Оценка и регулирование рисков нарушения информационной безопасности флуд-атакуемых серверов компьютерных сетей тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат наук Бутузов, Владимир Вячеславович
- Специальность ВАК РФ05.13.19
- Количество страниц 177
Оглавление диссертации кандидат наук Бутузов, Владимир Вячеславович
Оглавление
ВВЕДЕНИЕ
1 ФЛУД-АТАКИ КАК УГРОЗА БЕЗОПАСНОСТИ ИНФОРМАЦИИ КОМПЬЮТЕРНЫХ СЕТИ
1.1 Сущность флуд-атак
1.2 Атаки, направленные на приведение жертвы в недоступное состояние
1.3 Многофункциональные атаки
1.4 Постановка задач исследования
1.5 Выводы по первой главе
2 РИСК-МОДЕЛИ 1М-ФЛУДА
2.1 Специфика моделирования процесса атаки, использующей вредоносную программу 1М-Р1оос1ег
2.2 Измерение ущерба
2.3 Оценка рисков
2.4 Возможности и рекомендации для регулирования рисков в условиях реализации флуд-атаки с использованием вредоносной программы 1М-Пооёег
2.5 Выводы по второй главе
3 РИСК-МОДЕЛИ СЕТЕВОЙ АТАКИ ТИПА «БМЗ-РШОО»
3.1 Моделирование процесса атаки типа «простой БМ8-Аоос1»
3.2 Моделирование процесса атаки типа «рекурсивный ВКБ-Аоос!»
3.3 Определение функций ущерба
3.4 Аналитическая оценка риска
3.5 Рекомендации для регулирования рисков в условиях флуд-атаки типа «БЫ8-Аоос1ег»
3.6 Выводы по третьей главе
4 РИСК-МОДЕЛИ ДЛЯ АТАК ПОСРЕДСТВОМ ПРОГРАММЫ «SMS-FLOODER»
4.1 Особенности моделирования процесса атаки, реализуемой посредством вредоносной программы SMS-Flooder
4.2 Модели процесса атаки типа «SMS-Flood»
4.3 Функция ущерба от SMS-флуда
4.4 Аналитическая оценка риска
4.5 Возможности и рекомендации для регулирования рисков в условиях флуд-атаки посредством вредоносной программы SMS-Flooder
4.6 Выводы по четвертой главе
5 РИСК-МОДЕЛИ ФЛУД-АТАК С ПОМОЩЬЮ ВРЕДОНОСНОЙ ПРОГРАММЫ EMAIL-FLOODER
5.1 Моделирование процесса заражения хоста вредоносной программой Email-flooder
5.2 Моделирование флуд-атаки на почтовый сервер
5.3 Обоснование функции ущерба от почтового флуда
5.4 Аналитическая оценка рисков почтового флуда
5.5 Возможности и рекомендации для регулирования рисков в условиях атаки типа «почтовый флуд»
5.6 Выводы по пятой главе
ЗАКЛЮЧЕНИЕ
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
ПРИЛОЖЕНИЕ А
ПРИЛОЖЕНИЕ Б
Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Отказ в обслуживании мультисервисных сетей по протоколу НТТР: анализ и регулирование рисков2015 год, кандидат наук Бурса, Максим Васильевич
Методика и средства раннего выявления и противодействия угрозам нарушения информационной безопасности при DDoS-атаках2016 год, кандидат наук Терновой, Олег Степанович
Управление информационными рисками мультисерверных web-систем при многовекторных DDoS-атаках2014 год, кандидат наук Дешина, Анна Евгеньевна
Модели и методы защиты от вредоносных программ на основе контроля доступа к файлам2014 год, кандидат наук Маркина, Татьяна Анатольевна
Информационная безопасность транспортных протоколов телекоммуникационных сетей2011 год, кандидат технических наук Карпухин, Евгений Олегович
Введение диссертации (часть автореферата) на тему «Оценка и регулирование рисков нарушения информационной безопасности флуд-атакуемых серверов компьютерных сетей»
ВВЕДЕНИЕ
Актуальность темы исследования. Повсеместное распространение компьютерных сетей (КС) приводит к неизбежному росту числа угроз реализации сетевых атак в их отношении [100-107]. Одними из наиболее распространенных сетевых атак являются флуд-атаки, которые способны нанести существенный ущерб и могут быть нацелены как на распространение по различным протоколам передачи информации нежелательных сообщений, имеющих своей целью заражение жертвы вредоносным программным обеспечением (ПО), так и на приведение атакуемого ресурса в недоступное состояние [108-111].
