- •Введение
- •1. Флуд-атаки как угроза безопасности информации
- •1.1. Сущность флуд-атак
- •1.2. Атаки, направленные на приведение жертвы в недоступное состояние
- •1.3. Многофункциональные атаки
- •Механизмы защиты от флуд-атак
- •Методический подход к оценке вероятного ущерба и ожидаемой эффективности защиты при атаках, направленных на нарушение доступности информации и ресурсов
- •2. Риск-модели im-флуда
- •2.1. Специфика моделирования процесса атаки, использующей вредоносную программу im-Flooder
- •2.2. Измерение ущерба
- •2.3. Оценка рисков
- •2.4. Возможности регулирования рисков в условиях реализации флуд-атаки с использованием вредоносной программы im-flooder
- •3. Риск-модели сетевой атаки типа «dns-flood»
- •3.1. Моделирование процесса атаки типа «простой dns-flood»
- •3.2. Моделирование процесса атаки типа «рекурсивный dns-flood»
- •3.3. Определение функций ущерба
- •3.4. Аналитическая оценка риска
- •3.5. Управление рисками в условиях флуд-атаки типа «dns-flooder»
- •4. Риск-модели для атак посредством программы «sms-flooder»
- •4.1. Особенности моделирования процесса атаки, реализуемой посредством вредоносной программы sms-Flooder
- •4.2. Модели процесса атаки типа «sms-Flood»
- •4.3. Функция ущерба от sms-флуда
- •4.4. Аналитическая оценка риска
- •4.5. Возможности управления рисками в условиях флуд-атаки посредством вредоносной программы sms-Flooder
- •5. Риск-модели флуд-атак посредством вредоносной программы email-flooder
- •5.1. Моделирование процесса заражения хоста вредоносной программой Email-flooder
- •5.3. Моделирование флуд-атаки на почтовый сервер
- •5.3. Обоснование функции ущерба от почтового флуда
- •5.4. Аналитическая оценка рисков почтового флуда
- •5.5. Возможности регулирования рисков в условиях атаки типа «почтовый флуд»
- •Заключение
- •Библиографический список
- •Оглавление
- •3 94026 Воронеж, Московский просп., 14
5. Риск-модели флуд-атак посредством вредоносной программы email-flooder
Настоящая глава посвящена моделированию процесса «почтового флуда», включая оценку вероятности его успеха и наносимого им ущерба. Получено аналитическое выражение риска и рассмотрены возможности его регулирования.
5.1. Моделирование процесса заражения хоста вредоносной программой Email-flooder
Рассмотрим процесс заражение хоста вредоносной программой Email-flooder. Целью данного воздействия является заражение хоста, для дальнейшего его использования во флуд-атаке [81, 82].
Смоделируем данную атаку с помощью сети Петри-Маркова [66-74], где - позиции, - переходы.
Граф данной сети представлен на рис. 5.1, где:
Рис. 5.1. Граф сети Петри-Маркова для заражения хоста вредоносной программой Email-flooder
– хост злоумышленника готов;
– устройство пользователя готово к приему вредоносной программы;
– определение способа внедрения вредоносной программы Email-Flooder на устройство пользователя;
– файл с вредоносной программой Email-Flooder готов к передаче на устройство пользователя;
– способ внедрения вредоносной программы Email-flooder определен;
– передача файла с вредоносной программой Email-flooder на устройство пользователя;
– файл с вредоносной программой Email-flooder передан на устройство пользователя;
– запуск на выполнение файла с вредоносной программой Email-flooder;
– файл с вредоносной программой Email-flooder запущен;
– запуск процесса заражения устройства вредоносной программы Email-flooder (создание исполняемого файла, правка реестра, перехват сокета);
– исполняемый файл вредоносной программы Email-flooder создан и скопирован в заданный каталог;
– правка реестра;
– редактирование реестра для автозапуска вредоносной программы Email-flooder при старте системы завершено;
– перехват сокета;
– сокет для работы вредоносной программы Email-flooder получен;
– первичная настройка вредоносной программы Email-flooder;
– программа Email-flooder настроена;
– сокрытие следов установки и запуска программы Email-flooder;
– следы об установке и запуске программы Email-flooder удалены;
– начало работы вредоносной программы Email-flooder;
– вредоносная программа Email-flooder находится в состоянии ожидания команды от злоумышленника.
Элементы матрицы, определяющие логические функции срабатывания сети (рис. 5.1), могут быть записаны (без учета направленности дуг графа) следующим образом:
Поскольку полушаг из перехода в позицию срабатывает мгновенно, то динамика срабатывания сети определяется только вероятностями срабатывания сети (перемещения из состояния в переход) и плотностями распределения времени нахождения процесса в каждом состоянии. Тогда в данной сети достаточно рассмотреть процесс перехода из начального состояния в конечный переход .
Для данной сети имеет место следующая система интегро-дифференциальных уравнений [100]:
,
,
,
, (5.1)
,
где: – плотность вероятности времени перемещения из состояния к переходу ; соответствующий закон распределения; – вероятность срабатывания перехода.
Полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид (5.2):
где: , i = 1,…,12; j = 1,…,9.
Согласно предельной теореме, для редеющих событий при последовательном разрежении стационарного ординарного потока результирующий поток с увеличением числа разрежений приближается к простейшему. Таким образом, результирующий поток является экспоненциальным, так как экспоненциальный поток и есть простейший.
Расчет с применением прямого и обратного преобразования Лапласа получается весьма громоздким, поэтому целесообразно применять пуассоновское приближение для плотностей распределения вероятностей времени перемещения в переходы сети Петри-Маркова. Применяя пуассоновское приближение, получим среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения [93]:
=
Для примера рассчитаем параметры (5.3) для случая, где исходные параметры атаки принимают следующие значения:
3,5 с - среднее время подготовки хоста злоумышленника, = 1,4 с - среднее время подготовки устройства пользователя, с – средне время на подготовку файла вредоносной программы Email-flooder, 3,5 с - среднее время передачи файла вредоносной программой Email-flooder (зависит от объема файла, в данном случае среднее время внедрения вредоносной программы), 0,5 с - среднее время на запуск вредоносной программы Email-flooder, 2,5 с – среднее время копирования файла с вредоносной программой Email-flooder в заданный каталог, 1,5 с – среднее время редактирования реестра, 1 с – среднее время получения сокета вредоносной программой Email-flooder, 2,1 с – среднее время настройки вредоносной программы Email-flooder, 3,2 с – среднее время сокрытия следов активности заражения устройства вредоносной программой Email-flooder, 0,4 с – среднее время на запуск вредоносной программы Email-flooder.
Тогда среднее время перехода по всей сети = 18,74 c.
Зависимость вероятности реализации атаки от времени проиллюстрирована на рис. 5.2
t,
c
Рис. 5.2. Зависимость вероятноти реализации внедрения вредоносной программы Email-flooder от времени
Представленный пример демонстрирует возможности предлогаемой модели заражения хоста вредоносной программой Email-flooder