2. Риск-модели im-флуда
В главе рассматривается процесс атаки типа «IM-флуд». Предлагается модель для оценки вероятности успеха атаки и возникающего в данном случае ущерба. Получено аналитическое выражение для огибающей риска и рассмотрены возможности его регулирования.
2.1. Специфика моделирования процесса атаки, использующей вредоносную программу im-Flooder
Целью
данного воздействия является отказ в
обслуживании IM-клиента.
Атаки носят потоковый характер и при
пуассоновском приближении уместно
использовать полумарковские модели
[3, 22, 38, 39]. Поэтому смоделируем данную
атаку с помощью сети Петри-Маркова
[66-74], где 
- позиции, а 
– переходы процесса [7].
Рис. 2.1. Граф сети
Граф данной сети представлен на рисунке 2.1, где:
– злоумышленник
имеет информацию для формирования
команды вредоносной программе IM-flooder;
– формирование
комадны для устройства с вредоносной
программой IM-flooder;
– устройство
с вредоносной программой IM-flooder
готово принять команду;
– команда
для устройства с вредоносной программой
IM
-flooder
готова;
– отпрака
команды устройству с вредоносной
программой IM
-flooder;
– устройство
с вредоносной программой IM
-flooder
приняло;
– обработка
принятой команды;
– команда
обработана;
– настройка вредоносной программы
IM-flooder
и формирование
сообщений, в соответствии с принятой
командой;
– вредоносная программа настроена и
сообщения
для отправки сформированы;
– атакуемый
IM-клиент
готов принять сообщения;
– отправка сообщений на атакуемый
IM-клиент;
– работа
IM-клиента
затруднена из-за большого количества
сообщений;
– переполнение обработчика сообщений
атакуемого IM-клиента;
– работаIM-клиента
невозможна.
Запишем элементы матрицы, которые определяют логические функции срабатывания построенной сети (рис. 2.1).
Поскольку полушаг из переходов в позиции срабатывает мгновенно, то динамика срабатывания сети будет определяться только вероятностями перемещения из состояний в переходы и плотностью нахождения процесса в каждом из состояний. Следовательно, в построенной сети будет достаточно рассмотреть процесс перехода из начальной позиции в конечный переход , что иллюстрирует нижеприведенная таблица:
Элементы матрицы для атаки «IM-флуд»
|
|
|
|
|
|
|
|
|
1 |
0 |
0 |
0 |
0 |
0 |
|
|
0 |
1 |
0 |
0 |
0 |
0 |
|
|
1 |
1 |
0 |
0 |
0 |
0 |
|
|
0 |
|
1 |
0 |
0 |
0 |
|
|
0 |
0 |
1 |
1 |
0 |
0 |
|
|
0 |
0 |
0 |
1 |
1 |
0 |
|
|
0 |
0 |
0 |
0 |
1 |
0 |
|
|
0 |
0 |
0 |
0 |
|
1 |
|
|
0 |
0 |
0 |
0 |
0 |
1 |
Отсюда вытекает следующая система интегрально-дифференциальных уравнений [7]:
(2.1)
где
– плотность вероятности времени
перемещения из позиции 
к переходу
,
– соответствующий закон распределения,
– вероятность срабатывания перехода.
Применяя
пуассоновское приближение, получим
среднее время 
перемещения по сети из начальной позиции
до конечного перехода и вероятность
этого перемещения в следующем виде:
(2.3)
Рассмотрим
пример, где исходные параметры атаки
(2.3) принимают следующие значения: 
– интенсивность атаки (количество
сообщений/с); m
– количество сообщений, которое требуется
отправить жертве; 
= 0,2 с – среднее время формирования
команды; 
= 0,5 с – среднее время подготовки устройств
с вредоносной программой IM-flooder;
= 5,5 с – среднее время рассылки команды
устройствам с вредоносной программой
IM-flooder;
= 1,2 с – среднее время обработки принятой
команды; 
= 6,1 с – среднее время формирования
сообщений; 
= 1,5 с – среднее время настройки вредоносной
программы IM-flooder;
= m/
с – среднее время переполнения обработчика
сообщений атакуемого IM-клиента.
Отсюда
зависимость вероятности реализации
атаки от времени представлена на рис.
2.2, где 
.
P(t)
t
0
1
τ1
τ2
Рис. 2.2. Зависимость вероятности реализации атаки от времени
Таким образом, построена модель IM флуд-атаки. Используя эту модель, можно на основе статистических данных, найти вероятности успеха данной атаки, по заданным ее параметрам.