автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Разработка и исследование риск-моделей SYNflood-A так на серверы компьютерных систем

На правах рукописи

и03457722 АНДРЕЕВ Дмитрий Александрович

РАЗРАБОТКА И ИССЛЕДОВАНИЕ РИСК-МОДЕЛЕЙ ЭУМооё-АТАК НА СЕРВЕРЫ КОМПЬЮТЕРНЫХ СИСТЕМ

Специальность: 05.13.19- Методы и системы защиты

информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

1 2 ДЕК 2008

Воронеж - 2008

003457722

Работа выполнена в ГОУВПО «Воронежский государственный технический университет»

Научный руководитель доктор технических наук,

профессор

Остапенко Александр Григорьевич

Официальные оппоненты: доктор технических наук,

профессор

Бугров Юрий Григорьевич;

Защита состоится «25» декабря 2008 г. в 1600 часов в конференц-зале на заседании диссертационного совета Д 212.037.08 ГОУВПО «Воронежский государственный технический университет» по адресу: 394026, г. Воронеж, Московский просп., 14.

С диссертацией можно ознакомиться в научной библиотеке ГОУВПО «Воронежский государственный технический университет».

Автореферат разослан «24» ноября 2008 г.

кандидат технических наук Пархоменко Андрей Петрович

Ведущая организация ОАО «Концерн «Созвездие»

(г. Воронеж)

Ученый секретарь диссертационного совета

Батищев Р.В.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. В современном мире все большее внимание уделяется разработке общих формальных моделей оцени! и управления информационными рисками различных классов систем. Эта задача актуальна и при построении вероятностных моделей атак на серверы, включая риск-анализ компьютерных систем и разработку алгоритмов управления их рисками.

Под атаками отказа в обслуживании (Denial of Service attack — DoS-attack) следует понимать сетевые атаки, приводящие к невозможности для легитимного пользователя сети получить доступ к ресурсам сервера.

Принципиальной особенностью DoS-атак является то, что такие атаки направлены на то, чтобы сделать сервер недоступным для нормальных пользователей. При атаке чаще всего используются обычные сетевые протоколы.

Особый класс DDoS-атак составляют так называемые распределенные атаки отказа в обслуживании (Distributed DoS — DDoS) — это тип атак DoS, при которых источниками атаки являются сразу несколько хостов. Обнаружение таких атак сильно затруднено, т. к. зачастую количество атакующих хостов очень велико и их состав постоянно меняется.

Задача предотвращения DoS-атак, исходя из вышесказанного, является достаточно сложной. Практически она решается только отбрасыванием части данных, идущих на сервер от пользователей, причем отбрасывание это должно происходить не на самом сервере, а до него. Такая схема имеет серьезные недостатки, поскольку необходима координация действий с провайдером из вышестоящей сети, что не всегда возможно. Кроме того, существует вероятность отбросить данные легитимного пользователя, не участвующего в атаке.

Риск-анализ в области обеспечения безопасности компьютерных систем выделяет качественные и количественные методы оценки рисков. Количественные методы оценки рисков в свою очередь можно разделить на статистические и аналитические. Статистические методы оценки рисков базируются на ряде фундаментальных понятий и предусматривают ряд процедур, зависящий от конкретной информационной системы, где проводится оценка риска и ее параметров. Аналитические методы оценки рисков зависят от вида информационных атак на систему, применительно к которой производятся оценочные операции.

В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача — объективно идентифицировать и оценить наиболее значимые информационные риски, а также адекватность используемых средств контроля рисков для увеличения эффективности системы. Поэтому под термином «управление информационными рисками» обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков в соответствии с определенными ограничениями.

Концепции анализа рисков, управления рисками на всех стадиях жизненного цикла информационной технологии были предложены многими крупными организациями, занимающимися проблемами информационной безопасности. Однако риски компьютерных систем в их аналитическом выражении до сих пор остаются «белым пятном» в теории информационной безопасности. Это касается, прежде всего, атак типа «отказ в обслуживании», в том числе наиболее распространенной их разновидности - 8УКАоо<3-атак. Отсюда вытекают объект, предмет, цель и задачи работы, ее актуальность.

Работа выполнена в соответствии с одним из основных научных направлений ГОУВПО «Воронежский государственный технический университет» «Перспективные радиоэлектронные и лазерные устройства, системы передачи, приема, обработки и защиты информации».

Объектом исследования является сервер, подвергающийся воздействию 8УЫАоос1-атак, направленных на отказ в обслуживании.

Предметом исследования является риск-анализ сервера, подвергающегося воздействию БУ^оосЬатак, направленных на отказ в обслуживании.

Цель н задачи исследования. Целью настоящей работы является построение и исследование риск-моделей БУ^ооё-атак на серверы компьютерных систем.

Для достижения указанной цели предполагается решить следующие задачи:

• разработать и исследовать вероятностную модель 8У>.Шоос1-атак на сервер, направленных на отказ в обслуживании;

• получить аналитические выражения для расчета рисков и защищенности сервера, подвергающегося воздействию 8УЫАоос1-атак, определить функции их чувствительности;

• разработать алгоритм управления рисками сервера, подвергающегося SYN Лоос1-атаке.

Степень обоснованности научных положений, выводов и рекомендаций, сформулированных в диссертации, обеспечивается:

• корректным использованием методов теории вероятностей и математической

статистики;

• сопоставлением результатов оценки рисков с известными аналогами;

• практической проверкой алгоритмов через компьютерное моделирование и в

процессе внедрения.

Методы исследования. Для решения поставленных задач в работе используются методы теории вероятностей и математической статистики, теории автоматического управления, а также теории чувствительности.

Научная новизна результатов исследования. В работе получены следующие основные результаты, характеризующиеся научной новизной:

• введена оригинальная характеристика ущерба при 8УМ1оос!-атаке, доказано, что эта характеристика подчиняется закону Пуассона;

• на основе выведенной характеристики впервые получены аналитические выражения для расчета рисков при единичной и распределенных 8УЫЛоос1-атаках, а также - аналитические выражения для функций чувствительности риск-модели к изменению параметров атаки в отличие от аналогов позволяющие в данной проектной ситуации перейти от качественных к количественным оценкам риска;

• впервые предложены алгоритмы управления рисками для компьютерных систем, подвергающихся 8УМАоос1-атакам.

На защиту выносятся следующие основные положения диссертационной работы:

• математическая модель процессов БУЫАоод-атак на серверы компьютерных систем, основанная на распределении Пуассона и предложенной характеристики ущерба;

• аналитические выражения для расчета рисков и защищенности атакуемых компьютерных систем на основе вероятностного распределения Пуассона;

• аналитические выражения функций чувствительности риска к изменению параметров атак заданного типа;

• алгоритмы управления рисками компьютерных систем, подвергающихся БУЫ-Аоо(1-атакам.

Практическая значимость работы заключается в том, что разработанные модели и алгоритмы могут быть применены непосредственно при оценке рисков атак на серверы компьютерных систем их администраторами безопасности и аудиторскими компаниями при комплексной оценке эффективности защиты от информационных атак.

Реализация результатов работы. Работа выполнена в соответствии с одним из основных научных направлений ГОУВПО «Воронежский государственный технический университет» «Перспективные радиоэлектронные и лазерные устройства, системы передачи, приема, обработки и защиты информации». Ее результаты использованы в Межрегиональном центре «Инфозащита», а также внедрены в учебном процессе ГОУВПО «Воронежский государственный технический университет».

Апробация работы. Основные результаты диссертационной работы докладывались и обсуждались на следующих конференциях:

Региональной научно-практической конференции «Информационные аспекты безопасности систем» (Воронеж, 2007);

VI Всероссийской научно-практической конференции с международным участием «Современные информационные технологии в науке, образовании и практике». Секция «Вычислительные машины, комплексы и компьютерные сети» (Оренбург, 2007);

Межрегиональной научпо-практической конференции «Информационные риски и безопасность» (Воронеж, 2007);

Региональной научно-практической конференции «Методы, системы и процессы обеспечения безопасности» (Воронеж, 2008);

Межрегиональной научно-практической конференции «Проблемы обеспечения безопасности систем» (Воронеж, 2008).

Публикации. По теме диссертации опубликовано 16 научных работ, в т.ч. 3 - в изданиях, рекомендованных ВАК РФ. В работах, опубликованных в соавторстве и приведенных в конце автореферата, лично соискателю принадлежат: [2] - предложена концепция риск-анализа атак рассматриваемого класса; [4] -предложен алгоритм управления защищенностью автоматизированной системы; [5] - предложено распределение Пуассона в качестве модели риск-анализа; [6] -выдвинута гипотеза о распределении рисков сетевых атак; [7] - предложена оценка отказа в обслуживании сервера сети; [8] - предложена методика риск-оценки ущерба атакуемых автоматизированных систем; [9] - адаптировано Пуа-соновское распределение к задачам информационной безопасности; [11] - методически обоснован выбор закона распределения для риск-моделирования; [12] -получены выражения функции дифференциальной чувствительности для риск-модели пуассоновского типа; [13] - предложена оценка защищенности для Р1оос1-атак; [16] - определена предметная область описания кибер-атак с помощью закона Пуассона.

