5. Риск-модели флуд-атак посредством вредоносной программы email-flooder
Настоящая глава посвящена моделированию процесса «почтового флуда», включая оценку вероятности его успеха и наносимого им ущерба. Получено аналитическое выражение риска и рассмотрены возможности его регулирования.
5.1. Моделирование процесса заражения хоста вредоносной программой Email-flooder
Рассмотрим процесс заражение хоста вредоносной программой Email-flooder. Целью данного воздействия является заражение хоста, для дальнейшего его использования во флуд-атаке [81, 82].
Смоделируем данную атаку с помощью сети Петри-Маркова [66-74], где - позиции, - переходы.
Граф данной сети представлен на рис. 5.1, где:
Рис. 5.1. Граф сети Петри-Маркова для заражения хоста вредоносной программой Email-flooder
– хост злоумышленника готов;
– устройство пользователя готово к приему вредоносной программы;
– определение способа внедрения вредоносной программы Email-Flooder на устройство пользователя;
– файл с вредоносной программой Email-Flooder готов к передаче на устройство пользователя;
– способ внедрения вредоносной программы Email-flooder определен;
– передача файла с вредоносной программой Email-flooder на устройство пользователя;
– файл с вредоносной программой Email-flooder передан на устройство пользователя;
– запуск на выполнение файла с вредоносной программой Email-flooder;
– файл с вредоносной программой Email-flooder запущен;
– запуск процесса заражения устройства вредоносной программы Email-flooder (создание исполняемого файла, правка реестра, перехват сокета);
– исполняемый файл вредоносной программы Email-flooder создан и скопирован в заданный каталог;
– правка реестра;
– редактирование реестра для автозапуска вредоносной программы Email-flooder при старте системы завершено;
– перехват сокета;
– сокет для работы вредоносной программы Email-flooder получен;
– первичная настройка вредоносной программы Email-flooder;
– программа Email-flooder настроена;
– сокрытие следов установки и запуска программы Email-flooder;
– следы об установке и запуске программы
Email-flooder
удалены;
– начало работы вредоносной программы
Email-flooder;
– вредоносная программа Email-flooder
находится в состоянии ожидания команды
от злоумышленника.
Элементы матрицы, определяющие логические функции срабатывания сети (рис. 5.1), могут быть записаны (без учета направленности дуг графа) следующим образом:
Поскольку полушаг из перехода в позицию срабатывает мгновенно, то динамика срабатывания сети определяется только вероятностями срабатывания сети (перемещения из состояния в переход) и плотностями распределения времени нахождения процесса в каждом состоянии. Тогда в данной сети достаточно рассмотреть процесс перехода из начального состояния в конечный переход .
Для данной сети имеет место следующая система интегро-дифференциальных уравнений [100]:
,
,
,
,
(5.1)
,
где:
– плотность вероятности времени
перемещения из состояния
к переходу
;
соответствующий закон распределения;
– вероятность срабатывания перехода.
Полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид (5.2):
где:
,
i
= 1,…,12;
j
=
1,…,9.
Согласно предельной теореме, для редеющих событий при последовательном разрежении стационарного ординарного потока результирующий поток с увеличением числа разрежений приближается к простейшему. Таким образом, результирующий поток является экспоненциальным, так как экспоненциальный поток и есть простейший.
Расчет с применением прямого и обратного преобразования Лапласа получается весьма громоздким, поэтому целесообразно применять пуассоновское приближение для плотностей распределения вероятностей времени перемещения в переходы сети Петри-Маркова. Применяя пуассоновское приближение, получим среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения [93]:
=
Для примера рассчитаем параметры (5.3) для случая, где исходные параметры атаки принимают следующие значения:
3,5 с - среднее время подготовки хоста
злоумышленника, 
= 1,4 с - среднее время подготовки устройства
пользователя, 
с
– средне время на подготовку файла
вредоносной программы Email-flooder,
3,5 с - среднее время передачи файла
вредоносной программой Email-flooder
(зависит от объема файла, в данном случае
среднее время внедрения вредоносной
программы), 
0,5 с - среднее время на запуск вредоносной
программы Email-flooder,
2,5 с – среднее время копирования файла
с вредоносной программой Email-flooder
в заданный каталог, 
1,5 с – среднее время редактирования
реестра, 
1 с – среднее время получения сокета
вредоносной программой Email-flooder,
2,1 с – среднее время настройки вредоносной
программы Email-flooder,
3,2 с – среднее время сокрытия следов
активности заражения устройства
вредоносной программой Email-flooder,
0,4 с – среднее время на запуск вредоносной
программы Email-flooder.
Тогда среднее время перехода по всей сети = 18,74 c.
Зависимость вероятности реализации атаки от времени проиллюстрирована на рис. 5.2
t,
c
Рис. 5.2. Зависимость вероятноти реализации внедрения вредоносной программы Email-flooder от времени
Представленный пример демонстрирует возможности предлогаемой модели заражения хоста вредоносной программой Email-flooder