По причине простоты реализации и большой величины ущербов для атакуемых сетей в настоящее время повышенной популярностью у злоумышленников пользуются атаки типа «1М-флуд», «DNS-флуд», «SMS-флуд» и «Email-флуд». Реализуются вышеописанные атаки на базе различных протоколов передачи информации в отношении серверов КС (СКС). Однако, для нанесения наибольшего ущерба злоумышленники, с помощью специального ПО, используют сети зараженных и подконтрольных им компьютеров или же ботнеты, которые позволяют отправлять огромное количество вредоносных сообщений за короткий промежуток времени. Все это свидетельствует о значимости обеспечения информационной безопасности флуд-атакуемых СКС [41, 58, 145]. Тем более, что наблюдаются следующие противоречия между:
- ростом частоты и величины возникающих ущербов от реализации флуд-атак и недостаточным уровнем защищенности СКС от данного вида деструктивных воздействий;
- потребностью в научно обоснованных методах риск-анализа субъектов флуд-атакуемых СКС и готовностью науки предоставить данные методы для эффективного их использования;
- значимостью внедрения средств защиты информации в СКС и последующей их настройки в целях снижения рисков успеха реализации флуд-атак различного характера на серверы, функционирующие в составе атакуемых сетей.
В связи с этим представляется актуальным изучение угроз, возникающих при проведении флуд-атак на СКС, и связанных с ними рисков, их оценки и регулирования с целью повышения защищенности СКС.
Степень разработанности темы исследования. В настоящее время известно значительное число работ, в которых проанализированы различные атаки [13, 14, 16, 19, 24, 30, 33, 40] на КС, оценены риски [37, 43] реализации данных атак, предложены методы по управлению риском [6, 10, 27, 42, 44, 45] компонентов КС и сети в целом. Также рассматривались вопросы оценки и управления рисками реализаций флуд-атак на сети различного характера [1, 15-19, 27-31, 55, 66, 67, 69, 70, 72, 79, 81, 88, 99, 117-123, 133, 138, 140, 143, 146]. Однако существующее методическое обеспечение в области риск-анализа, применяемого в теории и практике обеспечения информационной безопасности для сетей различного характера и включающего в себя оценку информационных рисков, исследование данных рисков в динамике, разработку методов управления ими, на данный момент не адаптировано для СКС, подвергающихся флуд-атакам типа «1М-флуд», «ОКБ-флуд», «ЗМБ-флуд» и «ЕтаП-флуд». Таким образом, совершенствование данной методологии для повышения защищенности КС от атак данного типа на основе оценки и регулирования рисков представляется весьма актуальным.
Отсюда вытекает научно-техническая задача диссертации: развитие научно-методического обеспечения для оценки и регулирования рисков СКС, подвергающихся флуд-атакам типа «ГМ-флуд», «БЫ8-флуд», «8М8-флуд» и «ЕтаП-флуд», а также - выработка технических решений по повышению защищенности атакуемых СКС.
5
Диссертационная работа выполнена в соответствии с одним из основных направлений ФГБОУ ВПО «Воронежский государственный технический университет» «Управление информационными рисками и обеспечение безопасности инфокоммуникационных технологий» на базе Воронежского научно-образовательного центра управления информационными рисками.
Объектом исследования являются СКС, в отношении которых реализуются флуд-атаки.