Структура и объем работы. Диссертация состоит из введения, четырех глав, заключения и списка литературы, включающего 116 наименований. Основная часть работы изложена на 117 страницах и содержит 33 рисунка и 2 таблицы.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность темы диссертации, сформулированы цель и задачи исследования, представлены основные научные результаты, выносимые на защиту, и описана их новизна.

В первой главе рассмотрены угрозы безопасности информации в компьютерных системах, предложена классификация РоБ-атак; на основе анализа статистических данных рассмотрена статистическая характеристика для построения риск-модели, определено ее вероятностное распределение.

Эффективная защита компьютерной сети от атак в общем случае требует построения модели угроз, которая должна систематизировать информацию обо всех возможных атаках. Именно с ее помощью оценивается опасность деструктивных воздействий на информацию, а также разрабатываются мероприятия по противодействию угрозам применительно к конкретным атакам.

Признаком классификации ОоБ-атак может стать элемент системы, являющийся целыо атаки: центральные процессоры; оперативная память (в ос-

новном, из-за утечек памяти в приложениях); запоминающие устройства (в основном, из-за низкой производительности жестких дисков; данный тип атак встречается очень редко, хотя и возможен); сетевое оборудование сервера; сетевое оборудование и системы безопасности, обеспечивающие работу сервера в сети (маршрутизаторы, коммутаторы и т. п.); операционная система и прикладные программы.

Чаще всего встречаются атаки на сетевое оборудование сервера, обусловленные асимметрией развития современных технологий.

Наиболее сложными с точки зрения обнаружения и анализа являются атаки типа flood. Это атака, при которой компьютерной системе или сетевому оборудованию посылается очень большое число запросов (обычно бессмысленных или некорректно сформированных), приводящих к ее недоступности. Сложность обнаружения связана с тем, что атакующий чаще всего создает нормальные запросы к системе, но из-за ограниченности ресурсов система не успевает обрабатывать их вместе с запросами нормальных пользователей.

При DoS и DDoS-атаках одним из важнейших факторов, позволяющих обнаружить как сам факт атаки, так и состав атакующих, являются так называемые аномалии сетевого трафика.

В данной работе рассматривается соотношение количества запросов на соединение и количества реально прошедших соединений за интервал времени.

Анализ статистических данных позволяет выдвинуть гипотезу о том, что рассматриваемый вид атак на серверы подчиняется закону распределения Пуассона.

В ходе доказательства выдвинутой гипотезы в работе получено аналитическое выражение для величины Х„, характеризующей активность сетевого обмена между сервером и клиентами

где А„ - количество S YN-пакетов, не обработанных за n-й период;

NS„ - количество SYN-пакетов, пришедших на сервер за n-й период;

NF„, NR„ - количество FYN и RST пакетов, отправленных за соответствующий период;

Fu (п)~ рекурсивная функция = « F(n-\) + {\-a)(NFn + M?„).

а - значение, определяющее количество предыдущих периодов длительностью '" , влияющих на значение функции в текущем периоде 0<а<.1.

Критерий Пирсона позволяет доказать, что данная величина распределена по закону Пуассона со следующими характеристиками распределения:

п к\ Начальные моменты:

-Л Я 1* „-^

" м (.к-1)\ п

■^■ч Я «г-ч л.

Е

а,=М(Х)

е-К 4- Л1 к1

е~1 Д Л**4

Центральные моменты:

2 п2 А

-_ _

'3~„2Л к> к!

т=0; = —

п

А А

(Ат-1)!

* п1 и к\ I п %(к-1)>){п2 ^ «

-Л

л1

Я1 к

+ 2

п ^

,-д „ о!¿'"У„--1 ? ДЛ* (в

/7 »и я! 1/7 (=1 я! А п <-1 (к -1)! / V я

М. = /

Л!

V

и

где п - количество промежутков времени;

X - параметр распределения Пуассона.

Во второй главе разработаны риск-модели систем, подвергающихся ОоБ-атаке и ООоБ-атаке; на основе анализа построенных моделей получены выражения распределения вероятности ущерба, риска и защищенности систем.

Процессы обеспечения безопасности информации в значительной степени определяют многие факторы. Отсюда их модели могут быть стохастическими. Это сужает границы классификации и анализа, так как достаточно иметь в виду только четыре разновидности моделей: аналитические; имитационные; общие и частные.

В аналитических моделях структура моделируемых систем и процессы их функционирования представляются в виде формализовано записанной последовательности, то есть неявно. Характеристикам, полученным в результате аналитического моделирования, необходимо реальное подтверждение. Подтверждаются данные характеристики на практике, то есть статистика получается при функционировании реальных компьютерных систем.

В данной работе рассматриваются риск-модели систем, подвергающихся воздействию атак «отказ в обслуживании».

Основной целью риск-анализа является нахождение выражения риска для заданной системы. Причем система в каждый момент времени находится в состоянии вероятностной неопределенности: невозможно точно предсказать сле-

дующее событие, но можно вычислить вероятность каждого из возможных событий.

В простейших случаях множество будущих событий можно считать конечным и риск представляется вероятностным распределением на конечном пространстве элементарных событий. Элементарным событием (исходом) в данном контексте будем считать факт достижения ущербом системы определенного значения за некоторый интервал времени или после реализации некоторой угрозы.

Для ОоБ-атаки оценкой ущерба может являться соотношение количеств успешных и неуспешных запросов к серверу.

Определим риск как сочетание ущерба от атаки и вероятности этого ущерба. Тогда риск в п-й промежуток времени можно представить следующим образом:

ЯиА-(М) = •

Х„! (Х„ -1)! Абсолютная защищенность будет равна:

л Vя

(Х„ -1)!

а относительная защищенность:

-1.

В результате проведенного анализа получены следующие характеристики распределения риска:

* !/ А1"1

М(Н.1$к) = е'и ■ У ^—г; О(ЯиА) = е"

у

К? (IV)'

а/,!)3

<7{Яик) =

> -^-;—е

уМ^:

Получены также выражения для начальных и центральных моментов случайной величины.

Коэффициенты асимметрии и эксцесса рассчитываются соответственно:

л. =

¿1, _ а, - За,а, +2а'

а., -4аг,а, ч-ба,«3 - За/

Энтропия риска определена следующим образом

Я (Ли*) = ^

Л1е '

Далее рассмотрена компьютерная система, подвергающаяся распределенной DoS-атаке (DDoS) в течение z интервалов времени длительностью l<n<z. Пусть в течение интервала времени z' <z система перестала отвечать на запросы легитимных пользователей, т. е. фактически вышла из строя.

Из анализа построенной графовой модели атаки показано, что DDoS-атака может быть разделена на (s-1) обычных DoS-атак типа flood. Соответственно, в течение интервала времени z' успешной может считаться только одна DoS-атака (та, при которой сервер перестал быть доступен). Следовательно, атаки становятся зависимыми несовместными событиями.

Риск, абсолютная и относительная защищенность в этом случае определены как:

Risk(n,X,s) = U„

СЛ.'

I-U.

(s-l^V

(s- ))Яи-е-

л "е

и J

,(.'„ -Л V Я е |

1L

J J

2Х

(s- 1)Л%-Л (\v-e> UJ [ U У

По аналогии математическое ожидание и дисперсия риска выражены следующим образом:

M(Rtsk) = Yu„

(j-iU'V"

U„\

Я е U J

(л-ПЯ^е"" (Л"-е

U J

U J

у /

- IX

У

(s - \)Л е~

U„

Х-е-' U J

Рассмотренные понятия и найденные характеристики являются необходимой математической базой для оценки рисков и защищенности в компьютерных системах.

В третьей главе на основании анализа полученных риск-моделей при различных параметрах Г)о5-агак найдены аналитические выражения коэффициентов чувствительности и функций чувствительности. Приведены примеры расчета функций чувствительности для заданных параметров.

Анализ чувствительности связан с изучением влияния изменения модели (в данном случае риска) на изменение какого-либо параметра.

Полученная в данной работе модель позволяет найти для сервера, подвергающегося БУМАооё-атаке, чувствительность риска Ш.чк(п,?.,.<;) к воздействию таких величин, как X (интенсивность атаки) и .V (количество атакующих).

