6.2.6. Топологические модели атак на основе отказа в обслуживании

Важнейшей задачей является обеспечение надежного удаленного доступа к данному объекту с любого объекта сети. Всякий пользователь должен иметь возможность подключиться к любому объекту и получить в соответствии со своими правами удаленный доступ к ее ресурсам. Зачастую такая задача решается следующим образом: на объекте в сетевой ОС запускается ряд программ-серверов, входящих в состав телекоммуникационных служб предоставления удаленного сервиса (например, FTP-сервер, WWW-сервер и т. д.). Сервер, находясь в памяти операционной системы, постоянно ожидает получения запроса на подключение от удаленного объекта и по возможности передает запросившему объекту ответ, разрешая подключение или не разрешая. Аналогично происходит создание виртуального канала связи, по которому обычно взаимодействуют объекты [44]. В этом случае непосредственно ядро сетевой ОС обрабатывает приходящие извне запросы на создание виртуального.

Операционная система способна поддерживать ограниченное число открытых виртуальных соединений, а также отвечать на ограниченное число запросов (ограничена длина очереди запросов на подключение, тайм-аут очистки очереди и число одновременно открытых соединений). Эти ограничения устанавливаются индивидуально для каждой сетевой ОС [45]. При отсутствии статической ключевой информации – идентификация запроса возможна только по адресу его отправителя. Если не предусмотрено средств аутентификации адреса отправителя, т.е. инфраструктура системы позволяет с какого-либо объекта системы xT передавать на атакуемый объект большое число анонимных запросов на подключение от имени других объектов (тем самым переполняя очередь запросов), числом на несколько порядков меньше пропускной способности канала (направленный мини-шторм), то это и будет реализацией типовой угрозы безопасности РВС «отказ в обслуживании» (denial of service, DoS). В результате имеет место нарушение на атакованном объекте работоспособности соответствующей службы предоставления удаленного сервиса, то есть невозможность получения удаленного доступа с других объектов системы из-за переполнения очереди (буфера) запросов [46].

Построим топологическую модель DOS-атаки (рис.6.41) и (6.42).

1. В (n) интервале времени на атакующем объекте XT генерируются множество сообщений, которые направляются на порт серсиса XKi. Для наглядности на рисунке 6.44 показано что объект X2 получает доступ к атакуемому порту до тех пор пока очередь запросов не переполнится.

Рис. 6.41. Графовая модель DOS-атаки в (n) интервал времени

2 . В (n+1) интервале времени очередь атакуемого порта переполняется в результате чего порт перестает реагировать на вновь пришедшие сообщения (объект X2 перестает получать данные от порта XKi объекта XK) [47]. Вышедший из строя порт обозначен на графе вершиной серого цвета. Пунктирная линия говорит о прекращении передачи данных.

Рис. 6.42. Графовая модель DOS-атаки в (n+1) интервал времени

6.3. Риск-модели атак на компьютерные системы

Существует на практике задача анализа многократно повторяющихся сетевых атак на компьютерные системы, где успешность операции характеризует количество проникновений в систему k при проведении n атак [48]. Считая вероятность такого проникновения для единичной атаки, равной p₀, а величину ущерба каждого проникновения u₀ (без учета всех последствий, которые также являются предметом дальнейшего противоборства), закон дискретного распределения вероятности наступления ущерба в общем виде можно записать

P = P (n, k, p₀) и U = ku₀.

Качественно эту запись иллюстрирует рис. 6.43, а [49]. Дальнейшее нормирование по максимально допустимому ущербу u_max = nu₀, переводит описание процесса в единичное пространство (рисунок 6.43, б), а

P = P(k/n, p₀) и .

Отсюда имеем выражение для риска

R_isk( ) = P(k/n,p₀)

и соответствующий ему график рис. 6.43, в.

Интегральный риск (вероятность наступления ущерба, не превышающего заданной величины u_i) соответственно будет равен

где интегральная функция распределения ущерба.

Дополнение до единицы дает вероятность того, что ущерб превышает

откуда соответствующий интегральный риск превышения

Отсюда защищенность системы по уровню ущерба будет равна

По аналогии вероятность попадания ущерба в интервал ( ] определяется как

а усредненный риск соответственно будет равен

Риск непопадания в данный интервал соответственно определяется выражением

а защищенность системы от ущербов интервала будет равна

Математическое ожидание (среднее значение) ущерба для дискретного распределения вероятностей суммой элементарных рисков

Дисперсия ущерба для дискретного распределения определяется через риск следующим образом

По аналогии через элементарный риск могут быть найдены мода, медиана, ассиметрия и прочие параметры ущерба [50].

Защищенность системы (эффективность защиты) для подобных дискретных распределений можно оценить следующим образом

Интервалы дискретизации в единичном интервале здесь будут одинаковыми как для числителя, так и для знаменателя. И потому могут не учитываться [51].

