- •Введение
- •1. Флуд-атаки как угроза безопасности информации
- •1.1. Сущность флуд-атак
- •1.2. Атаки, направленные на приведение жертвы в недоступное состояние
- •1.3. Многофункциональные атаки
- •Механизмы защиты от флуд-атак
- •Методический подход к оценке вероятного ущерба и ожидаемой эффективности защиты при атаках, направленных на нарушение доступности информации и ресурсов
- •2. Риск-модели im-флуда
- •2.1. Специфика моделирования процесса атаки, использующей вредоносную программу im-Flooder
- •2.2. Измерение ущерба
- •2.3. Оценка рисков
- •2.4. Возможности регулирования рисков в условиях реализации флуд-атаки с использованием вредоносной программы im-flooder
- •3. Риск-модели сетевой атаки типа «dns-flood»
- •3.1. Моделирование процесса атаки типа «простой dns-flood»
- •3.2. Моделирование процесса атаки типа «рекурсивный dns-flood»
- •3.3. Определение функций ущерба
- •3.4. Аналитическая оценка риска
- •3.5. Управление рисками в условиях флуд-атаки типа «dns-flooder»
- •4. Риск-модели для атак посредством программы «sms-flooder»
- •4.1. Особенности моделирования процесса атаки, реализуемой посредством вредоносной программы sms-Flooder
- •4.2. Модели процесса атаки типа «sms-Flood»
- •4.3. Функция ущерба от sms-флуда
- •4.4. Аналитическая оценка риска
- •4.5. Возможности управления рисками в условиях флуд-атаки посредством вредоносной программы sms-Flooder
- •5. Риск-модели флуд-атак посредством вредоносной программы email-flooder
- •5.1. Моделирование процесса заражения хоста вредоносной программой Email-flooder
- •5.3. Моделирование флуд-атаки на почтовый сервер
- •5.3. Обоснование функции ущерба от почтового флуда
- •5.4. Аналитическая оценка рисков почтового флуда
- •5.5. Возможности регулирования рисков в условиях атаки типа «почтовый флуд»
- •Заключение
- •Библиографический список
- •Оглавление
- •3 94026 Воронеж, Московский просп., 14
3.1. Моделирование процесса атаки типа «простой dns-flood»
Рассмотрим процесс атаки на DNS-сервер типа «простой DNS-flood». Смоделируем процесс, с момента отправки данных злоумышленником, до момента отказа в обслуживании сервера, с помощью сети Петри-Маркова [39], где:
- позиции, - переходы;
– отправка запросов с хоста злоумышленника на атакуемый сервер;
– поступление данных отправленных на сервер злоумышленником;
– запросы получены;
– постановка в очередь полученных запросов;
– запросы атакующего попали в очередь на обработку;
– передача запросов на обработку серверу;
– очередь переполнена;
– запросы злоумышленника ушли на обработку;
– обработка запроса;
– запрос отправлен в базу данных;
– обработка запроса в базе данных;
– ответ от базы данных получен;
– отправка ответа;
– ответ отправлен;
– проверка очереди;
– отказ в обслуживании.
Граф данной сети представлен на рис. 3.1.
Рис. 3.1. Граф сети Петри-Маркова для атаки типа «DNS-flood»
Логические функции срабатывания сети (рис. 3.1), сведены в табл. 3.1.
Таблица 3.1
Элементы матрицы для атаки «DNS-flood»
Из табл. 3.1 следует система интегрально-дифференциальных уравнений (3.1).
Применяя пуассоновское приближение, найдем среднее время перемещения по сети Петри-Маркова (рисунок 3.1) из начальной позиции до конечного перехода. В результате имеем:
где вероятность будет равна:
Для примера исходным параметрам атаки придадим следующие значения: = 0,5 с – среднее время открытии запросов от атакующего, = 0,2 с – среднее время нахождения в очереди, = 2,5 с – среднее время обработки полученного запроса, = 2,5 с – время обработки в базе данных, = 10 с – время отправки обратного ответа. Тогда из (3.2) среднее время перехода по всей сети = 15,7 с. Соответствующая зависимость вероятности заражения хоста от времени представлена на рис. 3.2.
t
Рис. 3.2. Пример зависимости от времени вероятности реализации атаки типа «DNS-flood»
3.2. Моделирование процесса атаки типа «рекурсивный dns-flood»
Рассмотрим процесс атаки типа «рекурсивный DNS-flood» на DNS-сервер. Смоделируем проведение атаки, с момента отправки данных злоумышленником, до момента отказа в обслуживании DNS-сервера, с помощью сети Петри-Маркова [100], где:
- позиции; - переходы;
– отправка запросов с хоста злоумышленника на атакуемый сервер;
– поступление данных отправленных на сервер злоумышленником;
– запросы получены;
– постановка в очередь полученных запросов;
– запросы атакующего попали в очередь на обработку;
– передача запросов на обработку серверу;
– очередь переполнена;
– запросы злоумышленника ушли на обработку;
– обработка запроса;
– запрос отправлен в базу данных;
– обработка запроса в базе данных;
– ответ от базы данных получен;
– отправка запроса на вышестоящий сервер;
– запрос отправлен;
– проверка очереди;
– отказ в обслуживании;
– ожидание ответ на сервере;
– получение ответа от сервера;
Граф данной сети представлен на рисунке 3.3.
Рис. 3.3. Граф сети Петри-Маркова для атаки типа «рекурсивный DNS-flood»
Логические функции срабатывания сети (рис. 3.3), сведены в табл. 3.2.
Таблица 3.2
Элементы матрицы для атаки типа «рекурсивный DNS-flood»
Для данной матрицы имеет место следующая система интегрально-дифференциальных уравнений [99]:
Применяя пуассоновское приближение, получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения в следующем виде:
Рассмотрим пример, где исходные параметры атаки принимают следующие значения:
= 0,5 с – среднее время открытии запросов от атакующее, = 0,2 с – среднее время нахождения в очереди, = 2,5 с – среднее время обработки полученного запроса, = 2,5 с – время обработки в базе данных, = 10 с – время отправки обратного ответа, – время ответа верхнего сервера.
Тогда среднее время перехода по всей сети равно = 16,2 с, а зависимость от времени вероятности заражения хоста приобретает вид, представленный на рис. 3.4.
P(t)
t
t
Рис. 3.4. Зависимость от времени вероятности реализации атаки типа «рекурсивный DNS-flood»
С изменением крутизна кривой очевидно будет меняться.