автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Оценка и регулирование рисков нарушения информационной безопасности флуд-атакуемых серверов компьютерных сетей

кандидата технических наук
Бутузов, Владимир Вячеславович
город
Воронеж
год
2015
специальность ВАК РФ
05.13.19
Автореферат по информатике, вычислительной технике и управлению на тему «Оценка и регулирование рисков нарушения информационной безопасности флуд-атакуемых серверов компьютерных сетей»

Автореферат диссертации по теме "Оценка и регулирование рисков нарушения информационной безопасности флуд-атакуемых серверов компьютерных сетей"

9 15-5/516

На правах рукописи

БУТУЗОВ Владимир Вячеславович

ОЦЕНКА И РЕГУЛИРОВАНИЕ РИСКОВ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФЛУД-АТАКУЕМЫХ СЕРВЕРОВ КОМПЬЮТЕРНЫХ СЕТЕЙ

Специальность: 05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Воронеж - 2015

Работа выполнена а ФГБОУ ВПО «Воронежский государственный технический университет»

Научный руководитель: Калашников Андрей Олегович,

доктор технический наук, ФГБУН «Институт проблем управления им. В.А. Трапезникова РАН»,

ведущий научный сотрудник (г. Москва) Официальные оппоненты: Громов Юрий Юрьевич,

доктор технических наук, профессор, ФГБОУ ВПО «Тамбовский государственный технический университет», директор Института автоматики и информационных технологий, научный руководитель кафедры информационных' систем и защиты информации (г. Тамбов); Коваленко Дмитрий Мифодьевич, кандидат технических наук, Воронежский информационно-вычислительный центр-структурное подразделение Главного вычислительного центра-филиала ОАО "Российские железные дороги", начальник отдела эксплуатации средств передачи данных и телекоммуникационного оборудования (г. Воронеж) Ведущая организация: Федеральное автономное учреждение

«Государственный научно-

исследовательский испытательный институт проблем технической защиты информации ФС'ГЭК России» (г. Воронеж)

Защита состоится «30» сентября 2015 г. в 1422 часов в конференц-зале на заседании диссертационного совета Д 212.037.08 ФГБОУ ВПО «Воронежский государственный технический университет» по адресу: 394026, г. Воронеж, Московский просп., 14.

С диссертацией можно ознакомиться в научно-технической библиотеке ФГБОУ ВПО «Воронежский государственный технический университет» и на сайте vorstu.ru.

Автореферат разослан « 6 » июля 2015 г.

Ученый секретарь диссертационного совета

Чопоров Олег Николаевич

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы исследования. Повсеместное распространение компьютерных сетей (КС) приводит к неизбежному росту числа угроз реализации сетевых атак в их отношении. Одними из наиболее распространенных сетевых атак являются флуд-атаки, которые способны нанести существенный ущерб и могут быть нацелены как на распространение по различным протоколам передачи информации нежелательных сообщений, имеющих своей целью заражение жертвы вредоносным программным обеспечением (ПО), так и на приведение атакуемого ресурса в недоступное состояние.

По причине простоты реализации и большой величины ущербов для атакуемых сетей в настоящее время повышенной популярностью у злоумышленников пользуются атаки типа «1М-флуд», «ОЫв-флуд», «вМБ-флуд» и «ЕтаП-флуд». Реализуются вышеописанные атаки на базе различных протоколов передачи информации в отношении серверов КС (СКС). Однако для нанесения наибольшего ущерба злоумышленники с помощью специального ПО используют сети зараженных и подконтрольных им компьютеров или же ботнеты, которые позволяют отправлять огромное количество вредоносных сообщений за короткий промежуток времени. Все это свидетельствует о значимости обеспечения информационной безопасности флуд-атакуемых СКС. Тем более, что наблюдаются следующие противоречия между:

- ростом частоты и величины возникающих ущербов от реализации флуд-атак и недостаточным уровнем защищенности СКС от данного вида деструктивных воздействий;

- потребностью в научно обоснованных методах риск-анализа субъектов флуд-атакуемых СКС и готовностью науки предоставить данные методы для эффективного их использования;

- значимостью внедрения средств защиты информации в СКС и последующей их настройки в целях снижения рисков успеха реализации флуд-атак различного характера на серверы, функционирующие в составе атакуемых сетей.

В связи с этим представляется актуальным изучение угроз, возникающих при проведении флуд-атак на СКС, и связанных с ними рисков, их оценки и регулирования с целью повышения защищенности СКС.

