- •Введение
- •1. Флуд-атаки как угроза безопасности информации
- •1.1. Сущность флуд-атак
- •1.2. Атаки, направленные на приведение жертвы в недоступное состояние
- •1.3. Многофункциональные атаки
- •Механизмы защиты от флуд-атак
- •Методический подход к оценке вероятного ущерба и ожидаемой эффективности защиты при атаках, направленных на нарушение доступности информации и ресурсов
- •2. Риск-модели im-флуда
- •2.1. Специфика моделирования процесса атаки, использующей вредоносную программу im-Flooder
- •2.2. Измерение ущерба
- •2.3. Оценка рисков
- •2.4. Возможности регулирования рисков в условиях реализации флуд-атаки с использованием вредоносной программы im-flooder
- •3. Риск-модели сетевой атаки типа «dns-flood»
- •3.1. Моделирование процесса атаки типа «простой dns-flood»
- •3.2. Моделирование процесса атаки типа «рекурсивный dns-flood»
- •3.3. Определение функций ущерба
- •3.4. Аналитическая оценка риска
- •3.5. Управление рисками в условиях флуд-атаки типа «dns-flooder»
- •4. Риск-модели для атак посредством программы «sms-flooder»
- •4.1. Особенности моделирования процесса атаки, реализуемой посредством вредоносной программы sms-Flooder
- •4.2. Модели процесса атаки типа «sms-Flood»
- •4.3. Функция ущерба от sms-флуда
- •4.4. Аналитическая оценка риска
- •4.5. Возможности управления рисками в условиях флуд-атаки посредством вредоносной программы sms-Flooder
- •5. Риск-модели флуд-атак посредством вредоносной программы email-flooder
- •5.1. Моделирование процесса заражения хоста вредоносной программой Email-flooder
- •5.3. Моделирование флуд-атаки на почтовый сервер
- •5.3. Обоснование функции ущерба от почтового флуда
- •5.4. Аналитическая оценка рисков почтового флуда
- •5.5. Возможности регулирования рисков в условиях атаки типа «почтовый флуд»
- •Заключение
- •Библиографический список
- •Оглавление
- •3 94026 Воронеж, Московский просп., 14
4.3. Функция ущерба от sms-флуда
Атака SMS-Flood преследует цель исчерпать ресурсы атакуемой системы и тем самым сделать ее недоступной. При этом пользователь может продолжать пользоваться устройством, но не сможет принимать звонки и SMS-сообщения, так как все ресурсы системы будут уходить на обработку нежелательных сообщений, посылаемых вредоносной программой SMS-Flood. Пользователь будет вынужден обрабатывать нежелательные сообщения. Таким образом, ущерб будет зависеть от количества поступающих нежелательных сообщений [81-84].
Можно выделить следующие этапы флуд-атаки на мобильное устройство с использованием вредоносной программы SMS-Flooder:
1) атака началась, но успех не достигнут;
2) успех атаки достигнут, атака продолжается;
3) атакуемый объект обнаружил атаку и начинает применять средства защиты;
4) устранение атаки и ее последствий.
Рассмотрим, как изменяется ущерб в зависимости от этапа атаки.
В момент начала атаки хост злоумышленника передает команду о начале атаки атакующим устройствам. Этот этап может занимать значительное время, поэтому для ускорения на этом задействуют атакующие устройства [82]. Атакующее устройство, получившее команду о начале атаки, должно передать эту команду другим атакующим устройствам . Зная, что на отправку команды одному устройству затрачивается время , интенсивность передачи полученной команды другим атакующим устройствам можно найти по формуле
Таким образом, количество атакующих устройств, подключившихся к атаке, будет расти по закону геометрической прогрессии. Так как интенсивность всех источников одинакова и равна , то , зависимость количества поступающих нежелательных сообщений от времени определяется выражением (4.6):
где – интенсивность отправки SMS-сообщений одним источником.
График зависимости количества поступающих нежелательный сообщений от времени для данного этапа приведен на рис. 4.5.
Рис. 4.5. График зависимости количества поступающих нежелательных сообщений от времени
Обозначим - момент времени, когда все атакующие устройства подключились к атаке, то есть достигнута максимальная интенсивность атаки . После этого атака будет продолжаться с постоянной интенсивностью . Также на мобильное устройство будут поступать полезные сообщения с интенсивностью . Таким образом, общая интенсивность поступающих сообщений будет равна: . При этом мобильное устройство способно обрабатывать SMS-сообщения с интенсивностью .
Примем за успех атаки момент времени , когда общая интенсивность поступающих сообщений превысит интенсивность обработки SMS-сообщений, то есть очередь мобильного устройства переполнится и оно будет не в состоянии принимать SMS-сообщения
После успеха атака будет продолжаться, и ущерб будет увеличиваться, пока пользователь не обнаружит атаку и не начнет применять средства защиты. Пусть в момент времени пользователь обнаружил атаку, а в момент времени средства защиты запустились. Иллюстрация данного этапа приведена на рис. 4.6.
Рис. 4.6. График зависимости количества поступающих нежелательных сообщений от времени
Для противодействия данной атаке, необходимо определить с каких номеров производится отправка нежелательных SMS-сообщений (путем анализа поступающих сообщений). При определении номера одного из атакующих устройств, удаляются все сообщения, поступившие с данного номера, и он помещается в «черный список», то есть все сообщения с этого номера будут игнорироваться. Блокировка атакующих номеров осуществляется по определенному критерию [77]. Например, если с одного номера поступит нежелательных сообщений, то данный номер считается вредоносным. Так как для блокировки нужно проанализировать сообщений, то интенсивность блокировки можно определить как:
где – интенсивность обработки сообщений.
Так как интенсивность всех источников одинакова и равна , то после блокировки атакующего номера, количество сообщений уменьшится на , так как удалятся все письма от данного источника. В этом случае, обработка поступивших нежелательных сообщений будет происходить по следующему закону:
Также после блокировки одного атакующего номера интенсивность поступления нежелательных сообщений будет снижаться на . Так как в момент времени интенсивность атаки перестает нарастать, то интенсивность атаки до и после этого момента будет изменяться по разному:
Таким образом, в случае применения средств защиты от флуд-атаки, SMS-сообщения будут поступать по следующему закону:
или
Определим функцию ущерба на основе приведенного выше анализа. Так как ущерб зависит от количества поступивших сообщений, то в момент времени он будет равен:
Сообщения будут поступать по закону (4.11), а обрабатываться по (4.9). Общий вид функции ущерба для всех временных интервалов реализации атаки будет выглядеть следующим образом:
На основе (4.6), (4.9), (4.11) и (4.12) запишем функцию ущерба с учетом временных интервалов реализации атаки и включения средств защиты:
График функции ущерба (4.13) представлен на рис. 4.7.
Рис. 4.7. Динамика ущерба в периоды реализации атаки и устранения ее последствий
С учетом того, что по достижении момента времени атака будет продолжаться с постоянной интенсивностью а средства защиты информации будут блокировать все больше количество атакующих номеров и удалять поступившие от них нежелательные сообщения, в момент времени все источники будут заблокированы и интенсивность поступления сообщений станет равной . Все нежелательные сообщения будут обработаны или удалены.
Выражение (4.14) позволяет в произвольный момент времени оценить ущерб в результате флуд-атаки на мобильное устройство с использованием вредоносной программы SMS-Flooder.