2.2. Измерение ущерба
Можно выделить следующие этапы флуд-атаки с использованием вредоносной программы IM-Flooder:
1) атака началась, но успех не достигнут;
2) успех атаки достигнут, атака продолжается;
3) перезагрузка клиента, формирование спам-листа;
4) устранение атаки и ее последствий.
Рассмотрим, как изменяется ущерб в зависимости от этапа атаки.
Особенность данной атаки заключается в том, что пользователь может отправлять, принимать и просматривать сообщения, но ввиду проведения флуд-атаки на его адрес, эти действия будут затруднены. Постепенно, количество приходящих сообщений может достигнуть критической отметки, при которой IM-клиент не сможет выполнять своих функций, т.е. – произойдет отказ в обслуживании.
На
адрес пользователя будут поступать
полезные сообщения с интенсивностью
и нежелательные сообщения с интенсивностью
.
Таким образом общая интенсивность
поступающих сообщений будет равна 
.
Пусть
успех атаки произойдет в момент времени
,
когда пользователь получит на свой
адрес 
сообщений, что приведет к неработоспособности
IM-клиента.
Интенсивность накопления сообщений
будет определяться выражением (2.4), так
как пользователь производит обработку
сообщений, поступающих с интенсивностью
,
с постоянной интенсивностью 
:
(2.4)
где
– интенсивность атаки, 
интенсивность поступления полезных
сообщений.
Число сообщений с учетом (2.4) можно выразить следующим образом:
.
(2.5)
В
отличие от других видов флуд-атак,
которые основаны на огромном количестве
запросов, бессмысленных или образованных
в некорректном формате, к определенной
информационно-телекоммуникационной
системе или же сетевому оборудованию,
ущерб по прекращению атаки не будет
уменьшаться самостоятельно. Так как
после окончания атаки и проведения мер
по ее нейтрализации на IM-клиент
поступит 
необработанных сообщений, то жертва
будет вынуждена затратить ресурсы на
ликвидацию последствий атаки [83].
Пусть
интенсивность атаки всех источников
в среднем равна 
,а
- момент времени, в который все сообщения
получены и спам-лист сформирован. После
блокировки источника количество
сообщений уменьшается на 
,
так как удаляются все сообщения данного
источника, тогда обработка поступивших
нежелательных сообщений будет происходить
по следующему закону:
(2.6)
После
перезагрузки клиента и блокировки
источников атака прекратится, но
сообщения доставленные жертве до
формирования спам-листа отмечены в
системе как непрочитанные и поступать
заново с интенсивностью 
,
что приведет к некоторым задержкам в
работе IM-клиента.
Эти сообщения будут поступать по
следующему закону:
(2.7)
где
– момент времени, в который все источники
заблокированы и клиент перезагружен.
Время, потраченное на устранение последствий атаки, зависит от времени перезапуска IM-клиента и количества IM-аккаунтов, с которых идет атака, т.е. время устранения определяется формулой:
(2.8)
где, n – количество адресов, с которых идет атака; T0 – время на добавление одного атакующего в спам-лист; T – время на перезапуск клиента.
За
время 
пользователь мог бы обработать количество
сообщений, выражаемое следующим образом:
(2.9)
Максимальное значение ущерба будет определяться следующим выражением:
(2.10)
Так
как величина ущерба зависит от
интенсивности обработки сообщений,
времени перезапуска клиента, и количества
аккаунтов, с которых проводится атака
,
то величина ущерба изменяется по
линейному закону. Для нахождения функции
ущерба решим систему:
(2.11)
где
и 
– параметры линейного закона, по которому
изменяется ущерб.
В результате получаем функцию ущерба:
(2.12)
Рис. 2.3. График функции ущерба
Данная функция (рисунок 2.3) будет определена до момента времени , когда сформирован спам лист и клиент перезагружен. Количество сообщений, поступивших в различные моменты времени будет определяться следующими выражениями:
– в
интервале 
– в
интервале 
(2.13)
– в
интервале 
Сообщения будут поступать по закону (2.7), а обрабатываться по закону (2.6).
На основе (2.6), (2.7) и (2.13) запишем функцию ущерба (2.14)
или
или
(2.14)
В результате имеем функцию ущерба:
(2.15)
Данную функцию иллюстрирует график, представленный на рис. 2.4.
Рис.
2.4. Динамика функции ущерба, возникающего
при IM
флуд-атаке
Полученное выражение ущерба, можно пронормировать по его максимальному значению. Максимальное значение ущерб принимает в точке . Для этого найдем производную от выражения (2.14) и приравняем ее к 0:
(
,
Отсюда
(2.16)
Подставив (2.16) в (2.14), получим максимальный ущерб:
(2.17)
Отсюда нормированный ущерб примет вид:
(2.18)
Выражение (2.18) позволяет в произвольный момент времени оценить ущерб, возникающий в результате флуд-атаки на IM-клиента, в нормированном виде.