- •Введение
- •1. Флуд-атаки как угроза безопасности информации
- •1.1. Сущность флуд-атак
- •1.2. Атаки, направленные на приведение жертвы в недоступное состояние
- •1.3. Многофункциональные атаки
- •Механизмы защиты от флуд-атак
- •Методический подход к оценке вероятного ущерба и ожидаемой эффективности защиты при атаках, направленных на нарушение доступности информации и ресурсов
- •2. Риск-модели im-флуда
- •2.1. Специфика моделирования процесса атаки, использующей вредоносную программу im-Flooder
- •2.2. Измерение ущерба
- •2.3. Оценка рисков
- •2.4. Возможности регулирования рисков в условиях реализации флуд-атаки с использованием вредоносной программы im-flooder
- •3. Риск-модели сетевой атаки типа «dns-flood»
- •3.1. Моделирование процесса атаки типа «простой dns-flood»
- •3.2. Моделирование процесса атаки типа «рекурсивный dns-flood»
- •3.3. Определение функций ущерба
- •3.4. Аналитическая оценка риска
- •3.5. Управление рисками в условиях флуд-атаки типа «dns-flooder»
- •4. Риск-модели для атак посредством программы «sms-flooder»
- •4.1. Особенности моделирования процесса атаки, реализуемой посредством вредоносной программы sms-Flooder
- •4.2. Модели процесса атаки типа «sms-Flood»
- •4.3. Функция ущерба от sms-флуда
- •4.4. Аналитическая оценка риска
- •4.5. Возможности управления рисками в условиях флуд-атаки посредством вредоносной программы sms-Flooder
- •5. Риск-модели флуд-атак посредством вредоносной программы email-flooder
- •5.1. Моделирование процесса заражения хоста вредоносной программой Email-flooder
- •5.3. Моделирование флуд-атаки на почтовый сервер
- •5.3. Обоснование функции ущерба от почтового флуда
- •5.4. Аналитическая оценка рисков почтового флуда
- •5.5. Возможности регулирования рисков в условиях атаки типа «почтовый флуд»
- •Заключение
- •Библиографический список
- •Оглавление
- •3 94026 Воронеж, Московский просп., 14
3.3. Определение функций ущерба
Для определения теоретической функции ущерба предположим, что количество необработанных запросов DNS-сервером является его ущербом в момент времени t.
Пусть – интенсивность запросов к DNS-серверу создаваемая злоумышленником;
– разность объема поступивших и обработанных запросов при котором DNS-сервер не может выполнять свои функции;
– интенсивность обработки сервером поступающих DNS–запросов.
– момент, в который у DNS-сервера происходит отказ в обслуживании;
– время, в которое произойдет обнаружение атаки;
– время, в которое система отреагирует путем выключения рекурсивных запросов;
– время, в которое система отреагирует путем введения зеркального сервера и перераспределения нагрузки;
– время, в которое система отреагирует путем фильтрации данных по IP;
– количество запросов, обработанных к моменту времени t;
– количество запросов, поступающих на сервер от атакующего в зависимости от включенных механизмов защиты к моменту времени t.
Построим функцию обработки запросов на DNS-сервере при проведении атаки. В штатном режиме DNS-сервер обрабатывает запросы с интенсивностью Из этого следует, что функция обработки в штатном режиме будет иметь вид . Во время проведения атаки интенсивность обработки запросов может увеличиваться только за счет включения зеркального сервера, вследствие чего функция изменится в момент времени и примет вид .
Функция обработки данных на сервере во время атаки будет иметь следующий вид:
Построим график данной функции обработки (рис. 3.5)
Рис. 3.5. График функции обработки запросов, поступающих на DNS-сервер
Построим функцию получаемых запросов на сервер в результате атаки на DNS-сервер. В некоторый момент времени злоумышленник начинает атаку на DNS-сервер с интенсивностью Запросы, отправленные им, поступают на атакуемый сервер. Запросы пересылаются для рекурсивной обработки на вышестоящий сервер, откуда они возвращаются на атакуемый DNS-сервер. Вследствие этого получаем увеличение интенсивности атаки на сервер в два раза - Продолжая проводить атаку, DNS-сервер переходит в режим «отказ в обслуживании». При обнаружении атаки происходит включение механизмов защиты. В момент времени DNS-сервер включает следующий механизм защиты. Для отсечения запросов, приходящих от атакующего, отфильтровываются (отсекаются) IP, c которых приходит слишком много запросов. Используем статистику, предоставленную сайтом securitylist.com. На рис. 3.6 показана диаграмма отношения количества пропущенных пакетов IP фильтром ко времени фильтрации при установленном пороге запросов с одного клиента.
Рис. 3.6. График количества пропущенных запросов IP-фильтром
Воспользуемся Критерием Пирсона. Выдвинем гипотезу , что данная статистика распределена по следующему закону:
где – коэффициент уникальности IP адресов в потоке, меняется на интервале [0,1], если значение принимает 1, то все запросы не превышают порог фильтрации, если 0, то запросы идут с одного IP-адреса. Здесь представляет собой отношение числа запросов, пришедших с разных IP, к общему количеству запросов.
Пусть уровень значимости равен 0,05. Вычислим эмпирическое значение критерия:
По таблице критических точек распределения по заданному уровню значимости 0,05 и числу степеней свободы k=11-1 находим критическую точку
Сравним критические и эмпирические показатели:
Из данного неравенства следует обоснованность гипотезы (3.6).
В момент времени система отключает возможность проводить рекурсивные запросы, что приводит к отсутствию усиления атаки со стороны верхних DNS-серверов. Получаем, что атака, осуществляемая на DNS-сервер, снижает свою интенсивность до создаваемой атакующим интенсивности - .
Функция интенсивности атаки будет иметь вид:
Для (3.7) построим график количества запросов (рис. 3.7).
Рис. 3.7. График количества запросов, поступающих на DNS-сервере
Для оценки ущерба u(t), рассмотрим динамику обработки без применяемых средств защиты на одном графике (рис. 3.8).
Рис. 3.8. График, показывающий нарастание ущерба без применения средств защиты
Пусть сервер в момент времени tр обнаружил проводимую на него атаку и в моменты времени , , включал различные системы. Построим графическое отображения ущерба в данном случае (рис. 3.9).
t
Рис. 3.9. График количества запросов, поступающих на DNS-сервер
Определим mкр, как разность Y(t) и X(t) в точке t0:
На рис. 3.8 отображен ущерб, возникающий при противодействии атаки. Построим функциональную зависимость от времени t:
– в интервале [ ] функция ущерба будет иметь вид:
– в интервале [ , ] функция ущерба будет иметь вид:
– в интервале [ , ]функция ущерба будет иметь вид
– в интервале [ , ] функция ущерба будет иметь вид:
В итоге получаем функцию ущерба (3.9):
Найдем максимум данной функции в интервале , так как в данном интервале она принимает наибольшие значения. Для этого определим её моду:
;
;
.
Отсюда получим максимум в точке , равный
Упростим выражение (3.10). В результате получим
Отсюда нормированный по максимуму ущерб будет равен:
В результате график нормированного ущерба (3.11) представлен на рис. 3.10.
Рис. 3.10. График функции ущерба
Вышепредставленный график характеризует значения нормированного ущерба на различных стадиях атаки.