4.3. Функция ущерба от sms-флуда

Атака SMS-Flood преследует цель исчерпать ресурсы атакуемой системы и тем самым сделать ее недоступной. При этом пользователь может продолжать пользоваться устройством, но не сможет принимать звонки и SMS-сообщения, так как все ресурсы системы будут уходить на обработку нежелательных сообщений, посылаемых вредоносной программой SMS-Flood. Пользователь будет вынужден обрабатывать нежелательные сообщения. Таким образом, ущерб будет зависеть от количества поступающих нежелательных сообщений [81-84].

Можно выделить следующие этапы флуд-атаки на мобильное устройство с использованием вредоносной программы SMS-Flooder:

1) атака началась, но успех не достигнут;

2) успех атаки достигнут, атака продолжается;

3) атакуемый объект обнаружил атаку и начинает применять средства защиты;

4) устранение атаки и ее последствий.

Рассмотрим, как изменяется ущерб в зависимости от этапа атаки.

В момент начала атаки хост злоумышленника передает команду о начале атаки атакующим устройствам. Этот этап может занимать значительное время, поэтому для ускорения на этом задействуют атакующие устройства [82]. Атакующее устройство, получившее команду о начале атаки, должно передать эту команду другим атакующим устройствам . Зная, что на отправку команды одному устройству затрачивается время , интенсивность передачи полученной команды другим атакующим устройствам можно найти по формуле

Таким образом, количество атакующих устройств, подключившихся к атаке, будет расти по закону геометрической прогрессии. Так как интенсивность всех источников одинакова и равна , то , зависимость количества поступающих нежелательных сообщений от времени определяется выражением (4.6):

где – интенсивность отправки SMS-сообщений одним источником.

График зависимости количества поступающих нежелательный сообщений от времени для данного этапа приведен на рис. 4.5.

Рис. 4.5. График зависимости количества поступающих нежелательных сообщений от времени

Обозначим - момент времени, когда все атакующие устройства подключились к атаке, то есть достигнута максимальная интенсивность атаки . После этого атака будет продолжаться с постоянной интенсивностью . Также на мобильное устройство будут поступать полезные сообщения с интенсивностью . Таким образом, общая интенсивность поступающих сообщений будет равна: . При этом мобильное устройство способно обрабатывать SMS-сообщения с интенсивностью .

Примем за успех атаки момент времени , когда общая интенсивность поступающих сообщений превысит интенсивность обработки SMS-сообщений, то есть очередь мобильного устройства переполнится и оно будет не в состоянии принимать SMS-сообщения

После успеха атака будет продолжаться, и ущерб будет увеличиваться, пока пользователь не обнаружит атаку и не начнет применять средства защиты. Пусть в момент времени пользователь обнаружил атаку, а в момент времени средства защиты запустились. Иллюстрация данного этапа приведена на рис. 4.6.

Рис. 4.6. График зависимости количества поступающих нежелательных сообщений от времени

Для противодействия данной атаке, необходимо определить с каких номеров производится отправка нежелательных SMS-сообщений (путем анализа поступающих сообщений). При определении номера одного из атакующих устройств, удаляются все сообщения, поступившие с данного номера, и он помещается в «черный список», то есть все сообщения с этого номера будут игнорироваться. Блокировка атакующих номеров осуществляется по определенному критерию [77]. Например, если с одного номера поступит нежелательных сообщений, то данный номер считается вредоносным. Так как для блокировки нужно проанализировать сообщений, то интенсивность блокировки можно определить как:

где – интенсивность обработки сообщений.

Так как интенсивность всех источников одинакова и равна , то после блокировки атакующего номера, количество сообщений уменьшится на , так как удалятся все письма от данного источника. В этом случае, обработка поступивших нежелательных сообщений будет происходить по следующему закону:

Также после блокировки одного атакующего номера интенсивность поступления нежелательных сообщений будет снижаться на . Так как в момент времени интенсивность атаки перестает нарастать, то интенсивность атаки до и после этого момента будет изменяться по разному:

Таким образом, в случае применения средств защиты от флуд-атаки, SMS-сообщения будут поступать по следующему закону:

или

Определим функцию ущерба на основе приведенного выше анализа. Так как ущерб зависит от количества поступивших сообщений, то в момент времени он будет равен:

Сообщения будут поступать по закону (4.11), а обрабатываться по (4.9). Общий вид функции ущерба для всех временных интервалов реализации атаки будет выглядеть следующим образом:

На основе (4.6), (4.9), (4.11) и (4.12) запишем функцию ущерба с учетом временных интервалов реализации атаки и включения средств защиты:

График функции ущерба (4.13) представлен на рис. 4.7.

Рис. 4.7. Динамика ущерба в периоды реализации атаки и устранения ее последствий

С учетом того, что по достижении момента времени атака будет продолжаться с постоянной интенсивностью а средства защиты информации будут блокировать все больше количество атакующих номеров и удалять поступившие от них нежелательные сообщения, в момент времени все источники будут заблокированы и интенсивность поступления сообщений станет равной . Все нежелательные сообщения будут обработаны или удалены.

Выражение (4.14) позволяет в произвольный момент времени оценить ущерб в результате флуд-атаки на мобильное устройство с использованием вредоносной программы SMS-Flooder.