Коэффициент чувствительности показывает, насколько изменится величина риска Risk(nXs) при изменении одного из параметров х, данной величины, то есть фактически является «скоростью» изменения величины риска Risk(n,X,s), в точке х при Ах,—*0 относительно параметра х,. Расчет коэффициентов чувствительности по всем параметрам х, позволяет определить именно тот параметр х„„ к изменению которого наиболее чувствительна величина риска (коэффициент чувствительности для параметра хт будет максимальным). Нахождение параметра хт повышает эффективность процесса минимизации величины риска, так как по найденному параметру хт риск минимизируется в первую очередь, что обеспечивает значительное снижение его величины уже на первом шаге алгоритма оптимизации.

Чувствительность риска Risk(nXs) по параметру Я для единичной DoS-атаки определена в следующем виде:

где Un - значение ущерба.

Из коэффициентов относительной чувствительности можно построить функцию чувствительности величины Risk. Функция чувствительности позволяет определить «интервалы монотонности» коэффициентов чувствительности и произвести минимизацию величины риска не только для отдельного значения ущерба, но и для всего диапазона ущербов в целом.

Относительная чувствительность риска Risk(n,l) для единичной DoS-атаки аналитически выражена так:

... _ /Г-'1 • е"1 ■ (1/„ - й) ft/.. - г)!

~ (У, - I)! е--

Отсюда матрица чувствительности для риска при одиночной DoS-атаке имеет вид:

Аналогично определены коэффициенты чувствительности и функцию чувствительности для DDoS-атаки. Коэффициенты чувствительности и матрица чувствительности для сервера во время работы при DDoS-атаке аналитически выглядят следующим образом:

.«¡л

; - 1} • (и,!)*-' - (л"* ■ е--Г" )

{ У,!)»"- (и, ■ !п(Л) - ХпСО'«?^ - л) (/'* ■ е-'-)'' (У к •')'**" • й ~ г) • - Д) - (Лс* •

5 ((5- 1) - (V,!)<-> - (,»/"< • е-*)''*)

ФгХ/-Чи,, • 1п(Д> - 1п(У„'1 - Л) '¡ Дг" • е~'-)~ Аналогично для промежутка времени, когда сервер выходит из строя:

^ „ Ч. - (»- Р • • *-Мг/„ - л) • (у„> - я*. •

* - 1} ■ (ип - А) ■ л-'*-1

! - • е-"

- -«"'(Г/.!-/

(У,.!)*

- * • (ь(и„>. - я4'*. - Н1/к1)\

{1п(У„! - ■ - \niUJ}}

С.'.,! ■

.5 ■ (|п(У.,! - л1'" ■ — !п((/,_!)) 5. Построенные на основе полученных выражений графики позволяют получить динамические риск-модели при изменении параметров БоБ-атак. В течение ООоБ-атаки уравнение движения риска будет иметь вид:

-Д'ь.г"

V,! -

• ■ лг + (ьии - л"'- ■ с-'-) - ■ д*

Для интервала времени, в который сервер выходит из строя, уравнение движения:

л) :

(и ¿у

•• • дд

Полученные уравнения движения риска и его параметров позволяют отследить всю полноту движения показателей качества системы, определить скорость и другие динамические величины при изменении параметров исследуемого распределения (атаки).

В четвертой главе проводится обоснование критериев качества управления рисками; выполняется постановка задачи оптимального управления рисками; определяются оптимальные стратегии управления; на основе введенных ограничений на процесс управления разрабатывается алгоритм управления риском, основанный на оптимальных стратегиях.

Смысл понятия "качество управления риском" интуитивно ясен и в целом отражает уровень совершенства процессов управления. Вместе с тем примеми-

телыю к управленческим задачам категория "качество" нуждается в анализе не только для раскрытия сущности этой категории, но и в целях четкой структуризации и формировании конкретных путей повышения качества управления.

Эффективность управления оценивается на основе критериев, показателей качества. Критерий качества представляет показатель, характеризующий качественные свойства управленческой деятельности и позволяющий сформировать суждение о ее качестве.

Существуют три группы критериев, позволяющих судить о качестве управления риском. 1) Целевые критерии. Это критерии актуальности, значимости, весомости конечных результатов работы, реальности, надежности получения ожидаемых результатов. 2) Критерии качества методов и организации управленческих работ. Сложность применения целевых критериев, характеризующих результативность управления, обусловлена неочевидностью получения желаемых итогов в процессе выработки управленческих решений и осуществления управления. По содержанию данные критерии делятся на три группы: критерии, характеризующие методическое совершенство работ; критерии, характеризующие технологическое совершенство; критерии, характеризующие организационное совершенство. 3) Критерии качества ресурсного обеспечения работ. Показатели, характеризующие ресурсное обеспечение, представляют косвенные оценки качества управленческих работ, однако они играют немаловажную роль в выработке суждений о качественном уровне этих работ.

С учетом вышеизложенного, в качестве критериев качества управления рисками можно использовать следующие показатели:

- эффективность управления риском:

А-р ;-

Зхтрггы на управление

где - - риск до применения алгоритма управления,

А\'£пПу_ рИСК после применения алгоритма управления;

- экономическая эффективность управления риском:

,, , . Прибыль атупрж.-иняя риском

Эффективность = ■ ■ ■ —-—-!——

Затраты яд управление ■

- уровень риска.

Полученные критерии качества позволяют учесть как результат управления - уровень риска, так и выбрать наиболее эффективный с точки зрения расходования материальных ресурсов способ управления.

Применение математического аппарата теории оптимального управления к рискам, описанным с помощью уравнений чувствительности, позволяет вскрыть математическую сущность процесса управления рисками.

Компьютерная система в общем виде - это конечномерная непрерывная система, зависящая от параметра. Наиболее общее математическое описание данного класса систем дают системы обыкновенных дифференциальных уравнений, в которых независимой переменной является время /. Состояние системы в каждый момент времени определяется несколькими величинами х/л,...,

Имеется два вида ограничений на выбор способа управления. Ограничением первого вида являются законы природы, в соответствии с которыми происходит движение управляемой системы. Второй вид ограничений вызван ограниченностью ресурсов, используемых при управлении, или иных величин, которые в силу физических особенностей той или иной системы не могут или не должны превосходить некоторых пределов.

В качестве ограничения первого рода выступает уравнение движения риска. В качестве ограничений второго рода выступают критерии качества управления риском: Risk -* тйь экономическая эффективность & — Q; интенсивность атаки Хе[0,4].

С помощью одношаговой задачи принятия решения проведена оптимизация риска по параметру X — интенсивность атаки для модели единичной DoS-атаки, разработанной ранее. Целевая функция для данной задачи имеет вид:

Из построенной модели ЭОо5-атаки следует, что целевая функция системы будет зависеть от следующих параметров:

Х- интенсивность каждой из БоБ-атак в рамках ЭОо8; ^-количество атакующих.

Для этого случая будут существовать 2 целевые функции: — в течение БоБ-атаки до выхода системы из строя:

Для выбора наиболее подходящей стратегии управления необходимо определить существует ли зависимость между угрозами. Соответственно необходимо отнести исследуемое множество к одному из двух классов: множества независимых угроз; множество зависимых угроз. На практике чаще используются стратегии, считающие угрозы безопасности условно независимыми. Рассмотрим основные стратегии для множества независимых угроз: учет и ограничение рисков; устранение рисков (уклонение от рисков); устранение уязвимо-стей; игнорирование рисков; страхование рисков.

В качестве алгоритма минимизации риска предложено использовать численный алгоритм Нелдера-Мида, также известный как симплекс-алгоритм. Суть алгоритма состоит в последовательном перемещении и деформировании, симплекса вокруг точки экстремума. На вход алгоритма подается функция /О1",...,*1"'), для которой необходимо найти минимум; коэффициент отражения а>0; коэффициент сжатия /?>0; коэффициент растяжения у>0; точность е>0.

— в промежуток времени, когда система выходит из строя:

На подготовительном этапе выбирается п+1 точка х,=( х/'\ ....х,00). Эти точки должны образовывать симплекс в n-мерном пространстве. Далее алгоритм повторяется до достижения нужной точности е.

В качестве примера можно привести следующий график (рисунок), иллюстрирующий управление риском при решении задачи его минимизации.

На рисунке кривой №1 обозначен график зависимости риска от ущерба при DDoS-атаке (в промежуток времени, когда система выходит из строя) с параметрами Х=4 и s~21. Кривой №2 обозначен график после минимизации (предложенные алгоритмом параметры 1=2,4, s-16).

