3.3. Определение функций ущерба

Для определения теоретической функции ущерба предположим, что количество необработанных запросов DNS-сервером является его ущербом в момент времени t.

Пусть – интенсивность запросов к DNS-серверу создаваемая злоумышленником;

– разность объема поступивших и обработанных запросов при котором DNS-сервер не может выполнять свои функции;

– интенсивность обработки сервером поступающих DNS–запросов.

– момент, в который у DNS-сервера происходит отказ в обслуживании;

– время, в которое произойдет обнаружение атаки;

– время, в которое система отреагирует путем выключения рекурсивных запросов;

– время, в которое система отреагирует путем введения зеркального сервера и перераспределения нагрузки;

– время, в которое система отреагирует путем фильтрации данных по IP;

– количество запросов, обработанных к моменту времени t;

– количество запросов, поступающих на сервер от атакующего в зависимости от включенных механизмов защиты к моменту времени t.

Построим функцию обработки запросов на DNS-сервере при проведении атаки. В штатном режиме DNS-сервер обрабатывает запросы с интенсивностью Из этого следует, что функция обработки в штатном режиме будет иметь вид . Во время проведения атаки интенсивность обработки запросов может увеличиваться только за счет включения зеркального сервера, вследствие чего функция изменится в момент времени и примет вид .

Функция обработки данных на сервере во время атаки будет иметь следующий вид:

Построим график данной функции обработки (рис. 3.5)

Рис. 3.5. График функции обработки запросов, поступающих на DNS-сервер

Построим функцию получаемых запросов на сервер в результате атаки на DNS-сервер. В некоторый момент времени злоумышленник начинает атаку на DNS-сервер с интенсивностью Запросы, отправленные им, поступают на атакуемый сервер. Запросы пересылаются для рекурсивной обработки на вышестоящий сервер, откуда они возвращаются на атакуемый DNS-сервер. Вследствие этого получаем увеличение интенсивности атаки на сервер в два раза - Продолжая проводить атаку, DNS-сервер переходит в режим «отказ в обслуживании». При обнаружении атаки происходит включение механизмов защиты. В момент времени DNS-сервер включает следующий механизм защиты. Для отсечения запросов, приходящих от атакующего, отфильтровываются (отсекаются) IP, c которых приходит слишком много запросов. Используем статистику, предоставленную сайтом securitylist.com. На рис. 3.6 показана диаграмма отношения количества пропущенных пакетов IP фильтром ко времени фильтрации при установленном пороге запросов с одного клиента.

Рис. 3.6. График количества пропущенных запросов IP-фильтром

Воспользуемся Критерием Пирсона. Выдвинем гипотезу , что данная статистика распределена по следующему закону:

где – коэффициент уникальности IP адресов в потоке, меняется на интервале [0,1], если значение принимает 1, то все запросы не превышают порог фильтрации, если 0, то запросы идут с одного IP-адреса. Здесь представляет собой отношение числа запросов, пришедших с разных IP, к общему количеству запросов.

Пусть уровень значимости равен 0,05. Вычислим эмпирическое значение критерия:

По таблице критических точек распределения по заданному уровню значимости 0,05 и числу степеней свободы k=11-1 находим критическую точку

Сравним критические и эмпирические показатели:

Из данного неравенства следует обоснованность гипотезы (3.6).

В момент времени система отключает возможность проводить рекурсивные запросы, что приводит к отсутствию усиления атаки со стороны верхних DNS-серверов. Получаем, что атака, осуществляемая на DNS-сервер, снижает свою интенсивность до создаваемой атакующим интенсивности - .

Функция интенсивности атаки будет иметь вид:

Для (3.7) построим график количества запросов (рис. 3.7).

Рис. 3.7. График количества запросов, поступающих на DNS-сервере

Для оценки ущерба u(t), рассмотрим динамику обработки без применяемых средств защиты на одном графике (рис. 3.8).

Рис. 3.8. График, показывающий нарастание ущерба без применения средств защиты

Пусть сервер в момент времени t_р обнаружил проводимую на него атаку и в моменты времени , , включал различные системы. Построим графическое отображения ущерба в данном случае (рис. 3.9).

t

Рис. 3.9. График количества запросов, поступающих на DNS-сервер

Определим m_кр, как разность Y(t) и X(t) в точке t₀:

На рис. 3.8 отображен ущерб, возникающий при противодействии атаки. Построим функциональную зависимость от времени t:

– в интервале [ ] функция ущерба будет иметь вид:

– в интервале [ , ] функция ущерба будет иметь вид:

– в интервале [ , ]функция ущерба будет иметь вид

– в интервале [ , ] функция ущерба будет иметь вид:

В итоге получаем функцию ущерба (3.9):

Найдем максимум данной функции в интервале , так как в данном интервале она принимает наибольшие значения. Для этого определим её моду:

;

;

.

Отсюда получим максимум в точке , равный

Упростим выражение (3.10). В результате получим

Отсюда нормированный по максимуму ущерб будет равен:

В результате график нормированного ущерба (3.11) представлен на рис. 3.10.

Рис. 3.10. График функции ущерба

Вышепредставленный график характеризует значения нормированного ущерба на различных стадиях атаки.