Предметом исследования является оценка и регулирование риска успешной реализации флуд-атак на СКС.
Цель исследования состоит в повышении эффективности защиты СКС, подвергающихся флуд-атакам.
Для достижения вышеуказанной цели представляется необходимым решить следующие задачи:
1. Исследование механизмов реализации флуд-атак на СКС и получение аналитического выражения вероятности их успеха.
2. Аналитическая оценка ущерба от реализации различных типов флуд-атак с учетом противодействия им в КС.
3. Построение аналитической риск-модели флуд-атакуемых СКС и выработка рекомендаций по их регулированию в целях повышения защищенности СКС.
Научная новизна результатов:
1. Полученные выражения вероятности успеха флуд-атак, в отличие от аналогов, в аналитическом виде учитывают параметры переходов и состояний СКС в ходе реализации в отношении них атак типа «ЕМ-флуд», «БЫ8-флуд», «БМЗ-флуд» и «ЕтаП-флуд».
2. Аналитические выражения ущерба, полученные в работе, отличаются от аналогов учетом поведения атакуемой СКС, включая процедуры противодействия флуд-атакам вышеуказанных типов.
3. Разработанные риск-модели, в отличие от аналогов, имеют аналитический вид и практические рекомендации по регулированию рисков для различных типов флуд-атак.
Теоретическая значимость работы, состоит в том, что:
- доказаны положения, вносящие вклад в расширение предоставлений о явлении успешной реализации флуд-атаки на СКС;
- в частности использован аппарат теории риск-анализа в отношении атак типа «1М флуд», «8М8-флуд», «Б^-флуд», «ЕшаП-флуд» для аналитической оценки ущерба и вероятности его наступления;
- раскрыты противоречия между значимостью проблемы защиты КС и адекватностью моделей и методик оценки и управления их защищенностью от атак типа флуд в частности изучены факторы и причинно следственные связи, порождающие информационные риски успешной реализации флуд-атак на серверы КС;
- модернизация предложенных математических моделей и алгоритмов открывает возможность аналитической оценки и регулирования рисков флуд-атак, для широкого многообразия серверов КС.
Практическая ценность работы заключается в том, что:
- разработаны и внедрены в учебный и производственный процесс новые универсальные методики риск-анализа атакуемой СКС;
- определены перспективы практического использования предложенных риск-моделей для повышения защищенности серверов различного назначения, а также - выработаны практические рекомендации для регулирования рисков флуд-атак на эти объекты.
Методы исследования. В исследовании используются методы системно анализа, теории сетей Петри-Маркова, теории вероятностей и математической статистики, математического анализа, методы теории рисков.
На защиту выносятся следующие основные результаты работы:
1. Полученные с помощью сетей Петри-Маркова аналитические оценки вероятности успеха флуд-атак на серверы КС, учитывающие состояния и параметры переходов процесса реализации атаки.
2. Аналитические выражения ущербов, возникающих при реализации атак типа «1М флуд», «8М8-флуд», «БИЗ-флуд», «ЕтаП-флуд» на серверы КС.
3. Риск-модели СКС и рекомендации по регулированию рисков для флуд-атакуемых СКС в условиях противодействия атакам.
Соответствие специальности научных работников. Полученные научные результаты соответствуют следующим пунктам паспорта специальности научных работников 05.13.19 «Методы и системы защиты информации, информационная безопасность»: анализ риска нарушения безопасности и уязвимости процессов переработки информации в информационных системах любого вида и области применения (п. 7); модели противодействия угрозам нарушения информационной безопасности для любого вида информационных систем (п. 8); модели и методы управления информационной безопасностью (п. 15).