и

Пример минимизации риска с помощью алгоритма Нелдера-Мида

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

1. Разработана и исследована математическая модель процесса БУ^оос^атаки, направленной на отказ в обслуживании компьютерной системы. Данное исследование проводилось с учетом того, что компьютерная система представляет собой сложный объект, поэтому процесс атаки рассматривался с использованием распределения вероятностей Пуассона, что позволило учесть большинство особенностей такой системы, в частности:

- предметная область исследования определена как 8УКАоос1-атаки на сервер,

направленные на отказ в обслуживании;

- рассмотрена статистика сетевых пакетов при работе сервера в нормальных ус-

ловиях и во время БУЫАоосЬатаки;

- предложена характеристика активности сетевого обмена атакуемого сервера и

доказано, что она распределена по Пуассону.

2. Получены аналитические выражения для расчета рисков и защищенности компьютерных систем, находящихся под воздействием 8УЪШоос1-атаки, направленной на отказ в обслуживании. Для этого было проведено исследование вероятностной природы информационных рисков для одиночных и распределенных атак, направленных на отказ в обслуживании, на основе данного исследования были найдены аналитические выражения для расчета рисков, как произведение величины ущерба на вероятность возникновения данного ущерба.

3. Найдены аналитические выражения функций чувствительности риска к изменению параметров безопасности компьютерных систем, подвергающихся БУЫАооё-атакам, направленным на отказ в обслуживании. В результате найдены аналитические выражения функций чувствительности риска к изменению параметров безопасности является ключевым моментом в процессе построения риск-модели и последующим нахождением формулы движения риска. С помощью полученной формулы движения риска можно проанализировать влияние параметров вероятностного распределения на функцию риска, а также возможно произвести минимизацию величины риска не только для отдельного значения ущерба, но и для всего диапазона ущербов в целом.

4. На основе аналитических выражений функций чувствительности величины риска разработаны алгоритмы управления рисками в компьютерных системах, подвергающихся 8УЫ11оо(1-атакам, направленным на отказ в обслуживании. Проведено соответствующее математическое моделирование данной проектной ситуации, исходя из того, что:

- в качестве критериев качества управления рисками предлагается использовать: экономическую эффективность управления риском и уровень риска;

- в качестве ограничения первого рода на процесс управления предложено уравнение движения риска;

- в качестве ограничений второго рода на процесс управления рассматриваются критерии качества управления риском;

- предложен алгоритм минимизации риска, с помощью которого проиллюстрирован метод расчета желаемых параметров атаки для сдвига максимума риска в сторону малых значений ущерба.

Основные результаты диссертации опубликованы в следующих работах:

Публикации в изданиях, рекомендованных ВАК РФ

1. Андреев Д.А. Атакуемые компьютерные системы и распределение Пуассонна // Информация и безопасность: регион, науч.-техн. журнал. Воронеж. 2008. Т. 11. 4.2. С. 318.

2. Андреев Д.А., Пичугин A.K. Концепция управления рисками информационных атак на основе распределения Пуассона// Информация и безопасность: регион, науч.-техн. журнал. Воронеж. 2008. Т. 11. Ч.З. С. 407-412.

3. Андреев Д.А. Относительная чувствительность к изменению параметров риск-модели// Информация и безопасность: регион, науч.-техн. журнал. Воронеж. 2008. Т. 11.4.1. С. 148-149.

Статьи и материалы конференций

4. Андрев Д.А., Филиппов Ю.Е. Автоматизированные системы при значительном количестве атак и малых значениях вероятности успеха атаки: статистический риск-анализ и управление защищенностью // Информация и безопасность: регион, науч.-техн. журнал. Воронеж. 2007. Вып.2. С. 343.

5. Анализ рисков применительно к автоматизированным системам с заданным количеством пораженных объектов/ Д.А. Андреев, A.B. Чулюков, Р.В. Батищев, A.C. Афанасьева // Информация и безопасность: регион, науч.-техн. журнал. Воронеж. 2007. Вып.2. С. 347.

6. Андреев Д.А., Батищев A.B., Радько Н.М. Сетевые атаки автоматизированных систем: статистический риск-анализ и управление защищенностью // Информация и безопасность: регион, науч.-техн. журнал. Воронеж. 2007. Вып.2. С. 358.

7. Андреев Д.А., Фурсов Д.М., Радько Н.М. Оценка отказоустойчивости узлов автоматизированных систем и доступности информации: статистический риск-анализ и управление защищенностью// Информация и безопасность: регион. науч.-техн. журнал. Воронеж. 2007. Вып.2. С. 359.

8. Андреев Д.А., Паршин А.Ю. Автоматизированные системы при непреднамеренных внешних воздействиях: статистический риск-анализ и управление защищенностью// Информация и безопасность: регион, науч.-техн. журнал. Воронеж. 2007. Вып.2. С. 360.

9. Андреев Д.А., Остапенко А.Г. Пуассоновское распределение в задачах обеспечения безопасности автоматизированных систем// Информация и безопасность: регион, науч.-техн. журнал. Воронеж. 2007. Вып.2. С. 367.

10. Андреев Д.А., Остапенко А.Г., Филиппов Ю.Е. К вопросу о принятии решения при управлении рисками// Информация и безопасность: регион, науч.-техн. журнал. Воронеж. 2007. Т. 10.4.3. С. 469.

11. Андреев Д.А., Щербаков В.Б., Филиппов Ю.Е. Выбор вероятностного закона распределения информационных атак на автоматизированные системы при построении вероятностной модели в заданных условиях// Информация и безопасность: регион, науч.-техн. журнал. Воронеж. 2007. Т. 10.Ч.З. С. 481.

12. Андреев Д.А., Филиппов Ю.Е. Дифференциальная чувствительность параметров риск-модели// Информация и безопасность: регион, науч.-техн. журнал. Воронеж. 2007. Т. 10.4.3. С. 491-495.

13. Андреев Д.А., Щербаков В.Б., Филиппов Ю.Е. Измерение рисков при значительном количестве атак и малых значениях вероятности успеха// Информация и безопасность: регион, науч.-техн. журнал. Воронеж. 2007. Т. 10.4.3. С. 499-503.

14. Андреев Д.А. Риски информационных систем при массовых киберата-ках// Информация и безопасность: регион, науч.-техн. журнал. Воронеж. 2007. Т. 10.4.4. С. 618.

15. Андреев Д.А. Специфика управления рисками информационных систем при обилии малоуспешных кибер-атак//Современные информационные технологии в науке, образовании и практике: материалы VI Всерос. науч,-практ. конф. с междунар. участием. Секция «Вычислительные машины, комплексы и компьютерные сети». Оренбург, 2007. С. 197-199.

16. Андреев Д.А., Фролов С.Ю. Предметная область описания информационных конфликтов компьютерных систем с помощью распределения Пуассонам/Информационные риски и безопасность: сб. науч. тр. Межрегион, науч,-практ. конф. Воронежского отделения Российской инженерной академии. Воронеж, 2007. С.47-51.

Подписано в печать 21.11.2008. Формат 60x84/16. Бумага для множительных аппаратов. Усл. печ. л. 1,0. Тираж 85 экз. Заказ № £СЗ~

ГОУВПО «Воронежский государственный технический университет» 394026 Воронеж, Московский просп., 14

Введение.

1. Исследование процессов атак на сервер типа «отказ в обслуживании».

1.1. Угрозы безопасности информации в компьютерных системах и классификация DOS-атак.

1.2. Статистическая гипотеза для описания процесса

SYNflood-атаки на серверы компьютерных систем.

1.3. Выводы по первой главе и постановка задач дальнейших исследований.

2. Построение вероятностной риск-модели SYNflood-атаки на серверы компьютерных систем.

2.1. Методология построения риск-моделей.

2.1.1. Обобщенная модель оценки риска.

2.1.2. Вероятностная природа риска.

2.1.3. Формальное определение меры риска.

2.1.4. Основные меры риска, используемые в анализе информационных систем.

2.1.5. Объективные и субъективные составляющие риска систем.

2.1.6. Динамические характеристики риска систем.

2.2. На основе распределения Пуассона построение моделей для риск-анализа компьютерных систем, подвергающихся SYNflood-атакам.

2.3. Построение моделей комьпютерных систем, подвергающихся SYNflood-атакам.!.

2.4. Выводы по второй главе.

3. Исследование риск-модели при изменении параметров

SYNflood-атаки.

3.1. Построение матрицы чувствительности риск-модели для компьютерной системы, подвергающейся SYNflood-атаке.

3.2. Разработка динамических риск-моделей при изменении параметров SYNflood-атак.

3.3. Моделирование движения риска при изменении параметров DoS-атаки.

3.4. Выводы по третьей главе.

4. Управление рисками в компьютерных системах, подвергающихся SYNflood-атакам.;.

4.1. Обоснование критериев качества управления рисками.

4.2. Введение ограничений на процесс управления и постановка задачи оптимального управления рисками.

4.3. Разработка алгоритмов управления риском.