Степень разработанности темы исследования. В настоящее время известно значительное число работ, в которых проанализированы различные атаки на КС, оценены риски реализации данных атак, предложены методы по управлению риском компонентов КС и сетей в целом. Также рассматривались вопросы оценки и управления рисками реализаций флуд-атак на сети различного характера. Однако существующее методическое обеспечение в области риск-анализа, применяемого в теории и практике обеспечения информационной безопасности для сетей различного характера и включающего

в себя оценку информационных рисков, исследование данных рисков в динамике, разработку методов управления ими, на данный момент не адаптировано для СКС, подвергающихся флуд-атакам типа «1М-флуд», «ЭЫБ-флуд», «8М5-флуд» и «ЕтаН-флуд». Таким образом, совершенствование данной методологии для повышения защищенности КС от атак данного типа на основе оценки и регулирования рисков представляется весьма актуальным.

Отсюда вытекает научно-техническая задача диссертации: развитие научно-методического обеспечения для оценки и регулирования рисков СКС, подвергающихся флуд-атакам типа «1М-флуд», «Э^-флуд», «8М8-флуд» и «ЕтаМ-флуд», а также - выработка технических решений по повышению защищенности атакуемых СКС.

Диссертационная работа выполнена в соответствии с одним из основных направлений ФГБОУ ВПО «Воронежский государственный технический университет» «Управление информационными рисками и обеспечение безопасности инфокоммуникационных технологий» на базе Воронежского научно-образовательного центра управления информационными рисками.

Объектом исследования являются СКС, в отношении которых реализуются флуд-атаки.

Предметом исследования является оценка и регулирование риска успешной реализации флуд-атак на СКС.

Цель исследования состоит в повышении эффективности защиты СКС, подвергающихся флуд-атакам.

Для достижения вышеуказанной цели представляется необходимым решить следующие задачи:

1. Исследование механизмов реализации флуд-атак на СКС и получение аналитического выражения вероятности их успеха.

2. Аналитическая оценка ущерба от реализации различных типов флуд-атак с учетом противодействия им в КС.

3. Построение аналитической риск-модели флуд-атакуемых СКС и выработка рекомендаций по их регулированию в целях повышения защищенности СКС.

Научная новизна результатов:

1. Полученные выражения вероятности успеха флуд-атак в отличие от аналогов в аналитическом виде учитывают параметры переходов и состояний СКС в ходе реализации в отношении них атак типа «1М-флуд», «й^-флуд», «ЗМБ-флуд» и «ЕтаН-флуд».

2. Аналитические выражения ущерба, полученные в работе, отличаются от аналогов учетом поведения атакуемой СКС, включая процедуры противодействия флуд-атакам вышеуказанных типов.

3. Разработанные риск-модели в отличие от аналогов имеют аналитический вид и практические рекомендации по регулированию рисков для различных типов флуд-атак.

Теоретическая значимость работы состоит в том, что:

- доказаны положения, вносящие вклад в расширение предоставлений о явлении успешной реализации флуд-атаки на СКС;

- использован аппарат теории риск-анализа в отношении атак типа «1Мфлуд», «ЗМБ-флуд», «О^-флуд», «ЕтаЛ-флуд» для аналитической оценки ущерба и вероятности его наступления;

- раскрыты противоречия между значимостью проблемы защиты КС и адекватностью моделей и методик оценки и управления их защищенностью от атак типа флуд, в частности, изучены факторы и причинно следственные связи, порождающие информационные риски успешной реализации флуд-атак на серверы КС;

- модернизация предложенных математических моделей и алгоритмов открывает возможность аналитической оценки и регулирования рисков флуд-атак для широкого многообразия серверов КС.

Практическая ценность работы заключается в том, что:

- разработаны и внедрены в учебный и производственный процесс новые универсальные методики риск-анализа атакуемой СКС;

- определены перспективы практического использования предложенных риск-моделей для повышения защищенности серверов различного назначения, а также - выработаны практические рекомендации для регулирования рисков флуд-атак на эти объекты.

Методы исследования. В исследовании используются методы системного анализа, теории сетей Петри-Маркова, теории вероятностей и математической статистики, математического анализа, методы теории рисков.

На защиту выносятся следующие основные результаты работы:

1. Полученные с помощью сетей Петри-Маркова аналитические оценки вероятности успеха флуд-атак на серверы КС, учитывающие состояния и параметры переходов процесса реализации атаки.