Степень достоверности научных положений и выводов, сформулированных в исследовании, подтверждаются тем, что:
- теория построена на известных, проверяемых фактах статистического исследования реализации атак типа «1М-флуд», флуд», «8М8-флуд» и «ЕтаП-флуд» на СКС, что согласуется с опубликованными данными в области риск-анализа;
- использованы сравнения авторских данных с результатами, полученными ранее, в рассматриваемой области, в работах: член-корр. РАН Новикова Д.А. [26, 62, 63], член-корр. РАН Борисова В.И. [13, 84], д. т. н. Остапенко А.Г. [66-70], д.т.н. Калашникова А.О. [31, 33-38, 43-45];
- установлено качественное совпадение авторских результатов с результатами, представленными в работах д.т.н. Зегждой П.Д. [41], д.т.н.
8
Лосем В.П. [11], д.т.н. Калашниковым А.О. [31, 33-38, 43-45], д.т.н. Громовым Ю.Ю. [23, 24] и к.т.н Коваленко Д.М. [50, 51] в области анализа и управлении информационными рисками реализации различных деструктивных информационных воздействий на сетевые структуры;
- использованы современные методики сбора и обработки информации, включая выборочные совокупности численных значений частоты реализации различных флуд-атак, представленные ведущими отечественными и зарубежными организициями в области защиты информации.
Внедрение результатов работы. Полученные основные научные результаты диссертационного исследования используются в ФГБОУ ВПО «Воронежский государственный технический университет» в учебном процессе на кафедре систем информационной безопасности при организации изучения специальных дисциплин в ходе подготовки специалистов по специальности 090301 «Компьютерная безопасность»,
090302 «Информационная безопасность телекоммуникационных систем»,
090303 «Информационная безопасность автоматизированных систем», что подтверждено актом о внедрении в учебный процесс, а также в АО «Конструкторское бюро химавтоматики» для оценки возникающих ущербов при эксплуатации его КС.
Апробация работы. Основные результаты исследований и начных разработок докладывались и обсуждались на Межрегиональной научно-практической конференции «Инновации и информационные риски» (Воронеж - 2013 и 2014 гг), Всероссийской научно-технической конференции «Перспективные исследования и разработки в области информационных технологий и связи» (Воронеж - 2013 и 2014 гг.), Межвузовской неделе науки в сфере информационной безопасности (Воронеж-2013 и 2014 гг.).
Публикации. По теме диссертации опубликовано 15 научных работ, в том числе 9 - в изданиях, рекомендованных ВАК РФ, а также 1 учебное пособие, 1 монография и 1 статья в издании по перечню SCOPUS.
Личный вклад. Все основные результаты работы получены автором самостоятельно. В работах, опубликованных в соавторстве, лично автору принадлежат: подход к обоснованию функции ущерба от атак на коммуникации распределенных систем [150]; аналитические выражения оценки риска атакуемых систем в фиксированном временном интервале [151]; аналитическое обоснование функции ущерба при реализации флуд-атак на почтовый ящик [152]; аналитическая модель реализации атаки с использованием вредоносной программы Email-flooder на почтовый сервер [153]; топологическая модель реализации флуд-атаки на DNS-сервер [154]; подход к управлению эффективностью функционирования систем инновационного характера в условиях реализации на них флуд-атак [155]; аналитическая оценка функции ущерба при реализации атаки с использованием вредоносной программы IM-flooder [156]; аналитическая оценка функции ущерба при реализации атаки «SMS-flood» [157]; аналитические модели реализации атак типа «SMS-flood» и «Email-flood» на канал связи автоматизированной информационной системы [158]; механизмы оценки и регулирования рисков КС при реализации на них атак типа «1М-флуд», «DNS-флуд», «SMS-флуд» и «Email-флуд» [159]; методы оценки рисков социотехнических систем в условиях противодействия деструктивным информационным операциям и атакам [160]; имитационная модель флуд-атаки на информационно-телекоммуникационную систему с использованием вредоносной программы IM-flooder [161]; имитационная модель флуд-атаки на информационно-телекоммуникационную систему с использованием вредоносной программы Email-flooder [162]; имитационная модель флуд-атаки на информационно-телекоммуникационную систему с использованием вредоносной программы SMS-flooder [163]; подходы к
10
оценке и регулированию ущерба, возникающего в КС при реализации атаки типа «Email -flood» [164].