4.4. Выводы по четвертой главе.

Актуальность. В современном мире все большее внимание уделяется разработке общих формальных моделей оценки и управления информационными рисками различных классов систем. Эта задача актуальна и при построении вероятностных моделей атак на серверы включая риск-анализ компьютерных систем и разработку алгоритмов управления их рисками.

Понятие сервер употребляется, обычно, в двух значениях, тесно связанных между собой [7, 35-39, 75]:

-сервер как набор программного обеспечения, предназначенный для предоставления пользователям сети определенных услуг (от англ. serve -служить);

-сервер как выделенный компьютер, предоставляющий свои ресурсы для использования по сети.

В обоих случаях сервер создается для предоставления некоторых услуг пользователям сети (во втором случае услугой является доступ к ресурсам сервера). Оба определения тесно связаны между собой т. к. на сервере (во втором значении) для предоставления им доступа к ресурсам должен быть запущен, как минимум, один сервер (в первом значении).

Исходя из данного определения, под атаками отказа в обслуживании (Denial of Service attack — DoS-attack) следует понимать сетевые атаки, приводящие к невозможности для легитимного пользователя сети получить доступ к ресурсам сервера (эффект отказа в обслуживании — DoS) [7, 14, 59].

Наиболее известны следующие разновидности DoS-атак [59, 67]: -TCP SYNflood, TCP FIN Flood; -Ping of Death;

-Tribe Flood Network (TFN) и Tribe Flood Network 2000 (TFN2K);

-Trinco;

-Stacheldracht;

-Trinity.

Стоит заметить, что в среде профессиональных взломщиков многие из DoS-атак считаются занятием «для начинающих» т. к. большинство таких атак не предполагают наличия у атакующего высокого уровня знаний и большого опыта. Тем не менее, такие атаки способны принести достаточно большой ущерб.

Принципиальной особенностью DoS-атак является то, что такие атаки не направлены на получение несанкционированного доступа к данным сервера, его программам или настройкам. Единственная цель DoS-атаки - сделать сервер недоступным для нормальных пользователей. В отличие от большинства видов атак, атаки DoS используют не только ошибки ПО сервера и пользователей. Часто используются программные ограничения операционной^ системы сервера и его ПО, а также аппаратные ограничения, накладываемые самим оборудованием, и потому очень трудно преодолеваемые (практически, аппаратные ограничения можно преодолеть только заменой оборудования сервера, что не только дорого, но и мало осмысленно, т. к. новое оборудование тоже ограничено в возможностях). При атаке, чаще всего, используются обычные сетевые протоколы [59, 67].

Кроме того, стоит отметить, что так называемые распределенные атаки отказа в обслуживании (Distributed DoS — DDoS) — это тип атак DoS, при которых источниками атаки являются сразу несколько хостов. Зачастую для, таких атак используются компьютеры, зараженные специально написанным вирусом (или группой вирусов). Обнаружение таких атак сильно затруднено т. к. зачастую количество атакующих хостов очень велико (несколько сотен) и их состав постоянно меняется [59, 67].

Задача предотвращения DoS-атак, исходя из выше сказанного, является достаточно сложной. Практически, она решается только отбрасыванием части данных, идущих на сервер от пользователей, причем отбрасывание это должно происходить не на самом сервере, а до него. Такая схема имеет серьезные недостатки:

-необходима координация действий с провайдером из вышестоящей сети, что не всегда возможно;

-существует вероятность отбросить данные легитимного пользователя, не-участвующего в атаке.

Вторая проблема также достаточно существенна, т. к. атакующий пользуется такими же протоколами обмена, какими и нормальные пользователи. Поэтому достаточно 'высока вероятность отказать в обслуживании не только атакующему, но и вполне легитимному пользователю, создающему своими действиями достаточно высокую, но отнюдь не критическую, нагрузку на сервер.

В процессе риск-анализа в области обеспечения безопасности компьютерных систем прослеживаются два этапа:

-Оценка рисков — определяется возможность понести убытки из-за нарушения режима информационной безопасности организации, детализируются характеристики (или . составляющие) рисков для информационных ресурсов и технологий [100].

Различают качественные и количественные методы оценки рисков. Качественная оценка вероятности наступления отдельных рисков и ущербов позволяет выделить наиболее вероятные по возникновению и весомые по величине потерь риски, которые будут являться объектами дальнейшего анализа для принятия мер по их пресечению [11].

В работах [19, 20] подразделяются количественные методы оценки рисков в самом общем виде на статистические и аналитические. Статистические методы оценки рисков базируются на ряде фундаментальных понятий, прежде всего таким понятием служит вероятность, и предусматривают ряд процедур, зависящий от конкретной информационной системы, где проводится оценка риска и ее параметров.

Аналитические методы оценки рисков зависят от вида информационных атак на систему, применительно к которой производятся оценочные операции. В работе [95] выделяются следующие аналитические методы анализа риска: анализ чувствительности, проверка устойчивости и определение предельных значений параметров проекта, определение точки безубыточности, корректировка параметров проекта, построение дерева решений, формализованное описание неопределенности. Вышеперечисленные методы" оценки рисков позаимствованы из теории оценки экономических рисков и, конечно же, не все применимы к оценке рисков в области обеспечения безопасности автоматизированных систем.

В данной работе предлагается проводить риск-анализ поражения объектов автоматизированной системы с помощью определения чувствительности. Анализ чувствительности позволит дать более точную оценку того, насколько сильно изменится величина риска при определенном изменении одного из исходных параметров.

Таким образом, результаты оценки рисков позволят провести выбор средств защиты и оценить эффективности используемых средств защиты. -Управление рисками. Понятие "управление рисками" сравнительно недавно появилось в современной литературе и еще не сложилось однозначного четкого определения этому процессу. Например, в работах [19, 20] определяется управление рисками как "совокупность системно организованных процедур по достижению величины риска в определенных пределах". В работе [80] под управлением рисками понимается процесс идентификации и уменьшения рисков, которые могут воздействовать на информационную систему. В общем случае механизмы управления рисками реализуются не только за счет уменьшения рисков, но и за счет их перераспределения, поэтому определение управления рисками В. Буянова считается более полным.

Для практической реализации управления рисками разработан ряд стратегий управления рисками, применяемых в зависимости от сложившейся ситуации. Эти стратегии следующие - учет и ограничение рисков, устранение рисков, устранение уязвимостей, игнорирование рисков, страхование рисков [79,99].

В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача — объективно идентифицировать и оценить наиболее значимые информационные риски, а также адекватность используемых средств контроля рисков для увеличения эффективности системы. Поэтому под термином «управление информационными рисками» обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями российской нормативно-правовой базы в области защиты информации й собственной корпоративной политики безопасности. Считается, что качественное управление рисками позволяет использовать оптимальные по эффективности и затратам средства контроля рисков и средства защиты информации, адекватные текущим целям и задачам бизнеса компании [2-7].

Концепции анализа рисков, управления рисками на всех стадиях жизненного цикла информационной технологии были предложены многими крупными организациями, занимающимися проблемами информационной безопасности. Отечественные аналитики начали использовать различные методики на практике. Различные технологии анализа рисков начали на практике применяться в России [84]. Однако риски компьютерных систем в их аналитическом выражении до сих пор остаются «белым пятном» в теории информационной безопасности. Это качается, прежде всего, атак типа «отказ в обслуживании», в том числе наиболее распространенной их разновидности

SYNflood-атак. Отсюда вытекают 'объект, предмет, цель и задачи работы, ее актуальность.

Работа выполнена в соответствии с одним из основных научных направлений Воронежского государственного технического университета «Перспективные радиоэлектронные и лазерные устройства, системы передачи, приема, обработки и защиты информации».

Объектом исследования является сервер, подвергающийся воздействию SYNflood-атак, направленных на отказ в обслуживании.

Предметом исследования является риск-анализ сервера, подвергающегося воздействию SYNflood-атак направленных на отказ в обслуживании.

Цель настоящей работы состоит в построении и исследовании риск-моделей SYNflood-атак на серверы компьютерных систем.

Для достижения указанной цели предполагается решить следующие задачи:

-разработать и исследовать вероятностную модель SYNflood-атак на сервер, направленных на отказ в обслуживании; -получить аналитические выражения для расчета рисков и защищенности сервера, подвергающегося воздействию SYNflood-атак, определить функции их чувствительности; -разработать алгоритм управления рисками сервера, подвергающегося SYNflood-атаке.

Степень обоснованности научных положений, выводов и рекомендаций, сформулированных в работе обеспечивается: -корректным использованием методов теории вероятностей и математической статистики;

-сопоставлением результатов оценки рисков с известными аналогами; -практической проверкой алгоритмов через компьютерное моделирование и в процессе внедрения.