2. Аналитические выражения ущербов, возникающих при реализации атак типа «1Мфлуд», «8М8-флуд», «О^-флуд», «ЕтаП-флуд» на серверы КС.

3. Риск-модели СКС и рекомендации по регулированию рисков для флуд-атакуемых СКС в условиях противодействия атакам.

Соответствие специальности научных работников. Полученные научные результаты соответствуют следующим пунктам паспорта специальности научных работников 05.13.19 «Методы и системы защиты информации, информационная безопасность»: анализ риска нарушения безопасности и уязвимости процессов переработки информации в информационных системах любого вида и области применения (п. 7); модели противодействия угрозам нарушения информационной безопасности для любого вида информационных систем (п. 8); модели и методы управления информационной безопасностью (п. 15).

Степень достоверности научных положений и выводов, сформулированных в исследовании, подтверждается тем, что:

- теория построена на известных, проверяемых фактах статистического исследования реализации атак типа «1М-флуд», «DNS-флуд», «SMS-флуд» и «Email-флуд» на СКС, что согласуется с опубликованными данными в области риск-анализа;

- использованы сравнения авторских данных с результатами, полученными ранее в рассматриваемой области, в работах чл.-кор. РАН Д.А. Новикова, чл.-кор. РАН В.И. Борисова, д-р техн. наук А.Г. Остапенко, д-р техн. наук А.О.Калашникова;

- установлено качественное совпадение авторских результатов с результатами, представленными в работах д-р техн. наук П.Д. Зегждой, д-р техн. наук В.П. Лосем, д-р техн. наук А.О. Калашниковым, д-р техн. наук Ю.Ю. Громовым и канд. техн. наук Д.М. Коваленко в области анализа и управлении информационными рисками реализации различных деструктивных информационных воздействий на сетевые структуры;

- использованы современные методики сбора и обработки информации, включая выборочные совокупности численных значений частоты реализации различных флуд-атак, представленные ведущими отечественными и зарубежными организициями в области защиты информации.

Внедрение результатов работы. Полученные основные научные результаты диссертационного исследования используются в ФГБОУ ВПО «Воронежский государственный технический университет» в учебном процессе на кафедре систем информационной безопасности при организации изучения специальных дисциплин в ходе подготовки специалистов по специальностям 090301 «Компьютерная безопасность», 090302 «Информационная безопасность телекоммуникационных систем», 090303 «Информационная безопасность автоматизированных систем», что подтверждено актом о внедрении в учебный процесс, а также в АО «Конструкторское бюро химавтоматики» для оценки возникающих ущербов при эксплуатации его КС.

Апробация работы. Основные результаты исследований и научных разработок докладывались и обсуждались на следующих конференциях: Межрегиональной научно-практической конференции «Инновации и информационные риски» (Воронеж, 2013 - 2014), Всероссийской научно-технической конференции «Перспективные исследования и разработки в области информационных технологий и связи» (Воронеж, 2013 - 2014), Межвузовской неделе науки в сфере информационной безопасности (Воронеж, 2013-2014).

Публикации. По теме диссертации опубликовано 15 научных работ, в том числе 9 - в изданиях, рекомендованных ВАК РФ, а также 1 учебное пособие, 1 монография и 1 статья в издании по перечню SCOPUS.

Личный вклад. Все основные результаты работы получены автором самостоятельно. В работах, опубликованных в соавторстве, лично автору принадлежат: подход к обоснованию функции ущерба от атак на коммуникации

распределенных систем [1]; аналитические выражения оценки риска атакуемых систем в фиксированном временном интервале [2]; аналитическое обоснование функции ущерба при реализации флуд-атак на почтовый ящик [3]; аналитическая модель реализации атаки с использованием вредоносной программы Email-flooder на почтовый сервер [4]; топологическая модель реализации флуд-атаки на DNS-сервер [5]; подход к управлению эффективностью функционирования систем инновационного характера в условиях реализации на них флуд-атак [6]; аналитическая оценка функции ущерба при реализации атаки с использованием вредоносной программы IM-flooder [7]; аналитическая оценка функции ущерба при реализации атаки «SMS-flood» [8]; аналитические модели реализации атак типа «SMS-flood» и «Email -flood» на канал связи автоматизированной информационной системы [9]; механизмы оценки и регулирования рисков КС при реализации на них атак типа «1М-флуд», «DNS-флуд», «SMS-флуд» и «Email-флуд» [10]; методы оценки рисков социотехнических систем в условиях противодействия деструктивным информационным операциям и атакам [11]; имитационная модель флуд-атаки на информационно-телекоммуникационную систему с использованием вредоносной программы lM-flooder [12]; имитационная модель флуд-атаки на информационно-телекоммуникационную систему с использованием вредоносной программы Email-flooder [13]; имитационная модель флуд-атаки на информационно-телекоммуникационную систему с использованием вредоносной программы SMS-flooder [14]; подходы к оценке и регулированию ущерба, возникающего в КС при реализации атаки типа «Email -flood» [15].