Структура и объем работы. Диссертационная работа состоит из введения, 5 глав, заключения, списка литературы, включающего 164 наименования, двух приложений. Основная часть работы изложена на 177 страницах, содержит 48 рисунков и 5 таблиц. Приложения содержат описание прикладного ПО для анализа ущербов реализации флуд-атак типа «1М-флуд», «DNS-флуд», «SMS-флуд» и «Email-флуд» на СКС, а также, документы, подтверждающие практическое использование и внедрение результатов диссертационного исследования.
1 ФЛУД-АТАКИ КАК УГРОЗА БЕЗОПАСНОСТИ ИНФОРМАЦИИ КОМПЬЮТЕРНЫХ СЕТИ
В главе рассматриваются разновидности флуд-атак и постановка задач исследования.
1.1 Сущность флуд-атак
Флуд (англ. flood — наводнение, затопление) — сообщения в интернет-форумах и чатах, занимающие большие объемы или не несущие никакой полезной информации [100, 105, 109].
В соответствии с вышеприведенным определением, флуд-атаки - это атаки, при реализации которых жертве отправляется большой объем информации, не несущей в себе никакой пользы для получателя.
Согласно статистике Prolexic Technologies, за последние два года средняя мощность флуд-атак возросла на сотни процентов [108]. Тенденция по возрастанию мощности и частоты подобных атак наблюдается на протяжении последних нескольких лет [1, 100-111]. При этом все их многообразие можно свести к двум основным типам [107, 111]:
1) Атаки, направленные на приведение жертвы в недоступное состояние.
К данному типу относится широкое множество DoS/DDoS-атак (DNS-flood, HTTP-flood и др.) которые в настоящее время набирают все большую популярность в силу своей эффективности.
2) Многофункциональные атаки, с помощью которых возможно не только привести жертву в недоступное состояние, но нанести существенный ущерб и без приведения в недоступное состояние путем различных деструктивных воздействий.
Особенностью данных атак является то, что при низкой интенсивности отправки данных они могут использоваться для: отправки
фиктивных сообщений, проведения фишинговых атак, распространения нежелательной рекламы и др. Однако, если увеличить интенсивность отправки вредоносных сообщений, поток информации превышает пропускную способность физических устройств жертвы, что приводит ее в недоступное состояние. Наиболее яркими представителями данной группы атак являются: Email-flood, IM-flood и SMS-flood [41, 43, 52, 60, 97, 104106, 114, 130].
Рассмотрим данные группы более подробно.
1.2 Атаки, направленные на приведение жертвы в недоступное состояние
Одним из наиболее ярких представителей данной группы атак является атака типа «DNS-flood», так как при ее реализации зачастую достигаются рекордные по силе DDoS-атаки [101-103].
Рассмотрим данную группу атак на ее примере.
DNS-flood реализуется с помощью DNS-серверов, которые используются для трансляции доменных имен в IP-адреса и обратно.
Рассмотрим более подробно систему получения информации о доменах DNS.
Каждый хост в сети обладает уникальным IP-адресом, некоторые из них обладают также доменным именем. Также конкретный хост может иметь несколько IP-адресов (у конкретно взятого интерфейса хоста свой адрес или же несколько интерфейсов хоста обладают одним адресом), как и на отдельном IP-адресе может быть зарегистрировано несколько доменных имен.
На заре сети Интернет задача распределения уникальных идентификаторов и имен хостов решалась посредством ведения списков, включающих все компьютеры в сети, копии которых хранились на каждом из хостов, входящих в сеть. Однако, по мере увеличения количества
компьютеров в сети Интернет, возникли проблемы, связанные с увеличением общего количества данных списков, которые необходимо было синхронизировать, что приводило к существенным временным затратам и становилось малоэффективным. На смену данной неудобной схеме была предложена структура имен - DNS. Отличалась она от предшествующей тем, что структура имен и адресов хостов в сети стала иерархической. Основанием данной иерархической структуры имен является точка, так называемый «корень дерева», который един для всех доменов [22, 65, 112].