Для решения поставленных задач в данной работе используются методы теории вероятностей и математической статистики, теории автоматического управления, а также теории чувствительности.

В работе получены следующие основные результаты, характеризующиеся научной новизной:

-введена оригинальная характеристика ущерба при SYNflood-атаке, доказано, что эта характеристика подчиняется закону Пуассона; -на основе выведенной характеристики впервые получены аналитические выражения для расчета рисков при единичной и распределенных SYNflood-атаках, а также - аналитические выражения для функций чувствительности риск-модели к изменению параметров атаки в отличие от аналогов позволяющие в данной проектной ситуации перейти от качественных к количественным оценкам риска; -впервые предложены алгоритмы управления рисками для компьютерных систем, подвергающихся SYNflood-атакам.

Практическая, ценность данной работы заключается в том, что разработанные модели и алгоритмы могут быть применены непосредственно при оценке рисков атак на серверы компьютерных систем их администраторами безопасности и аудиторскими компаниями при комплексной оценке эффективности защиты от информационных атак.

Апробация. Основные результаты диссертационной работы докладывались и обсуждались на следующих конференциях:

1. Региональной научно-практической конференции «Информационные аспекты безопасности систем». Воронеж, май 2007г.

2. VI Всероссийской научно-практической конференции с международным участием «Современные информационные технологии в науке, образовании и практике». Секция «Вычислительные машины, комплексы и компьютерные сети», Оренбург, 2007 г.

3. Межрегиональной научно-практической конференции «Информационные риски и безопасность». Воронеж, 2007 г.

4. Региональной научно-практической конференции «Методы, системы и процессы обеспечения безопасности». Воронеж, 2008 г.

5. Межрегиональной научно-практической конференции «Проблемы обеспечения безопасности систем». Воронеж, 2008 г.

Публикации. По материалам диссертационной работы опубликованы 16 научных статей и докладов [101-116], из них 2 - в издании, входящем в перечень ВАК России. Личный вклад соискателя в работах, опубликованных в соавторстве, состоит в следующем:

• /102/ - предложена концепция риск-анализа атак рассматриваемого класса;

• /103/ - предложен алгоритм управления защищенностью автоматизированной системы;

• /104/ - предложено распределение Пуассона в качестве модели риск-анализа;

• /105/ - выдвинута гипотеза о распределении рисков сетевых атак;

• /106/ - предложена оценка отказа в обслуживании сервера сети;

• /107/ - предложена методика риск-оценки ущерба атакуемых автоматизированных систем;

• /108/ - адаптировано Пуасоновское распределение к задачам информационной безопасности;

• /110/ - методически обоснован выбор закона распределения для риск-моделирования;

• /111/ - получены выражения функции дифференциальной чувствительности для риск-модели пуассоновского типа;

• /112/ - предложена оценка защищенности для Flood-атак;

• /115/ - определена предметная область описания кибер-атак с помощью закона Пуассона.

На защиту выносятся следующие основные положения работы: -математическая модель процессов DoS и DDoS-атак на компьютерные системы, основанная на распределении Пуассона и предложенной характеристики ущерба;

-аналитические выражения для расчета рисков и защищенности атакуемых компьютерных систем на основе вероятностного распределения Пуассона; -аналитические выражения функций чувствительности риска к изменению параметров атак заданного типа;

-алгоритмы управления рисками компьютерных систем, подвергающихся DOS-атаками.

Структура работы. Диссертация состоит из введения, четырех глав, заключения и списка литературы, включающего 116 наименований.

4:4 Выводы по четвертой главе

В результате исследований проведенных в четвертой главе работы* получены следующие результаты: -в качестве критериев качества управления рисками можно использовать следующие показатели: экономическая эффективность управления риском и уровень риска;

-в качестве ограничения первого рода на процесс управления предложено уравнение движения риска;

-в качестве ограничений второго рода на процесс управления рассматриваются критерии качества управления риском: в результате управления риск должен принимать минимально возможные значения^ экономическая эффективность, т.е. расходы на управление риском должны как минимум не превышать сумму ожидаемой экономии средств в результате

• 101 снижения уровня риска; -предложен алгоритм минимизации риска (численный алгоритм Не л дер а-, Мида), с помощью которого проиллюстрирован метод расчета желаемых параметров атаки для сдвига максимума риска в сторону малых значений ущерба.

ЗАКЛЮЧЕНИЕ

В данной работе получены следующие основные результаты:

1. Разработана и исследована математическая модель процесса SYNflood-атаки, направленной на отказ в обслуживании компьютерной системы. Данное исследование проводилось с учетом того, что компьютерная система представляет собой сложный объект, поэтому процесс атаки рассматривался с использованием распределения вероятностей Пуассона, что позволило учесть большинство особенностей такой системы, в частности: ;

- предметная область исследования определена как SYNflood-атаки на сервер, направленные на отказ в обслуживании;

- рассмотрена статистика сетевых пакетов при работе сервера в нормальных условиях и во время SYNflood-атаки;

- предложена характеристика активности сетевого обмена атакуемого сервера и доказано, что она распределена по Пуассону.

2. Получены аналитические выражения для расчета рисков и защищенности компьютерных систем, находящихся под воздействием SYNflood-атаки, направленной на отказ в обслуживании. Для этого было проведено исследование вероятностной природы информационных рисков для одиночных и распределенных атак, направленных на отказ в обслуживании, на основе данного исследования были найдены аналитические выражения для расчета рисков, как произведение величины ущерба на вероятность возникновения данного ущерба.

3. Найдены аналитические выражения функций чувствительности риска к изменению параметров безопасности компьютерных систем, подвергающихся SYNflood-атакам, направленным на отказ в обслуживании. В результате найдены аналитические выражения функций чувствительности риска к изменению параметров безопасности является ключевым моментом в процессе построения риск-модели и последующим нахождением формулы движения риска. С помощью полученной формулы движения риска можно проанализировать влияние параметров вероятностного распределения на функцию риска, а также возможно произвести минимизацию величины риска не только для отдельного значения ущерба, но и для всего диапазона ущербов в целом. На основе аналитических выражений функций чувствительности величины риска разработаны алгоритмы управления рисками в компьютерных системах, подвергающихся SYNflood-атакам, направленным на отказ в обслуживании. Проведено соответствующее математическое моделирование данной проектной ситуации, исходя из того, что:

- в качестве критериев качества управления рисками предлагается использовать экономическую эффективность управления риском и уровень риска;

- в качестве ограничения первого рода на процесс управления предложено уравнение движения риска;

- в качестве ограничений" второго, рода на процесс управления рассматриваются критерии качества управления риском;

- предложен алгоритм минимизации риска, с помощью которого проиллюстрирован метод расчета желаемых параметров атаки для сдвига максимума риска в сторону малых значений ущерба.

5. Результаты исследований нашли свое применение в практической* деятельности по защите информации (приложение 1), а также в учебном процессе (приложение 2) специальностей в области информационной безопасности.

1. ISCMEC 27001:2005 Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью.

2. ISO/IEC 27002:2005 Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью.

3. ISO/IEC 27003:2007 Информационные технологии. Методы обеспечениятбезопасности. Руководство по внедрению системы управления информационной безопасностью.

4. ISO/IEC 27004:2007 Информационные технологии. Методы обеспечения безопасности. Измерение эффективности системы управления информационной безопасностью.

5. ISO/IEC 27005:2007 Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности.

6. ISO/IEC 27006:2007 Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью.

7. RFC 2828 Internet Security Glossary.

8. Айвазян C.A. Прикладная статистика: Исследование зависимостей / С.А. Айвазян М.: Финансы и статистика, 1985. - 423 с.

9. Альгин А.П. Риск и его роль в общественной жизни / А.П. Альгин М.: Мысль, 1989.-378 с.

10. Анин Б.Ю. Защита компьютерной информации/ Анин Б.Ю. СПб.: BHV-Петербург, 2001. - С. 20.

11. Балдин К.В. Управление рисками: Учеб. пособие / К.В. Балдин, С.Н. Воробьев. -М.: ЮНИТИ-ДАНА, 2005. 511с.

12. Бартон Т. Комплексный подход к риск-менеджменту: стоит ли этим заниматься / Т. Бартон, У. Шенкир, П. Уокер. М.: Издательский дом1. Вильяме", 2003. 208 с.

13. Батищев Р.В. Анализ и управление рисками применительно к автоматизированным системам с заданным количеством поражаемых объектов / Р.В. Батищев, А.С. Афанасьева // Информация и безопасность: Регион, науч.-техн. журнал. Воронеж. 2007. - Вып. 2. - С. 362.

14. Беляев А.В. Методы и средства защиты информации курс лекций, ЧФ СПбГТУ Электрон. дан. - Режим доступаhttp ://www. citforum.ru/internet/infsecure/index. shtml.