Структура и объем работы. Диссертационная работа состоит из введения, 5 глав, заключения, списки литературы, включающего 164 наименования, двух приложений. Основная часть работы изложена на 177 страницах, содержит 48 рисунков и 5 таблиц. Приложения содержат описание прикладного ПО для анализа ущербов реализации флуд-атак типа «1М-флуд», «DNS-флуд», «SMS-флуд» и «Email-флуд» на СКС, а также документы, подтверждающие практическое использование и внедрение результатов диссертационного исследования.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность темы диссертационного исследования, формируются цели и задачи исследования, научная новизна и практическая значимость, положения, выносимые на защиту, а также результаты внедрения.

В первой главе работы рассматриваются наиболее актуальные флуд-атаки, их разновидности и механизмы защиты от них.

Во второй главе рассматриваются атаки типа «1М-флуд». Получена функция нормированного ущерба при реализации данного типа деструктивного информационного воздействия в различные временные интервалы функционирования атакуемой сети:

u(t) =

*о(.пТ0 + TKt - 'оК^ол - ЗЛА)2

-—- to < t < t„

((n7-0 + 7-) - £0ХЗЛАЛофе, - Д^Л)(Лофе,, + Л,я0д0фе„ + ла + Л„) ' 0

((Да + я„)е, + л (t3 - 1,)()(Д0Ф - зла)2

оф - t,<t< t,;

(ЗДА^си^и — ЛофО(Л„фСв + Л,Л0Л0ф£„ + Ла + Л„) (-ДА*2 + (Д t, - Лоф(, - Д,Л0t3)t + (Да + Лл)1э)(Лоф - ЗЛА)2

-—-2-' 1 - сэ>

(ЗЛ(Л0Д0фГ|, — ЛофГв)(Лофг„ + Л^оЛоф^ + Да + Л„)

где Аа - интенсивность атаки; Яп — интенсивность поступления полезных запросов; Я0 - интенсивность обработки поступающих запросов; п — количество адресов, с которых идет атака; Т0 - время на добавление одного атакующего в спам-лист; Т - время на перенастройку сервера; t0 - момент успеха атаки; Я„ф -интенсивность поступления запросов после перенастройки сервера; Aj - средняя интенсивность атаки всех источников; t„ - момент времени, к которому сформирован спам лист и сервер перенастроен; t3 -момент включения средств защиты.

Основываясь на приведенных выше выражениях, получено аналитическое выражение огибающей функции риска:

/

„. , / Дс\ . ... е ' Risk

lisk (to ± у) = u(t - toHAt) ^ J =

>75+^2 +T43+rs,+r65 8 6/

где At < - ; г - время для подготовки флуд-атаки, полученное при

моделировании сетей Петри-Маркова; т2 = Т^+Т22Г'+Т' ; г =г +т32; Я -

г22+т1

интенсивность атаки (количество сообщений/с); m - количество сообщений, которое требуется отправить жертве; Тц - среднее время формирования команды; т32 - среднее время подготовки устройств с вредоносной программой IM-flooder; Т43 - среднее время рассылки команды устройствам с вредоносной программой IM-flooder; т54 - среднее время обработки принятой команды; г65 -среднее время формирования сообщений; Т75 - среднее время настройки вредоносной программы IM-flooder; т86 = m/A - среднее время переполнения обработчика сообщений атакуемого 1М-сервера.

