- •Введение
- •1. Флуд-атаки как угроза безопасности информации
- •1.1. Сущность флуд-атак
- •1.2. Атаки, направленные на приведение жертвы в недоступное состояние
- •1.3. Многофункциональные атаки
- •Механизмы защиты от флуд-атак
- •Методический подход к оценке вероятного ущерба и ожидаемой эффективности защиты при атаках, направленных на нарушение доступности информации и ресурсов
- •2. Риск-модели im-флуда
- •2.1. Специфика моделирования процесса атаки, использующей вредоносную программу im-Flooder
- •2.2. Измерение ущерба
- •2.3. Оценка рисков
- •2.4. Возможности регулирования рисков в условиях реализации флуд-атаки с использованием вредоносной программы im-flooder
- •3. Риск-модели сетевой атаки типа «dns-flood»
- •3.1. Моделирование процесса атаки типа «простой dns-flood»
- •3.2. Моделирование процесса атаки типа «рекурсивный dns-flood»
- •3.3. Определение функций ущерба
- •3.4. Аналитическая оценка риска
- •3.5. Управление рисками в условиях флуд-атаки типа «dns-flooder»
- •4. Риск-модели для атак посредством программы «sms-flooder»
- •4.1. Особенности моделирования процесса атаки, реализуемой посредством вредоносной программы sms-Flooder
- •4.2. Модели процесса атаки типа «sms-Flood»
- •4.3. Функция ущерба от sms-флуда
- •4.4. Аналитическая оценка риска
- •4.5. Возможности управления рисками в условиях флуд-атаки посредством вредоносной программы sms-Flooder
- •5. Риск-модели флуд-атак посредством вредоносной программы email-flooder
- •5.1. Моделирование процесса заражения хоста вредоносной программой Email-flooder
- •5.3. Моделирование флуд-атаки на почтовый сервер
- •5.3. Обоснование функции ущерба от почтового флуда
- •5.4. Аналитическая оценка рисков почтового флуда
- •5.5. Возможности регулирования рисков в условиях атаки типа «почтовый флуд»
- •Заключение
- •Библиографический список
- •Оглавление
- •3 94026 Воронеж, Московский просп., 14
2.2. Измерение ущерба
Можно выделить следующие этапы флуд-атаки с использованием вредоносной программы IM-Flooder:
1) атака началась, но успех не достигнут;
2) успех атаки достигнут, атака продолжается;
3) перезагрузка клиента, формирование спам-листа;
4) устранение атаки и ее последствий.
Рассмотрим, как изменяется ущерб в зависимости от этапа атаки.
Особенность данной атаки заключается в том, что пользователь может отправлять, принимать и просматривать сообщения, но ввиду проведения флуд-атаки на его адрес, эти действия будут затруднены. Постепенно, количество приходящих сообщений может достигнуть критической отметки, при которой IM-клиент не сможет выполнять своих функций, т.е. – произойдет отказ в обслуживании.
На адрес пользователя будут поступать полезные сообщения с интенсивностью и нежелательные сообщения с интенсивностью . Таким образом общая интенсивность поступающих сообщений будет равна .
Пусть успех атаки произойдет в момент времени , когда пользователь получит на свой адрес сообщений, что приведет к неработоспособности IM-клиента. Интенсивность накопления сообщений будет определяться выражением (2.4), так как пользователь производит обработку сообщений, поступающих с интенсивностью , с постоянной интенсивностью :
(2.4)
где – интенсивность атаки, интенсивность поступления полезных сообщений.
Число сообщений с учетом (2.4) можно выразить следующим образом:
. (2.5)
В отличие от других видов флуд-атак, которые основаны на огромном количестве запросов, бессмысленных или образованных в некорректном формате, к определенной информационно-телекоммуникационной системе или же сетевому оборудованию, ущерб по прекращению атаки не будет уменьшаться самостоятельно. Так как после окончания атаки и проведения мер по ее нейтрализации на IM-клиент поступит необработанных сообщений, то жертва будет вынуждена затратить ресурсы на ликвидацию последствий атаки [83].
Пусть интенсивность атаки всех источников в среднем равна ,а - момент времени, в который все сообщения получены и спам-лист сформирован. После блокировки источника количество сообщений уменьшается на , так как удаляются все сообщения данного источника, тогда обработка поступивших нежелательных сообщений будет происходить по следующему закону:
(2.6)
После перезагрузки клиента и блокировки источников атака прекратится, но сообщения доставленные жертве до формирования спам-листа отмечены в системе как непрочитанные и поступать заново с интенсивностью , что приведет к некоторым задержкам в работе IM-клиента. Эти сообщения будут поступать по следующему закону:
(2.7)
где – момент времени, в который все источники заблокированы и клиент перезагружен.
Время, потраченное на устранение последствий атаки, зависит от времени перезапуска IM-клиента и количества IM-аккаунтов, с которых идет атака, т.е. время устранения определяется формулой:
(2.8)
где, n – количество адресов, с которых идет атака; T0 – время на добавление одного атакующего в спам-лист; T – время на перезапуск клиента.
За время пользователь мог бы обработать количество сообщений, выражаемое следующим образом:
(2.9)
Максимальное значение ущерба будет определяться следующим выражением:
(2.10)
Так как величина ущерба зависит от интенсивности обработки сообщений, времени перезапуска клиента, и количества аккаунтов, с которых проводится атака , то величина ущерба изменяется по линейному закону. Для нахождения функции ущерба решим систему:
(2.11)
где и – параметры линейного закона, по которому изменяется ущерб.
В результате получаем функцию ущерба:
(2.12)
Рис. 2.3. График функции ущерба
Данная функция (рисунок 2.3) будет определена до момента времени , когда сформирован спам лист и клиент перезагружен. Количество сообщений, поступивших в различные моменты времени будет определяться следующими выражениями:
– в интервале
– в интервале
(2.13)
– в интервале
Сообщения будут поступать по закону (2.7), а обрабатываться по закону (2.6).
На основе (2.6), (2.7) и (2.13) запишем функцию ущерба (2.14)
или
или
(2.14)
В результате имеем функцию ущерба:
(2.15)
Данную функцию иллюстрирует график, представленный на рис. 2.4.
Рис. 2.4. Динамика функции ущерба, возникающего при IM флуд-атаке
Полученное выражение ущерба, можно пронормировать по его максимальному значению. Максимальное значение ущерб принимает в точке . Для этого найдем производную от выражения (2.14) и приравняем ее к 0:
( ,
Отсюда
(2.16)
Подставив (2.16) в (2.14), получим максимальный ущерб:
(2.17)
Отсюда нормированный ущерб примет вид:
(2.18)
Выражение (2.18) позволяет в произвольный момент времени оценить ущерб, возникающий в результате флуд-атаки на IM-клиента, в нормированном виде.