Файловый архив студентов. Файловый архив студентов.
1264 вуза, 4635 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Воронежский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Учебное пособие 700525.doc
Скачиваний:
4
Добавлен:
01.05.2022
Размер:
31.03 Mб
Скачать
►Содержание►

5.3. Обоснование функции ущерба от почтового флуда

Для проведения риск-анализа необходимо определить функцию ущерба.

Рассматриваемый вид флуд-атаки не преследует цель исчерпать ресурсы атакуемой системы и тем самым сделать ее недоступной. Особенность данной атаки заключается в том, что пользователь будет иметь доступ к своему почтовому ящику, но из-за огромного числа поступающих сообщений, он не сможет «нормально» работать. Пользователь будет вынужден просматривать, отвечать, удалять нежелательные сообщения. Таким образом, ущерб будет зависеть от количества поступивших сообщений.

Можно выделить следующие этапы флуд-атаки на почтовый ящик с использованием вредоносной программы Email-flooder:

1) атака началась, но успех не достигнут;

2) успех атаки достигнут:

а) атака продолжается;

б) атака завершилась;

3) атакуемый обнаружил атаку и начинает применять средства защиты;

4) устранение атаки и ее последствий.

Оценим ущерб на различных этапах атаки.

На почтовый ящик будут поступать полезные сообщения с интенсивностью и нежелательные сообщения с интенсивностью Таким образом общая интенсивность поступающих сообщений будет равна . При этом пользователь будет производить их обработку с интенсивностью .

Обозначим количество поступивших сообщений - X(t), и количество обработанных сообщений – Y(t). Тогда сообщения

X(t) = (5.8).

и

Y(t) = . (5.9)

Пусть успех атаки достигается в момент времени , когда пользователь получит на свой почтовый ящик сообщений. Интенсивность накопления сообщений на почтовом ящике с учетом того, что пользователь поступающие с интенсивностью сообщения обрабатывает с постоянной интенсивностью , составит

Временную динамику поступивших и обработанных сообщений (5.10) иллюстрирует рисунок 5.5

t

Рис. 5.5. График поступивших и обработанных сообщений

Отсюда число сообщений с учетом (5.10) можно выразить следующим образом:

(5.11)

В отличие от других видов флуд-атак, которые основаны на создании огромного количества бессмысленных или образованных в некорректном формате запросов к определенной информационно-телекоммуникационной системе или же сетевому оборудованию, ущерб по прекращению рассматриваемой атаки не будет уменьшаться самостоятельно. Величина ущерба зафиксируется на значении, которое было в момент окончания или обнаружения атаки. Так как на почтовый ящик поступит сообщений, то жертва будет вынуждена затратить ресурсы на ликвидацию последствий атаки.

Когда атака прекратится, на почтовый ящик будут поступать только полезные сообщения. В момент времени последствия атаки будут устранены и система вернется к обработке только полезных сообщений. В данном случае пользователь может не заметить атаку и не начать применять средства защиты. Такую ситуацию иллюстрирует рисунок 5.6.

 Прямая соединительная линия 372

Рис. 5.6. Иллюстрация случая, ликвидации последствий атаки

В случае продолжения атаки после её успеха, ущерб будет увеличиваться, пока пользователь не начнет применять средства защиты. Для того чтобы применить средства защиты, пользователь должен обнаружить атаку и запустить их. На запуск требуется какое-то время. На протяжении этого времени функция ущерба не изменяется. Пусть в момент времени пользователь обнаружил атаку, в момент времени средства защиты запустились. Иллюстрация данной ситуации представлена на рисунке 5.7.

Прямая соединительная линия 54

Рис. 5.7. Иллюстрация случая, когда после успеха атака продолжается

В качестве средства борьбы с данной флуд-атакой пользователь может подключить резервные мощности, и таким образом интенсивность обработки поступающих сообщений увеличиться до . В момент времени ущерб от атаки будет устранен. Интенсивность должна будет поддерживаться, пока атака не прекратится. Данную ситуацию иллюстрирует рис. 5.8.

Прямая соединительная линия 261

Рис. 5.8. Иллюстрация случая, когда для борьбы с атакой увеличивают интенсивность обработки сообщений

Увеличение интенсивности обработки не является эффективным способом борьбы с данной флуд-атакой, так как придется поддерживать данную интенсивность до тех пор, пока атака не завершится, а она может идти длительное время.

Кроме увеличения интенсивности, пользователь может так же блокировать нежелательные источники сообщений. Блокировка таких источников осуществляется по определенному критерию. Например, если сообщений от одного источника признаются нежелательными, то такой источник блокируется и все письма, полученные от него удаляются. Блокировка источников осуществляется с интенсивностью .

Так как для блокировки требуется проанализировать сообщений, то интенсивность блокировки можно определить как:

. (5.12)

Если интенсивность всех источников в среднем равна , тогда . После блокировки источника количество сообщений уменьшается на , так как удаляются все письма данного источника. Тогда, помимо стандартной обработки сообщений (5.10), происходит удаление поступивших нежелательных сообщений по следующей функции:

(t)= = (5.13)

Так же после блокировки источника интенсивность атаки будет уменьшаться на , тогда интенсивность атаки будет изменяться по закону (1.14):

. (5.14)

и

+ t = ( )t= =

= . (5.15)

В момент времени все источники будут заблокированы, интенсивность поступления сообщений станет равной и все сообщения будут обработаны/удалены, так же интенсивность обработки сообщений вернется к штатной . Иллюстрация данной ситуации представлена на рис. 5.9.

Рис. 5.9. Блокирование источников атаки

Из приведенных выше случаев наиболее общим и интересным представляется последний, когда после достижения успеха атака продолжается, и пользователь осуществляет борьбу не только путем увеличения интенсивности за счет резерва, но и блокированием источников атаки на основе определенного критерия. Определим функцию ущерба на основе проведенного выше анализа. Так как ущерб зависит от количества поступивших сообщений, то к моменту времени он будет равен .

Определим функцию ущерба (5.16):

+ . (5.16)

Подставив (5.10) и (5.11) в (5.16), получим (5.17):

+ . (5.17)

Упростив выражение (5.17), получим (5.18):

(5.18)

На рис. 5.10 представлен график функции ущерба (5.18), где - момент успеха атаки.

Прямая соединительная линия 289

Рис. 5.10. График функции ущерба

Данная функция будет верна до момента времени (начало работы средств защиты). Количество сообщений поступивших на момент времени равно (5.19):

= . (5.19)

Сообщения будут поступать с интенсивностью (5.15), а обрабатываться с интенсивностью (5.9) и (5.13).

На основе (5.9), (5.13), (5.15) и (5.17) запишем функцию ущерба (5.20):

+X(t Y(t

или

. (5.20)

Упростим выражение (5.20), получим (5.21):

. 5.21)

Аналитически запишем функцию ущерба на всех рассматриваемых интервалах:

Данную ситуацию иллюстрирует рис. 5.11:

Рис. 5.11. Динамика ущерба от флуд-атаки в периоды реализации атаки и устранения ее последствий

Полученное выражение ущерба, можно пронормировать по максимальному значению ущерба. Максимальное значение ущерб принимает в точке . Найдем значение , для этого найдем производную от (5.21) и приравняем ее к нулю, тогда:

( ) = ,

( ) = 0,

Отсюда получим максимальный ущерб (5.24):

= . (5.24)

В результате нормированный ущерб примет вид (5.25):

Упростим выражение (5.25); получим

Выражение (5.26) позволяет в произвольный момент времени оценить ущерб в результате флуд-атаки на почтовый ящик с использованием вредоносной программы Email-flooder.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности