- •Введение
- •1. Флуд-атаки как угроза безопасности информации
- •1.1. Сущность флуд-атак
- •1.2. Атаки, направленные на приведение жертвы в недоступное состояние
- •1.3. Многофункциональные атаки
- •Механизмы защиты от флуд-атак
- •Методический подход к оценке вероятного ущерба и ожидаемой эффективности защиты при атаках, направленных на нарушение доступности информации и ресурсов
- •2. Риск-модели im-флуда
- •2.1. Специфика моделирования процесса атаки, использующей вредоносную программу im-Flooder
- •2.2. Измерение ущерба
- •2.3. Оценка рисков
- •2.4. Возможности регулирования рисков в условиях реализации флуд-атаки с использованием вредоносной программы im-flooder
- •3. Риск-модели сетевой атаки типа «dns-flood»
- •3.1. Моделирование процесса атаки типа «простой dns-flood»
- •3.2. Моделирование процесса атаки типа «рекурсивный dns-flood»
- •3.3. Определение функций ущерба
- •3.4. Аналитическая оценка риска
- •3.5. Управление рисками в условиях флуд-атаки типа «dns-flooder»
- •4. Риск-модели для атак посредством программы «sms-flooder»
- •4.1. Особенности моделирования процесса атаки, реализуемой посредством вредоносной программы sms-Flooder
- •4.2. Модели процесса атаки типа «sms-Flood»
- •4.3. Функция ущерба от sms-флуда
- •4.4. Аналитическая оценка риска
- •4.5. Возможности управления рисками в условиях флуд-атаки посредством вредоносной программы sms-Flooder
- •5. Риск-модели флуд-атак посредством вредоносной программы email-flooder
- •5.1. Моделирование процесса заражения хоста вредоносной программой Email-flooder
- •5.3. Моделирование флуд-атаки на почтовый сервер
- •5.3. Обоснование функции ущерба от почтового флуда
- •5.4. Аналитическая оценка рисков почтового флуда
- •5.5. Возможности регулирования рисков в условиях атаки типа «почтовый флуд»
- •Заключение
- •Библиографический список
- •Оглавление
- •3 94026 Воронеж, Московский просп., 14
2. Риск-модели im-флуда
В главе рассматривается процесс атаки типа «IM-флуд». Предлагается модель для оценки вероятности успеха атаки и возникающего в данном случае ущерба. Получено аналитическое выражение для огибающей риска и рассмотрены возможности его регулирования.
2.1. Специфика моделирования процесса атаки, использующей вредоносную программу im-Flooder
Целью данного воздействия является отказ в обслуживании IM-клиента. Атаки носят потоковый характер и при пуассоновском приближении уместно использовать полумарковские модели [3, 22, 38, 39]. Поэтому смоделируем данную атаку с помощью сети Петри-Маркова [66-74], где - позиции, а – переходы процесса [7].
Рис. 2.1. Граф сети
Граф данной сети представлен на рисунке 2.1, где:
– злоумышленник имеет информацию для формирования команды вредоносной программе IM-flooder;
– формирование комадны для устройства с вредоносной программой IM-flooder;
– устройство с вредоносной программой IM-flooder готово принять команду;
– команда для устройства с вредоносной программой IM -flooder готова;
– отпрака команды устройству с вредоносной программой IM -flooder;
– устройство с вредоносной программой IM -flooder приняло;
– обработка принятой команды;
– команда обработана;
– настройка вредоносной программы IM-flooder и формирование сообщений, в соответствии с принятой командой;
– вредоносная программа настроена и сообщения для отправки сформированы;
– атакуемый IM-клиент готов принять сообщения;
– отправка сообщений на атакуемый IM-клиент;
– работа IM-клиента затруднена из-за большого количества сообщений;
– переполнение обработчика сообщений атакуемого IM-клиента;
– работаIM-клиента невозможна.
Запишем элементы матрицы, которые определяют логические функции срабатывания построенной сети (рис. 2.1).
Поскольку полушаг из переходов в позиции срабатывает мгновенно, то динамика срабатывания сети будет определяться только вероятностями перемещения из состояний в переходы и плотностью нахождения процесса в каждом из состояний. Следовательно, в построенной сети будет достаточно рассмотреть процесс перехода из начальной позиции в конечный переход , что иллюстрирует нижеприведенная таблица:
Элементы матрицы для атаки «IM-флуд»
|
|
|
|
|
|
|
|
|
1 |
0 |
0 |
0 |
0 |
0 |
|
|
0 |
1 |
0 |
0 |
0 |
0 |
|
|
1 |
1 |
0 |
0 |
0 |
0 |
|
|
0 |
|
1 |
0 |
0 |
0 |
|
|
0 |
0 |
1 |
1 |
0 |
0 |
|
|
0 |
0 |
0 |
1 |
1 |
0 |
|
|
0 |
0 |
0 |
0 |
1 |
0 |
|
|
0 |
0 |
0 |
0 |
|
1 |
|
|
0 |
0 |
0 |
0 |
0 |
1 |
Отсюда вытекает следующая система интегрально-дифференциальных уравнений [7]:
(2.1)
где – плотность вероятности времени перемещения из позиции к переходу , – соответствующий закон распределения, – вероятность срабатывания перехода.
Применяя пуассоновское приближение, получим среднее время перемещения по сети из начальной позиции до конечного перехода и вероятность этого перемещения в следующем виде:
(2.3)
Рассмотрим пример, где исходные параметры атаки (2.3) принимают следующие значения: – интенсивность атаки (количество сообщений/с); m – количество сообщений, которое требуется отправить жертве; = 0,2 с – среднее время формирования команды; = 0,5 с – среднее время подготовки устройств с вредоносной программой IM-flooder; = 5,5 с – среднее время рассылки команды устройствам с вредоносной программой IM-flooder; = 1,2 с – среднее время обработки принятой команды; = 6,1 с – среднее время формирования сообщений; = 1,5 с – среднее время настройки вредоносной программы IM-flooder; = m/ с – среднее время переполнения обработчика сообщений атакуемого IM-клиента.
Отсюда зависимость вероятности реализации атаки от времени представлена на рис. 2.2, где .
P(t)
t
0
1
τ1
τ2
Рис. 2.2. Зависимость вероятности реализации атаки от времени
Таким образом, построена модель IM флуд-атаки. Используя эту модель, можно на основе статистических данных, найти вероятности успеха данной атаки, по заданным ее параметрам.