Как правило, при вводе URL, точка в конце адреса не ставится, однако она используется в описаниях DNS. Здесь точку ставить необходимо. Ниже корня лежат домены первого уровня (зоны). Их немного — com, net, org, mil, biz, info, gov (есть еще несколько) и домены государств, например, ru. Еще ниже находятся домены второго уровня, например, bijid.ru. Еще ниже — третьего и т.д. Уровни разделяются точками [112].
DNS-серверы не является изолированными, каждому их них известны адреса корневых серверов. При поступлении запроса к серверу он либо сам находит необходимую информацию в своей базе данных либо обращается к другому серверу. Адреса DNS-серверов для конкретного пользователя сети указываются провайдером. Пользователь, при отправке запроса, обращается к первичному DNS-серверу, который либо предоставляет необходимую пользователю информацию, в случае ее наличия, либо отправляет пользовательский запрос на вышестоящий сервер. Возникают случаи, когда вышестоящий сервер неизвестен, в этом случае пользовательский запрос отправляется на корневой DNS-сервер. После нахождения необходимой информации, она отправляется по цепочке DNS-серверов в обратную сторону к пользователю [107, 111, 112].
Для DNS запроса и для DNS отклика используется одинаковый формат.
Сообщение содержит фиксированный 12-байтный заголовок, за которым следуют четыре поля переменной длины [102].
Имя запроса (query name) это искомое имя. Оно представляет собой последовательность из одной или нескольких меток. Каждая метка начинается с 1-байтового счетчика, содержащего количество следующих за ним байт. Имя заканчивается байтом равным 0, который является меткой с нулевой длиной. И является, в свою очередь, меткой корня. Каждый счетчик байтов должен быть в диапазоне от 0 до 63, так как длина метки ограничена 63 байтами [102].
У каждого вопроса есть тип запроса (query type), а каждый отклик имеет тип (type). Существует около 20 различных значений, некоторые из которых в настоящее время уже устарели [102].
Согласно документам RFC-1034 и RFC-1035 возможно выделить несколько типов DNS-серверов [112].
По типу откликов на запрос к системе доменных имен их можно подразделить на неавторитативные и авторитативные. Отличаются они типом возвращаемого отклика. Авторитативный отклик возвращается сервером, ответственным за зону, в которой находится информация, необходимую пользователю, а неавторитативный отклик возвращается сервером, не отвечающим за зону, в которой находится пользователь [102, 112].
Также авторитативный отклик могут вернуть либо первичный, либо вторичный DNS-серверы зоны, которые выделяются при регистрации домена в сети, причем вторичных серверов для домена может быть и несколько [102, 105].
Первичный сервер считывает описание доменной зоны, с дисковой памяти хоста и, в соответствии с ней, отвечает на запросы клиента. Описание зоны первичного DNS-сервера является первичным, так как оно изначально задается администратором зоны вручную. Остальные серверы
копируют клиентскую информацию с первичного сервера. Первичный сервер задается один на конкретную зону [102, 105].
Вторичные серверы также являются ответственными за определенную доменную зону. Предназначены вторичные серверы для резервного хранения данных первичного сервера доменных имен на случай выхода его из строя. Также, использование вторичных DNS-серверов позволяет распределить нагрузку между первичным и вторичными серверами. Вторичный сервер настраивается для работы с конкретно взятым первичным DNS-сервером и, в момент запуска, копирует данные с первичного сервера. При изменении данных на первичном сервере, необходимо их обновить и на вторичном сервере [105, 112].
В силу широкой распространенности системы DNS возникли и атаки с использованием серверов, входящих в ее состав, наиболее опасными из которых являются атаки типа «DNS-flood».