С учетом различных временных интервалов функционирования СКС огибающая функции риска выглядит следующим образом:

Risk(t± у) = 8

Я„(пТ0 + Г)(£ - - ЗЯ,Я„)2 (ехр (-*))

Г.'о £

((пТ0 + Т) - 10)(ЗД,Я„А^£. - + + Яа + Я„)

(«. + Ыс, + А^С, - Офсф - ЗА,Ла)2 (") («р (-

(зял^е. - + ¿¡АД*». + я„ + я„) ' -£<Сз'

(-Я,Я„г2 + (Я^£, - - Я,Яо(,)( + (Я„ + Я„)(,)(Я^, - ЗЯ,Я„)2 [ехр

(зя,яця„/„ - + Я,я„я^г. + я„ + я„)

Выработаны рекомендации и продемонстрирована возможность их эффективного применения для снижения риска реализации атаки типа «1М-флуд» на СКС путем управляющих воздействий на параметр Я0 посредством замены функционирующих в атакуемой сети сетевых устройств с целью его увеличения, на параметр посредством увеличения вычислительной мощностихостов сети для его снижения, на параметр Т посредством увеличения производительности функционирующих в сети дисковых накопителей с целью его снижения, на параметр Т0 путем повышения вычислительной производительности средств защиты информации СКС для его снижения, на параметр с помощью реконфигурации средств защиты информации СКС с целью его снижения.

В третьей главе рассматриваются атаки типа «0№-флуд», включая оценки вероятности успеха атак и величины возникающих ущербов. Получена функция нормированного ущерба при реализации атаки данного типа в различные временные интервалы функционирования атакуемой сети:

2Аа£ - А„£ - 2Ла£о — Л„£о

/ 1 ч1"*

\(2Я0)Г^а-Г/

-,to<t< £3

■ — 2Яа(о — Я0 (о

\(2Я„)ГД,Т/

(я^г-'я.'-г 2(ДаО1"* - Л0£ - 2Да£0 - Ло£0 та-

-,t3l<t<t32■,

2(Аа£)1"'1

--г~—~т — 2Яа С0 — А0£о

(я^г-'я.'т

- 2Л0£ — 2Ла£0 — Ло£0

((1 1 )--г-—~т _ 2Ла(0 - До£0

(2Д„)ГЯ,"Г/ СЯо^'я.'г

/ 1 ч1-*

Ч(2Я0)ГЯаТ/

Дз3

--Г"—~т - 2Аа£о - Яо£0,

(Яо^'я.'-г

где Яд - интенсивность запросов к Э^-серверу, создаваемая злоумышленником; Я0 - интенсивность обработки сервером поступающих Э^-запросов; ^ - момент, в который у О^-сервера происходит отказ в обслуживании; к - коэффициент уникальности 1Р-адресов в потоке; время, в которое сеть отреагирует путем выключения рекурсивных запросов; 1Э2 -время, в которое сеть отреагирует путем введения зеркального сервера и

перераспределения нагрузки; £Эз - время, в которое сеть отреагирует путем фильтрации данных по 1Р;£Н - момент времени, при котором наблюдается существенное снижение нагрузки на атакуемую сеть за счет введения защитных мер.

Основываясь на приведенных выше выражениях, получено аналитическое выражение огибающей функции риска:

(с0 ± у) = - С0)ЛС =

= и(с - Со) (ехр (--'Л-

где < - ; т = т2 + т64 + т75

полученное

при

т*6 + т56 + т67'

время для подготовки флуд-атаки, моделировании сетей Петри-

Маркова; т2 =-(Г1+Тзг+Г„з)+Г53-' Г1 " Г11+Ти ; т" " сРеднее

время отправки вредоносных запросов злоумышленником, т32 - среднее время анализа полученной информации атакуемым сервером; т43 - среднее время отправки атакуемым сервером запросов соседним и вышестоящим серверам; т64 - среднее время отправки ответных запросов атакуемому серверу соседними и вышестоящими 0№-серверами; т75 - среднее время проверки очереди запросов атакуемым сервером.

С учетом интервальности ущерба вышеприведенное выражениепринимает следующий вид:

(2Д„Г - Я„( - 2А„Г0 - Д040) (") (ехр (-*)) --ГШ-"-/-,С0<1<С31:

( (1-*)Г \ \(2Д„)ГДаТГ/

(2(Да01

--г

(До)«""

——г — 2Дас0 — Д0^о

Д„1 - 2Д„(П - Хл.

1 .1-*

(^т) -

\(2 (Л

—¡"~г - 2Да{0 - Д0<о ' 2Да£о ~ До^о.

