При формировании сценариев реализации атакующих действий необходимо учитывать множество параметров, характеризующих нарушителя (его уровень знаний и умений, множество доступных программных и аппаратных средств по реализации атак, первоначальное положение и т. п.), т. е. необходимо построить модель нарушителя. Модель нарушителя тесно связана с моделью компьютерных атак. Взаимосвязь данных двух моделей состоит в следующем: в модели компьютерных атак содержится максимально полное описание возможных способов компрометации объекта защиты, а модель нарушителя конкретизирует кто, какими средствами и с использованием каких знаний может реализовать данные угрозы и нанести ущерб объекту защиты.
Нарушитель характеризуется следующими параметрами: (1) местоположение (по данному параметру нарушителей можно условно разделить на две группы: внутренние и внешние); (2) уровень знаний и умений (например, нарушитель обладает глубокими знаниями ОС семейства Windows); (3) первичные знания об атакуемой компьютерной сети (например, нарушителю известна топология КС, но не известны используемые сетевые сервисы); (4) используемый метод формирования сценария.
Модель нарушителя представляется следующим образом:, где — местоположение нарушителя; — уровень знаний и умений; — первичные знания об атакуемой компьютерной сети; — используемый метод формирования сценария.
Местоположение нарушителя задается представлением хоста модели анализируемой компьютерной сети.
Выделяется три уровня знаний и умений нарушителя:, где — низкий уровень знаний и умений, — средний и — высокий. Каждый вышележащий уровень включает возможности (знания и умения) всех нижележащих уровней. В реализованной модели различным уровням знаний соответствуют различные структуры знаний об используемых уязвимостях и эксплоитах.
Первичные знания об атакуемой компьютерной сети описываются с использованием модели анализируемой компьютерной сети (в виде множества известных нарушителю устройств, их характеристик и правил функционирования, описываемых политикой безопасности).