К примеру, для биномиального распределения по формуле Бернулли вероятность равна

.

На основании вышеизложенного

.

Целая группа дискретных распределений рассматривает испытания до первого «успеха», т.е. анализирует вероятное количество атак на систему до первого ее вскрытия (рис. 6.44, а). В этом случае ущерб при всех k будет одинаков u₀, и, следовательно, кривая огибающей риска (в зависимости от номера атаки, а не от ущерба) будет иметь аналогичный вид (рис. 6.44, б) [52].

Причем, в отличие от биномиального распределения, ограничений на k здесь не существует, и оценку защищенности мы сможем провести только для каждого текущего k в отдельности.

1

P(U)

1

U

∙ ∙ ∙

∙ ∙ ∙

1

∙ ∙ ∙

∙ ∙ ∙

а

∙ ∙ ∙

∙ ∙ ∙

u₀

ku₀

nu₀

) б)

R_isk( )

1

∙ ∙ ∙

∙ ∙ ∙

1

в)

Рис. 6.43. Дискретное распределение вероятности (а, б) и риска (в) в зависимости от ущерба проникновения в систему в результате многократных кибернетических атак

Думается, что это вполне корректно, ибо после «успеха» данный эксперимент завершается, поэтому

.

∙ ∙ ∙

∙ ∙ ∙

1 2

a)

k

k

R_isk(k)=P(k)u₀

1

∙ ∙ ∙

∙ ∙ ∙

1 2

k

k

б)

Рис. 6.44. Дискретное распределение вероятностей (а) и риска (б) в зависимости от номера испытаний

Отсюда для геометрического распределения риска атак (рис. 6.45) имеем

R_isk(k) = p₀ (1-p₀)^k

и защищенность системы равна

.

По аналогии для распределения Паскаля

R_isk(k) = m C_k^m+k-1 p₀^m(1-p₀)^k

имеем

.

В этом случае оценивается вероятность m-кратного проникновения в систему (mu₀) в результате (m+k) атак [53].

Рис. 6.45. Дискретное распределение риска для геометрического распределения

Каждая из дискретных моделей атак имеет вполне определенную область применения:

- биномиальное – вероятность появления k успешных атак в n независимых атаках, когда вероятность p₀ проникновения в систему в каждом испытании постоянна (извлечения с возвращением);

- геометрическое – вероятность того, что потребуется k атак Бернулли, прежде чем будет осуществлено проникновение в систему;

- Паскаля – вероятность того, что потребуется провести k атак Бернулли для появления s успешных проникновений в систему;

- Пуассона – вероятность успеха k независимых атак в данном интервале времени t, когда события происходят с постоянной интенсивностью ;

- мультиномиальное – вероятность успеха i-й атаки k_i раз в n испытаниях, когда вероятности событий p₀ постоянны и события k_i образуют полную группу;

- гипергеометрическое – вероятность нейтрализации k атак в выборке объема m атак, взятой из совокупности объема n, которая содержит k проникновений в систему (извлечения без возвращения) [54].

С учетом вышеизложенного рекомендуется осуществлять оценку рисков и защищенности распределенных компьютерных систем, атакуемых извне.

Для риск-анализа распределений обязательно нужно найти вероятность успеха k-ой атаки, которая аналитически представляет собой следующую сумму произведений

где – вероятность того, что m из n атак на систему придутся на компоненты распределенной системы;

– вероятность того, что k из m атак уязвимости системы достигнут успеха и будет нанесен ущерб.

Тогда интегрально риск может быть измерен в виде матожидания ущерба u

Используем данную концепцию для аналитического риск-анализа.

Пусть распределенная компьютерная система состоит из N компонентов, M из которых уязвимы для рассматриваемого типа атак. За анализируемый период времени рассматриваемая система подвергается данным атакам в количестве n. Тогда вероятность того, что m из n атак придутся на уязвимые компоненты системы по гипергеометрическому закону [56] составит

Далее, полагая что вероятность реализации уязвимости (успеха атаки) для каждого уязвимого компонента системы усреднено равна p, имеем биноминальное распределение

В случае совмещения вышеуказанных событий, получаем вероятность успеха k атак на компоненты системы в следующем виде

Отсюда, при условии усредненного значения ущерба от единичной атаки , представляется определить риск возникновения k успешных атак

Соответственно интегральный риск (матожидание ущерба) в данном случае составит

где, ввиду рассмотрения полной группы событий, допустим инвариант

Практическую сложность для численных расчетов представляет сомножитель Однако, возможно аналитическое упрощение

которые существенно экономит вычислительные затраты.

Предложенная модель открывает перспективу обобщенного риск-анализа атакуемых и частично уязвимых компонентов системы.