.'з, ^ £ < С,2;

Л,

1 , , 1 •

Для внутренних параметров СКС, в число которых входят £Э1,£32Дэи Д0, разработаны рекомендации и продемонстрирована возможность эффективного их применения для снижения значений огибающей функции риска реализации атаки типа «ОЫБ-флуд» на СКС, которые осуществляются

посредством управляющих воздействий на параметр^ с целью его снижения и на параметр /с для его увеличения путем повышения эффективности фильтрации 1Р-адресов и более раннего противодействия атаке, на параметр £Э2 с целью его снижения посредством введения зеркального сервера и перераспределения нагрузки с атакуемого ресурса СКС, на параметр 1Эз для его снижения путем отключения рекурсии и на параметр А0 с целью его увеличения посредством повышения производительности сетевых устройств СКС и увеличения ее вычислительной мощности.

В четвертой главе рассматриваются атаки типа «ЗМБ-флуд» на СКС. Получено аналитическое выражение функции ущерба в различные временные интервалы функционирования сети:

и(с) =

Л,-

пУ - 1

Па-1

t0 < t < t3;

t3<t < ta;

n„ \ n„ \ n3-l J J n„

, / A(A„ \ A,A0 ,

-2-tl + 13-13 + Aa + A„ It--1/ +

n„ \ n„ 1 n„

n*/> - A

t< +

+ Ma + A„ + A(

t > ta.

где na - количество оповещаемых источников; t0 - момент времени, в который у жертвы происходит отказ в обслуживании; ta — момент времени, когда все атакующие устройства подключились к атаке; t3 — момент времени запуска средств защиты информации; Ян = —; tK — время, затрачиваемое на

natK

отправку команды одному устройству; At - интенсивность отправки SMS-сообщений одним атакующим хостом; Яа = £ А,; Ап — интенсивность поступления полезных сообщений; Я0 — интенсивность обработки SMS-сообщений атакуемым хостом; пп — количество нежелательных сообщений, по достижении которого номер отправителя считается вредоносным.

Основываясь на приведенных ранее выражениях, получено аналитическое выражение огибающей функции риска:

Risk (t0 ± у) = u(t - t0)At f ^) =

_к_

(Т2+Т54-Ц75)2+(Т2+Т54+Т75)Т65->-Т|5 ^ пс,

где ДС < - ; г- время для подготовки флуд-атаки, полученное при

моделировании сетей Петри-Маркова; т2 =

_ 4+т1тзз+т5з . _

; Т! = ТП + Т22 +

Т1+Т33

т43; тп - среднее время ввода параметров атаки 5М5-Р1ооё; т22 - среднее время формирования команды атакующим устройствам; т33 - среднее время, затрачиваемое на прием конфигурационной команды от хоста злоумышленника; т43 - среднее время отправки конфигурационной команды атакующим устройствам; 754 — среднее время настройки вредоносной программы 8М8-Р1оос1ег; г65 - среднее время приема одного 8М8-сообщения; Т75 - среднее время отправки одного 8М8-сообщения; пср - среднее количество сообщений, поступающих в единицу времени, при котором сервер сохраняет доступность; А - интенсивность отправки сообщений - количество отправляемых сообщений в единицу времени.

С учетом различных временных интервалов функционирования сети

огибающая функции риска выглядит следующим образом:

< £ <

(пх/-п1/Л п/' - 1\

'о /Д£\ , +е ' ||/1а+Л„

и, — 1 \

с>са.

На основании полученной риск-модели предложены рекомендации по регулированию внутренних параметров СКС (А0, при реализации в их отношении атак типа «8М8-флуд» для снижения риска успешной реализации рассматриваемых атак. Данные рекомендации включают в себя управляющие воздействия на параметр А0 с целью его увеличения и на параметр для его снижения посредством повышения производительности дисковой подсистемы и канала связи СКС и повышения ее вычислительной мощности, на параметр с целью его снижения и на параметр £н для его снижения путем использования программно-аппаратного маршрутизатора в атакуемую СКС, а также на параметр пп с целью его снижения посредством изменения настроек системы защиты СКС. Продемонстрирована возможность эффективного

применения предложенных рекомендаций для снижения значений огибающей функции риска СКС при реализации рассматриваемых в данной главе флуд-атак.

В пятой главе рассматриваются атаки типа «Ета\1-флуд» на СКС. Получена нормированная функция ущерба при реализации деструктивного воздействия данного типа в различные временные интервалы функционирования атакуемой сети:

_8Д, Дупп(Яа + Яп - Ла)с

и(0 =

-До <£<£э;

(зА,Ау£3 + лп(Аа + А„ - А„)) - 8(Д,ДуС3)2

, (—2Д(Ду£г + (ЗД,у, + (Д3 + А„ - Д0)пп){ ..,..у-з , оЛ/Лу--ч 2---, С > Сэ,

(зА(Ау£3 + пп(Да + Д„ - Д0)) - в^АуГз)2 где XI — интенсивность отправки сообщений /-го источника; Ду -увеличенная интенсивность обработки запросов; лп —пороговое число сообщений для блокирования источника; Аа - интенсивность атаки; Яп — интенсивность поступления полезных запросов; А0 - интенсивность обработки поступающих запросов; - момент включения средств защиты; - момент успеха атаки.

