- •Введение
- •1. Флуд-атаки как угроза безопасности информации
- •1.1. Сущность флуд-атак
- •1.2. Атаки, направленные на приведение жертвы в недоступное состояние
- •1.3. Многофункциональные атаки
- •Механизмы защиты от флуд-атак
- •Методический подход к оценке вероятного ущерба и ожидаемой эффективности защиты при атаках, направленных на нарушение доступности информации и ресурсов
- •2. Риск-модели im-флуда
- •2.1. Специфика моделирования процесса атаки, использующей вредоносную программу im-Flooder
- •2.2. Измерение ущерба
- •2.3. Оценка рисков
- •2.4. Возможности регулирования рисков в условиях реализации флуд-атаки с использованием вредоносной программы im-flooder
- •3. Риск-модели сетевой атаки типа «dns-flood»
- •3.1. Моделирование процесса атаки типа «простой dns-flood»
- •3.2. Моделирование процесса атаки типа «рекурсивный dns-flood»
- •3.3. Определение функций ущерба
- •3.4. Аналитическая оценка риска
- •3.5. Управление рисками в условиях флуд-атаки типа «dns-flooder»
- •4. Риск-модели для атак посредством программы «sms-flooder»
- •4.1. Особенности моделирования процесса атаки, реализуемой посредством вредоносной программы sms-Flooder
- •4.2. Модели процесса атаки типа «sms-Flood»
- •4.3. Функция ущерба от sms-флуда
- •4.4. Аналитическая оценка риска
- •4.5. Возможности управления рисками в условиях флуд-атаки посредством вредоносной программы sms-Flooder
- •5. Риск-модели флуд-атак посредством вредоносной программы email-flooder
- •5.1. Моделирование процесса заражения хоста вредоносной программой Email-flooder
- •5.3. Моделирование флуд-атаки на почтовый сервер
- •5.3. Обоснование функции ущерба от почтового флуда
- •5.4. Аналитическая оценка рисков почтового флуда
- •5.5. Возможности регулирования рисков в условиях атаки типа «почтовый флуд»
- •Заключение
- •Библиографический список
- •Оглавление
- •3 94026 Воронеж, Московский просп., 14
Механизмы защиты от флуд-атак
На основании вышеприведенной классификации флуд-атак становится возможным рассмотрение вопроса о применимости тех или иных механизмов защиты от них. Рассматривая все известные механизмы защиты от флуд-атак, можно выделить два базовых классификационных признака: уровень активности и степень зависимости [75-86], а именно:
Профилактические
Профилактические механизмы защиты пытаются полностью исключить возможность успешной реализации атак.
Предупреждение обычных атак
Включают в себя механизмы предотвращения системных атак и атак по протоколам. Но реальность в обеспечении информационной безопасности предполагает, что профилактический подход никогда не может гарантировать абсолютную защиту. Тем не менее, это очень важный элемент защиты, так как именно на уровне профилактики удается предотвратить большую часть атак.
Системная защита
Флуд-атаки в большинстве случаев успешны, потому что злоумышленнику удается заразить множество хостов, с которых потом совершаются атаки (чем больше компьютеров, тем больше поток пакетов). Механизмы системной защиты помогает предотвратить захват множества машин.
Защита протоколов
Данные механизмы помогают избежать таких атак, реализуемых по сетевым протоколам, содержащим уязвимости. Принцип работы механизмов заключается в том, что пользователю выделяется канал передачи пакетов только после аутентификации. Кроме того, происходит фильтрация некоторых сомнительных пакетов в сети.
Предупреждение отказов в работе
Данные механизмы позволяют предотвращать атаки злоумышленников, не оказывая никакого влияния на обслуживание пользователей.
Активные
Данные механизмы пытаются уменьшить ущерб от реализации атаки. Для этого атака должна быть обнаружена, после чего должен последовать реакция системы защиты. Цель состоит в том, чтобы как можно раньше обнаружить попытку атаки, при минимальном количестве ложных срабатываний.
Шаблонное обнаружение
Механизмы такой защиты заключаются в том, что обнаруживать заранее известные способы атак, то есть сравнить с уже имеющимися сигнатурами. Очевидным недостатком является то, что могут быть обнаружены только известные атаки, тогда как новые атаки или небольшие вариации, так и остаются незамеченными.
Аномальное обнаружение
Метод такого обнаружение основан на том, что в системе защиты есть модель нормального поведения системы (загруженность канала связи, генерируемый или потребляемый трафик и др.). Как только какие-то параметры выходят из нормы, система защиты сообщает об этом оператору. Преимущество данного метода заключается в том, что могут быть обнаружены ранее неизвестные атаки, но ценой большого количества ложных срабатываний.
Автономные
Автономные механизмы защиты обеспечивают безопасность там, где они развернуты (отдельный компонент атакуемого объекта или же атакуемый объект в целом) и не зависят от внешних факторов. Примерами могут являться межсетевые экраны и системные обнаружения вторжений.
Кооперативные
Данные механизмы ведут тесную синхронизацию с другими элементами и компонентами жертвы для достижения полноценной и комплексной защиты.
Взаимозависимые
Взаимозависимые механизмы не могут работать автономно в точке своего развертывания. Они либо требуют развертывания в нескольких компонентах жертвы, либо полагаются на другие объектах, которые либо обнаруживают атаку, либо предотвращают ее.
Анализ флуд-атак, способов их реализации и механизмов защиты от них составляет основу для дальнейшего исследования флуд-атакуемых систем различного характера и разработки объективных мер по повышению защищенности таких систем от различного рода флудов, что невозможно без использования аппарата риск-анализа [1, 2, 4-14, 16-21, 23-43, 45-74, 88-109].