нет – вероятность правильного необнаружения.

Таким образом, можно считать, что чем больше значение Р(но) (или чем меньше Р(обн)), тем выше качество средств сокрытия сообщений. С учетом вышеперечисленного можно записать выражение для безусловных вероятностей

Ра(лт)= Р() Р(лт); Ра(но)= Р() Р(но),
Ра(обн)= Р() Р(обн); Ра(пно)= Р()Р(пно)

Вышеперечисленные вероятности в среднем могут быть вычислены опытным путем через частоты принятия экспертизой правильных и ошибочных решений в процессе анализа множества подозрительных реализаций, содержащих (либо нет) сообщение, шифрованное одним и тем же методом.

Далее воспользуемся вероятностной характеристикой, принятой в теории обнаружения, которая является более универсальной, чем отношения правдоподобия, рассмотренные выше.

Такой характеристикой является «средний риск»R, сопутствующий ему «условный риск», сопутствующий отсутствию скрытого сообщения

r0=S(,0) Р(лт) + S(0,0) Р(пно)

Рассмотрим введенные обозначения. При отсутствии скрытого сообщения в подозрительной реализации затраты средств (т.е. времени, оборудования и задействованного персонала) можно считать S(,0) – это коэффициент, оценивающий потери ресурсов экспертизы при попытке расшифровать файл, в котором нет скрытого сообщения. Соответственно S(0,0) - это отрицательный коэффициент, оценивающий экономию ресурсов экспертизы при попытке расшифровать файл, в котором нет скрытого сообщения, т.е. «выйгрыш» при правильном необнаружении.

Аналогично можно представить условный риск, соответствующий присутствию скрытого сообщения в подозрительной реализации. Итак

r=S(0,) Р(пр) + S(,) Р(обн)
где S(0,)коэффициент, оценивающий потери экспертизы при необнаружении, пропуске;
S(,)отрицательный коэффициент, оценивающий положительные действия экспертизы, затрачиваемые на обнаружение скрытого сообщения

В соответствии с теорией обнаружения, средний риск определяется следующим образом

R=P0r0 + Pr

Окончательно средний риск можно рассчитать по формуле

R=P0S(0,0)+PS(,)+P0Pлт [S(,0)-S(0,0)]+P P(но) [S(0,)-S(,)]

Из последнего следует, что наилучший способ шифрования должен оцениваться наибольшим средним риском вероятных действий экспертизы.

Оценка способа шифрования скрытого сообщения по критерию среднего риска экспертизы связана со следующими ограничениями:

  • необходимо заранее задаваться величинами Р и Р0 , которые разработчики способа маскирования должны задавать исходя из возможной тактики применения аппаратно-программных средств при решении той или иной оперативной задачи;
  • необходимо заранее предполагать какой степенью компетентности и какими материально-временными ресурсами обладает экспертиза.

См. также