Основываясь на приведенных выше выражениях, получено аналитическое выражение огибающей функции риска:

(с0 ± у) = - £0)Д£ =

= и(£ - £„) (£) (ехр (--*-

где Д£<^;т - время для подготовки флуд-атаки, полученное при моделировании сетей Петри-Маркова; т3 = * ; т2 = т!+ т42;т! =

т?1+тцт2[+г^; _ Среднее время подготовки хоста злоумышленника; т21 - среднее

41 +

время подготовки устройства пользователя; т32- среднее время на подготовку файла вредоносной программы ЕтаП-Яоо(1ег;т42- среднее время передачи файла вредоносной программой ЕтаП-Лоос1ег (зависит от объема файла, в данном случае среднее время внедрения вредоносной программы); т53 - среднее время на запуск вредоносной программы ЕтаП-Аоос1ег; т64 - среднее время копирования файла с вредоносной программой ЕтаП-Аооёег в заданный каталог; т7 5 - среднее время редактирования реестра; т86 - среднее время получения сокета вредоносной программой ЕтаП-Аоос1ег;

гд7 — среднее время

настройки вредоносной программы ЕтаП-Аоос1ег; т10В- среднее время сокрытия следов активности заражения устройства вредоносной программой ЕтаП-Поос1ег; т119- среднее время на запуск вредоносной программы ЕтаП-Аоос)ег.

С учетом интервальное™ функции ущерба вышеприведенное выражение принимает следующий вид:

С учетом специфики реализации атаки типа «ЕтаП-флуд» на СКС выработаны практические рекомендации и продемонстрирована возможностьих эффективного применения для снижения риска успешных реализаций рассматриваемых в данной главе флуд-атак посредством следующих управляющих воздействий на внутренние параметры СКС: реконфигурации настроек системы защиты информации СКС с целью снижения параметров Сэ и пп .повышения производительности жестких дисков и сетевого оборудования, функционирующего в СКС, и повышения вычислительной мощности ее хостов для увеличения параметров Яу, А0.

По итогам проведенных в работе исследований были получены следующие результаты:

1. На основе анализа процесса реализации флуд-атак с использованием сетей Петри-Маркова получены аналитические выражения вероятности успеха для атак типа «1М-флуд», «БМБ-флуд», «БЫБ-флуд», «ЕтаП-флуд» на СКС.

2. Для рассмотренных разновидностей флуд-атак аналитически оценены размеры возникающих ущербов, в том числе с учетом процедур противодействия им.

3. Получены аналитические риск-модели СКС для флуд-атак. Выработаны рекомендации по регулированию рисков СКС в условиях противодействия данным атакам.

4. Разработаны алгоритмы и осуществлена их программная реализация для моделирования ущерба по предлагаемым моделям. С помощью данного ПО проведено имитационное моделирование процессов атак типа «1М-флуд», «БМЗ-флуд», «ОЫ8-флуд», «ЕтаП-флуд».

5. Осуществлено внедрение полученных результатов в учебный процесс ФГБОУ ВПО «Воронежский государственный технический университет», а также в производственный процесс АО «Конструкторское бюро химавтоматики».

8Я[Яу

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

ОСНОВНЫЕ РЕЗУЛЬТАТЫ ДИССЕРТАЦИИ ОПУБЛИКОВАНЫ В СЛЕДУЮЩИХ РАБОТАХ Публикации в изданиях, рекомендованных перечнем ВАК РФ

1. Бутузов, В. В. К вопросу обоснования функции ущерба атакуемых систем [Текст] / В. В. Бутузов, А. В. Заряев // Информация и безопасность. -

2013.-Т. 16.-Вып. 1.-С. 47-54.

2. Бутузов, В. В. Риск-Анализ в интервале времени: некоторые приложения [Текст] / В. В. Бутузов, Л. Г. Попова // Информация и безопасность.-2013.-Т. 16,-Вып. 1.-С. 137-138.