15. Бешелев С.Д. Математико-статистические методы экспертных оценок / С.Д. Бешелев. М.: Статистика, 1990. - 287 с.

16. Болыпев JI.H. Таблицы математической статистики. / JI.H. Большев, Н.В. Смирнов М.: Наука, 1983. - 297 с.

17. Боровиков А.А. Теория вероятностей / А.А. Боровиков М.: Наука, 1986. -432 с. '

18. Бостанджиян В.А. Пособие по статистическим распределениям / В.А. Бостанджиян. Черноголовка: ИПХФ, 2000. - 1006 с.

19. Буянов В.П. Рискология (управление рисками): Учебное пособие. 2-ое изд., испр. и доп. / В.П. Буянов, К.А. Кирсанов, JI.M. Михайлов. - М.: Издательство "Экзамен", 2003. - 384 с.

20. Буянов В.П. Управление рисками (рискология) / Буянов В.П., Кирсанов К.А., Михайлов JI.A. М.: Экзамен, 2002. - 384 с.

21. Вентцель Е.С. Теория вероятностей и ее инженерные приложения. Учеб. пособие для втузов. / Е.С. Вентцель, JI.A'. Овчаров. М.: Высш. шк, 2003. -464 с.

22. Вентцель Е.С. Теория вероятностей. Учеб. для втузов / Е.С. Вентцель М.: Высш. шк, 1998.-576 с.

23. Вентцель Е.С. Теория случайных процессов и ее инженерные приложения. Учеб. пособие для втузов. / Е.С. Вентцель, JI.A. Овчаров. М.: Высш. шк, 2000.-383 с.

24. Владимирский Б.М. Математика: Общий курс:Учебник для вузов / Б.М. Владимирский, А.Б. Горстко, Я.М. Ерусалимский. СПб: Лань, 2002. - 960 с.

25. Вопросы кибернетики. Теория чувствительности и ее применение / Под" ред. P.M. Юсупова и Ю.Н. Кофанова. М.: Наука, 1981. - 194 с.

26. Воронов М.В. Математика для студентов гуманитарных факультетов: учебник/ М. В. Воронов, Г. П. Мещерякова. М.: Феникс, 2002. - 374 с.

27. Воронцовский А.В. Управление рисками: Учеб. пособие. 2-ое изд., испр. и доп / А.В. Воронцовский СПб: Изд-во С.-Петерб. ун-та, 2000; ОЦЭиМ, 2004.-458 с.

28. Выгодский М.Я. Справочник по высшей математике / Выгодский М.Я. -М.: Наука, 1973.-872 с.

29. Вяткин В.Н. Риск-менеджмент: Учебник / В.Н. Вяткин, И.В. Вяткин, В.А." Гамза и др. ; Под. ред. И. Юргенса. М.: Издательско-торговая корпорация "Дашков и К", 2003.-512 с.

30. Галатенко В. Оценка безопасности 'автоматизированных систем. -Электрон, дан. Режим доступа : http://www.jetinfo.ni/2005/7/l/ articlel.7.2005.html.

31. Гнеденко Б.В. Математические методы в теории надежности. / Б.В. Гнеденко, Ю.К. Беляев, А.Д. Соловьев. М.: Наука, 1965. - 333 с.

32. Гончаренко Л.П. Риск-менеджмент: учебное пособие / Под ред. д-ра тех. наук, проф., засл. деятеля науки РФ Е.А. Олейникова; Л.П. Гончаренко, С.А. Филин. -М.: КНОРУС, 2006.-216 с.

33. ГОСТ 34.003—90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения. -М.: Госстандарт России: Изд-во стандартов, 1990. 17 с.

34. ГОСТ 34.201-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплексность и обозначение документов при создании автоматизированных систем. М.: Госстандарт

35. России: Изд-во стандартов, 1989. 12 с.

36. ГОСТ 34.601-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания. -М.: Госстандарт России: Изд-во стандартов, 1990. 10 с.

37. ГОСТ 34.602-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание" автоматизированной системы. М.: Госстандарт России: Изд-во стандартов, 1989. - 14 с.

38. ГОСТ 34.603-92 Информационная технология. Виды испытаний автоматизированных систем. — М.: Госстандарт России: Изд-во стандартов, 1992. 10 с.

39. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.Москва, 1992.

40. Гостехкомиссия России. Руководящий документ. Средства вычислительнойтехники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. — Москва, 1992.

41. Гражданкин А.И. Использование вероятностных оценок при анализе безопасности опасных производственных объектов. / А.И. Гражданкин, М.В. Лисанов, А.С. Печеркин // Безопасность труда в промышленности. -2001. -№ 5. С. 33-36.

42. Гранатуров В.М. Экономический риск: сущность, методы измерения, пути" снижения: Учебное пособие / Гранатуров В.М. — М.: Издательство «Дело и Сервис», 2002.-160 с.

43. Гранатуров В.М. Экономический риск: сущность, методы измерения, пути снижения: Учебное пособие / В.М. Гранатуров М.: Издательство "Дело и Сервис", 2002.- 160 с.

44. Грэхем Р. Конкретная математика: Основание информатики/ Р.Грэхем, Д. Кнут, О. Паташник; Пер.с англ. М.: Мир, 1998. - 703 с.

45. Губко М.В. Отношения предпочтения и функция полезности/ Губко М.В., Новиков Д.А. Электрон, дан. - Режим доступа : http://www.mtas.ru/ uploads/op .pdf.

46. Де Гроот М. Оптимальные статистические решения / М. Де Гроот М.: Издательство "Мир", 1974. - 496 с.

47. Девянин П.Н. Технические методы и средства защиты информации. Теоретические основы компьютерной безопасности. Учебное пособие/ Девянин П.Н. М.: Горячая линия - Телеком, 2003. - С. 31-33.

48. Девянин П.Н. Модели безопасности компьютерных систем: Учеб. пособие" для студ. высш. учеб. заведений / П.Н. Девянин. — М.: Издательский центр «Академия», 2005. 144 с.

49. Дейтел Г. Введение в операционные системы. Т.1/ Дейтел Г. — М.: Мир, 1987.

50. Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты/ Домарев В.В. 2001. - С.75-77.

51. Емелин И.В. Обеспечение многоуровневой защиты в информационных и вычислительных системах/ Емелин И.В., Эльгиян Р.В. — М.: ВНИИМИ, 1979.

52. Зайденберг А.П. Законы распределения случайных величин / А.П. Зайденберг Омск : Омский институт инженеров железнодорожного транспорта, 1971.-256 с.

53. Зегжда Д.П. Основы безопасности информационных систем/ Зегжда Д.П. * Ивашко A.M. М.: Горячая линия - Телеком, 2002. - С. 204-207.

54. Зима В.М. Безопасность глобальных сетевых технологий/ Зима В.М.,

55. Молдовян А.А., Молдовян Н.А. СПб.: BHV-Санкт-Петербург, 2001. -С.128-129.

56. Иода Е. В. Управление рисками предприятия: теория и практика страхования рисков / Е.В. Иода, В.Б. Кузнецова. Тамбов: Изд-во Тамб. гос. техн. ун-та, 2003. - 132 с.

57. Исмаилов Ш. Ю. Математическая статистика и обработка результатов измерений/ Исмаилов Ш.Ю. JL: Изд-во ЛЭТИ, 1977.

58. Казарин О. В. Теория и практика защиты программ. Электрон, дан. -Режим доступа: http://www.crvptography.ru/db/msg.htm^mid^1169714.

59. Кендалл М. Теория распределений/ М. Кендалл, А. Стьюарт. М.: Наука, 1966. - 590 с.

60. Классификация сетевых атак, статья КомпьютерПресс Электрон, дан. -Режим доступа: http://www.cpress.ru.

61. Коберниченко А.В. Недокументированные возможности Windows NT/ Коберниченко А.В. -Москва, Нолидж, 1998.

62. Кофман А. Массовое обслуживание. Теория и приложения/ Кофман А.,* Крюон Р. —Москва, Мир, 1965.

63. Левиков В. Я. Аппаратная защита компьютеров // Банковские технологии. -2002.-№2.-С. 13-15.

64. Линник Ю.В. Метод наименьших квадратов и основы математико-статистической теории обработки наблюдений/ Линник Ю.В. М.: Физматгиз, 1962.

65. Лукацкий А.В. Обнаружение атак/ Лукацкий А.В. СПб.: BHV-Санкт-Петербург, 2001.- С. 89-96.

66. Люцарев B.C. Безопасность компьютерных сетей на основе Windows NT/-Люцарев B.C., Ермаков К.В., Рудный Е.Б., Ермаков И.В. — Москва,1. Русская редакция. — 1998.

