3.4. Аналитическая оценка риска
Основываясь на полученных выше результатах, можно получить количественную оценку риска при реализации флуд-атаки, которая характеризует возможность нанесения некоторого ущерба. Величина риска в момент времени t от реализации атаки в момент времени с точностью до шага дискретизации определяется значением плотности вероятности нанесения ущерба и значением этого ущерба (3.12):
где:
После подстановок имеем аналитическое выражение риска для успеха флуд-атаки с использованием вредоносной программы DNS-flooder:
(3.13)
Упростим (3.13) и получим (3.14):
(3.14)
Подставляя
выражение ущерба (3.11) в (3.14), получим
выражение функции риска для временного
интервала 
(3.15):
.
(3.15)
График функции риска (3.15) качественно представлен на рисунке 3.11.
Рис. 3.11. Графическое изображение огибающей риска для сетевой атаки типа «DNS-flood»
С учетом интервальности ущерба (3.11) выражение (3.15) примет следующий вид:
(3.16)
где: – интенсивность атаки;
– интенсивность обработки поступающих сообщений/запросов;
– момент успеха атаки;
– момент включения средств защиты;
– время, в которое система отреагирует путем выключения рекурсивных запросов;
– время, в которое система отреагирует путем введения зеркального сервера и перераспределения нагрузки;
– время, в которое система отреагирует путем фильтрации данных по IP;
k – коэффициент уникальности IP адресов в потоке.
Выражение (3.16) описывает риск для различных стадий атаки.
3.5. Управление рисками в условиях флуд-атаки типа «dns-flooder»
Рассмотрим возможности управления риском, аналитическое выражение было получено в пункте 3.4.
Изменяя параметры риска можно минимизировать возможные потери путем:
- внедрения средств защиты;
- изменения настроек средств защиты IP фильтрации и выключении рекурсии;
- увеличением производительности.
Рассмотрим, как изменится огибающая риска (3.16) при реализации данных способов управления.
В
случае внедрения средств защиты типа
фильтра пакетов, атака будет выявлена
раньше, и противодействие начнется
раньше. Таким образом, произойдет
уменьшение параметра
.
На рис. 3.12 изображено семейство кривых
риска при изменении параметра
на величину 
.
Р
ис.
3.12. Графики огибающей риска при изменении
параметра
на величину
В
случае внедрения средств защиты типа
«зеркалирование» произойдет уменьшение
параметра
.
На рис. 3.13 приведены кривые риска при
изменении параметра
на величину 
Рис. 3.13. Графики огибающей риска при изменении параметра на величину
В
случае внедрения средств защиты типа
отключение рекурсии произойдет уменьшение
параметра
.
На рисунке 3.14 показаны кривые огибающей
риска при изменении параметра
на величину
Р
Изменяя
настройки системы защиты, можно изменить
критерий, по которому источник признается
нежелательным (нежелательные источники
будут выявляться быстрее). На рис. 3.15
приведены графики функции риска в случае
изменения параметра
на 
.
В настоящем параграфе (рис. 3.12-3.15) продемонстрирована возможность управления рисками DNS-серверов в условиях реализации в отношении них флуд-атак.