3. Бутузов, В. В. Функция ущерба для флуд-атаки на почтовый ящик [Текст] / В. В. Бутузов, П. А. Паринов // Информация и безопасность. - 2014. -Т. 17.-Вып. 1.-С. 30-37.

4. Бутузов, В. В. Моделирование процесса флуд-атаки на почтовый сервер: использование вредоносной программы Email-flooder [Текст] / В. В. Бутузов, П. А. Паринов // Информация и безопасность. - 2014. - Т. 17. - Вып. 1. -С. 80-83.

5. Бутузов, В. В. Топологическое моделирование Flood-атаки на DNS-сервер [Текст] / В. В. Бутузов, Р. В. Бобрешов // Информация и безопасность. -

2014.-Т. 17.-Вып. 1.-С. 84-87.

6. Остапенко, А. Г. Основы риск-анализа и управления эффективностью флуд-атакуемых информационных систем [Текст] / А. Г. Остапенко, В. В. Бутузов, И. В. Шевченко // Информация и безопасность. -2014.-Т. 17.-Вып. 1.-С. 88-91.

7. Бутузов, В. В. Обоснование выбора функции ущерба, возникающего при атаке с использованием вредоносной программы IM-flooder [Текст] / В. В. Бутузов, В. Е. Трощенко // Информация и безопасность. - 2014. -Т. 17. - Вып. 1.-С. 108-111.

8. Бутузов, В. В. Оценка ущерба при атаке типа «SMS-flood» [Текст] / В. В. Бутузов, А. А. Савонин // Информация и безопасность. - 2014. - Т. 17. -Вып. 1.-С. 112-115.

9. Бутузов, В. В. Моделирование процесса реализации атаки, с помощью SMS, E-Mail флудов на канал связи автоматизированной информационной системы [Текст] / В. В. Бутузов, А. В. Завальский, А. В. Заряев // Информация и безопасность. - 2014. - Т. 17. - Вып. 2. - С. 220-223.

Книги

10. Информационные риски флуд-атакуемых компьютерных систем: монография / В. В. Бутузов, М. В. Бурса, А. Г. Остапенко, А. О. Калашников, Г. А. Остапенко; под ред. чл.-корр. РАН Д. А. Новикова. - Воронеж: Научная книга, 2015.- 160 с.

11. Риски систем: учеб.пособие [Электронный ресурс] / Г. А. Остапенко, О. А. Остапенко, Е. А. Попов, В. В. Бутузов. - Воронеж: ФГБОУ ВПО «Воронежский государственный технический университет», 2013.

Статьи и материалы конференций

12. Бутузов, В. В. Описание имитационной модели флуд-атаки на информационно-телекоммуникационную систему с использованием вредоносной программы IM-flooder [Текст] / В. В. Бутузов, В. Е. Трощенко // Управление информационными рисками и обеспечение безопасности инфокоммуникационных систем: сб. науч. тр.; под ред. чл.-кор. РАН В.И. Борисова. - 2014. - Вып. 2. - С. 77-87.

13. Бутузов, В. В. Описание имитационной модели флуд-атаки на информационно-телекоммуникационную систему с использованием вредоносной программы Email-flooder [Текст] / В. В. Бутузов, П. А. Паринов // Управление информационными рисками и обеспечение безопасности инфокоммуникационных систем: сб. науч. тр.; под ред. чл.-кор. РАН В.И. Борисова. - 2014. - Вып. 2. - С. 137-151.

14. Бутузов, В. В. Флуд-атаки на информационно-телекоммуникационную систему с использованием вредоносной программы SMS-flooder: имитационная модель [Текст] / В. В. Бутузов, А. А. Савонин // Управление информационными рисками и обеспечение безопасности инфокоммуникационных систем: сб. науч. тр.; под ред. чл.-кор. РАН В.И. Борисова. - 2014. - Вып. 3. - С. 4-19.

Публикации в изданиях по перечню SCOPUS

15. Email-flooder attacks: The estimation and regulation of damage: Life Science Journal./ V. V. Butuzov, A. G. Ostapenko, P. A. Parinov, G. A. Ostapenko-2014.-11 (7s).-P. 213-218.

Подписано в печать 02.07.2015. Формат 60x84/16. Бумага для множительных аппаратов. Усл. печ. л. 1,0. Тираж 80 экз. Заказ №134.

ФГБОУ ВГ10

«Воронежский государственный технический университет» 394026, г. Воронеж, Московский просп., 14

2015674959

2015674959