67. Математика. Большой энциклопедический словарь /Гл. ред. Ю.В. Прохоров. М.: Большая Российская Энциклопедия, 1998. - 848 с.

68. Медведовский И.Д. Атака через Internet. / И.Д. Медведовский, П.В. Семьянов, В .В. Платонов. М.: НПО "Мир и семья-95", 1997. - 374 е.: ил.

69. Мельников В. Защита информации в компьютерных системах/ Мельников В. —М.: Финансы и статистика; Электроинформ, 1997.

70. Найт Ф.Х. Риск, неопределенность и прибыль. Пер. с англ / Ф.Х. Найт -М.: Дело, 2003.-360 с.

71. Недосекин А.О. Применение теории нечетких множеств в задачах управления финансами // Аудит и финансовый анализ, 2000 № 2.

72. Нейман фон Дж. Теория игр и экономическое поведение / Дж. фон Нейман,' О. Моргенштерн -М.: Издательство «Наука», 1970. 708 с.

73. Оголюк А.А. Технология и программный комплекс защиты рабочих станций и информационных серверов в Intranet-сетях// Оголюк А.А., Щеглов А.Ю. Информационные технологии. —№1. — 2000.

74. Орлов А.И. Математика случая Вероятность и статистика основные факты. Учебное пособие/ Орлов А.И. М.: МЗ-Пресс, 2004.

75. Остапенко Г.А. Информационные операции и атаки в социотехнических системах: / Г.А. Остапенко; Под редакцией В.И. Борисова. М: Горячая линия-Телеком, 2006. - 184 с.

76. Остапенко Г.А. Оценка рисков и защищенности атакуемых кибернетических систем на основе дискретных распределений случайных величин / Г.А. Остапенко // Информация и безопасность: Регион, науч.-техн. журнал. Воронеж. 2005. - Вып. 2. - С. 70 - 75.

77. Остапенко О.А. Методология оценки риска и защищенности систем/ О.А. Остапенко // Информация и безопасность: Регион, науч.-техн. журнал. Воронеж. 2005. - Вып. 2.-С. 28-32.

78. Пикфорд Дж. Управление рисками / Дж. Пикфорд М.: ООО "Вершина",2004.-352 с.

79. Пустыльник Е.И. Статистические методы анализа и обработки наблюдений/ Пустыльник Е.И. М.: Наука, 1971.

80. Семёнов Ю.А. Телекоммуникационные технологии Электрон, дан/ Семёнов Ю.А. Режим доступа : http://www.citforum.ru/nets/semenov

81. Симонов С. Анализ рисков, управление рисками / С. Симонов //Jet Info. Информационный бюллетень, 1999. № 1. - С. 2-28.,Симонов С. Технологии и инструментарий для управления рисками / С. Симонов //Jet Info. №2, 2003,-№2.-С. 15-21.

82. Соколов А.В. Методы информационной защиты объектов и компьютерных сетей/ Соколов А.В. М.: Полигон, 2000.

83. Статьев В.Ю. Оценка информационных рисков в системах обработки служебной информации / В.Ю. Статьев. М.: Конфидент, 2004. - 289 с.

84. Фишберн П. Теория полезности для принятия решений / П. Фишберн; Пер.-с англ. М.: Наука, 1978. - 352 с.

85. Фомичев А.Н. Риск-менеджмент: Учебное пособие / А.Н. Фомичев М.: Издательско-торговая корпорация "Дашков и К", 2004. - 292 с.

86. Хастингс Н. Справочник по статистическим распределениям/ Н. Хастингс, Дж. Пикок. Пер. с англ. А.К. Звонкина. М.: Статистика, 1980. - 95 с.

87. Хенли Э. Дж. Надежность технических систем и оценка риска / Э. Дж. Хенли, X. Кумамото М.: Машиностроение, 1984. - 528 с.

88. Хофман Л.Дж. Современные методы защиты информации/ Хофман Л.Дж. — М.: Советское радио, 1980.

89. Хохлов Н.В. Управление риском: Учеб. Пособие для вузов / Н.В. Хохлов -М.: ЮНИТИ-ДАНА, 1999. 239 с.

90. Хуотаринен А.В. Комплексирование объектной и технической защиты вычислительной сети/ Хуотаринен А.В., Щеглов А.Ю.// Сборник научных статей Современные технологии. Под. ред. С.А. Козлова и В.О. Никифорова, СПб, 2002.

91. Хуотаринен А.В., Щеглов А.Ю. //Экономика и производство. — №4. — 2002.

92. Черешкин Д.С. Оценка эффективности систем защиты информационных ресурсов / Д.С. Черешкин. М.: Институт системного анализа РАН, 1998. -455 с.

93. Чернова Г.В. Управление рисками: Учебное пособие / Г.В. Чернова, А.А. Кудрявцев. М.: ТК Велби, Изд-во Проспект, 2003. - 160 с.

94. Чувствительность автоматических систем. Труды международного симпозиума по чувствительным системам автоматического управления / Отв. ред. Я.З. Цыпкин. М.: Наука, 1968.- 249 с.

95. Шапиро В.Д. Управление проектом / В.Д. Шапиро. СПб.: РАО «Газпром», 1996.-340 с.

96. Шнайер Безопасность в цифровом мире/ Шнайер 2004,- С.97.

97. Шоломицкий А.Г. Теория риска. Выбор при неопределенности и моделирование риска: учеб. пособие для вузов/ А.Г. Шоломицкий М.: Изд. дом ГУ ВШЭ, 2005. - 400 с.

98. Щеглов А. Ю. Защита компьютерной информации от несанкционированного доступа/ Щеглов А. Ю. -2004. Санкт-Петербург. -С.373 -375.

99. Щеглов А.Ю. Основы теории надежности СЗИ. Назначение средств добавочной защиты/ Щеглов А.Ю. // Защита информации. Кофидент. — №4.-2003.

100. Щеглов А.Ю. Технология защиты рабочих станций в сетевых архитектурах клиент-сервер/ Щеглов А.Ю.Дарасюк М.В., Оголюк А.А. //ВУТЕ. Россия — №1 — 2000.1. СПИСОК ПУБЛИКАЦИЙ АВТОРА

101. Андреев Д.А. Атакуемые компьютерные системы и распределение Пуассонна // Информация и безопасность: науч.-техн. журнал. Воронеж. 2008. Том 11. 4.2. С. 318.

102. Андреев Д.А., Пичугина А.ККонцепция управления рисками информационных атак на основе распределения Пуассона // Информация и безопасность: науч.-техн. журнал. Воронеж. 2008. Том 11. Ч.З. С. 407.

103. Андреев Д.А., Чулюков А.В., Батищев Р.В., Афанасьева А.С. Анализ рисков применительно к автоматизированным системам с заданным количеством пораженных объектов // Информация и безопасность: науч.-^ техн. журнал. Воронеж. 2007. Вып.2. С. 347.

104. Андреев Д.А., Батищев А.В., Радько Н.М. Сетевые атаки автоматизированных систем: статистический риск-анализ и управление защищенностью- // Информация и безопасность: науч.-техн. журнал. Воронеж. 2007. Вып.2. С. 358.

105. Андреев Д.А., Паршин А.Ю. Автоматизированные системы при непреднамеренных внешних воздействиях: статистический риск-анализ и управление защищенностью// .'Информация и безопасность: науч.-техн. журнал. Воронеж. 2007. Вып.2. С. 360.

106. Андреев Д.А., Остапенко А.Г. Пуассоновское распределение в задачах обеспечения безопасности автоматизированных систем// Информация и безопасность: науч.-техн. журнал. Воронеж. 2007. Вып.2. С. 367.

107. Андреев Д.А., Остапенко А.Г., Филиппов Ю.Е. К вопросу о принятии решения при управлении рисками// Информация и безопасность: науч.-техн. журнал. Воронеж. 2007. Том 10.4.3. С. 469.

108. Ш.Андреев Д.А., Филиппов Ю.Е. Дифференциальная чувствительность параметров риск-модели// Информация и безопасность: науч.-техн. журнал. Воронеж. 2007. Том 10.4.3. С. 491.

109. Андреев Д.А., Щербаков В.Б., Филиппов Ю.Е. Измерение рисков при значительном количестве атак и малых значениях вероятности успеха// Информация и безопасность: науч.-техн. журнал. Воронеж. 2007. Том104.3. С. 499.

110. Андреев Д.А. Риски информационных систем при массовых кибератаках// Информация и безопасность: науч.-техд. журнал. Воронеж. 2007. Том104.4. С. 618.

111. Андреев Д.А. Относительная чувствительность к изменению параметров риск-модели// Информация и безопасность: науч.-техн. журнал. Воронеж.2008. Том 11.4.1. С. 148.