Атаки типа «DNS-flood» эволюционировали из обычных DoS/DDoS-атак, для эффективности которых требовалось создать достаточно большое количество запросов (трафика) в сети. DNS-flood атаки, напротив показывают, что сложные их виды могут достигать высокой эффективности при небольшом количестве передачи злоумышленником информации в сети за счет использования DNS-серверов [100, 103, 106].
Основа данных видов атак - простой DNS-флуд: множество хостов злоумышленника посылает массированный поток запросов на целевой DNS-сервер с ложным SRC IP (IP-адрес источника запроса). Стандартный компьютер способен генерировать 1000 запросов в секунду, стандартный DNS-сервер способен обрабатывать 10000 запросов в секунду. Путём несложных вычислений, приходим к выводу: 10 обычных домашних (или не совсем домашних) компьютеров вполне достаточно для выведения DNS-сервера из строя. Притом вычислить злоумышленника будет очень непросто [104, 107].
Атака типа Garbage-DNS основывается на постоянно открытом 53 порту (стандартный порт DNS, иногда используется 80-ый). Схема атаки сводится к отправке злоумышленником (с множества хостов) больших (свыше 1500 байт) сетевых пакетов (не обязательно DNS). Таким образом, всё сводится к обычному DDoS, но на DNS-порт. Преимущество над обычным DDoS состоит в том, что 53-й порт (DNS-порт) всегда открыт в любых организациях, так как необходим для работоспособности DNS-системы [109].
Рекурсивная DNS-атака сводится к выявлению множества несуществующих в кэше DNS-сервера жертвы имён (возможно, фальшивых) и последующая отправка DNS-запросов с именами из этого множества. DNS-сервер, таким образом, вынужден пересылать подобные запросы на все соседние и вышестоящие DNS-сервера с целью получить IP заказанного хоста. В итоге, на каждый запрос сервер вынужден посылать ещё целое множество DNS-запросов другим серверам и принимать ответы от них, на что тратятся иногда в сотни раз большие ресурсы, чем отправка одного DNS-запроса. В итоге, как и в предыдущем типе атак, имея совсем небольшие ресурсы, становится реальным осуществить достаточно мощную DDoS-атаку на DNS-сервер (в отличие от отражённых DNS-атак, целью которых может быть не только DNS-сервер) [109].
1.3 Многофункциональные атаки
Как уже было указано выше, данная группа атак характеризуется тем, что результатом атаки может являться отказ в доступе жертвы либо иные деструктивные воздействия. Одними из наиболее распространенных атак данного типа являются атаки типа: «Email-flood», «IM-flood» и «SMS-flood». Рассмотрим их более подробно.
Атаки типа «Email-flood»
Данные атаки, как правило используются для организации флуда на почтовые сервисы, которые функционируют на базе почтового протокола SMTP [101, 102, 109].
Рассмотрим более подробно протокол SMTP, с помощью которого производится передача электронных писем [22, 112].
Письмо, передаваемое по протоколу SMTP состоит из следующих частей [112]:
1) Заголовок SMTP-протокола, который используется почтовым сервером и теряется при трансляции передаваемого сообщения в не-SMTP протоколы (РОРЗ, IMAP), если пользователь использует их для доступа к почтовому ящику.
Заголовки SMTP содержат, в свою очередь, содержат:
- Имя сервера или компьютера пользователя, обратившегося к серверу - параметр сообщения HELO/EHLO, обычно дополняющийся «объективной» информацией самим сервером (HELO может содержать произвольное имя, а IP-адрес отправителя подделать существенно сложнее), по IP-адресу осуществляется поиск записи в DNS, всё это вместе позволяет идентифицировать отправителя на сетевом уровне.
- Поле MAIL FROM, содержащее адрес отправителя, который может содержать адрес и несуществующего домена.
- Поле RCPT ТО, содержащее адрес получателя и которое, в основном, проверяется на существование данного в сети.
2) Само сообщение, состоящее из:
- Заголовка письма, которые описываются стандартами RFC 2076 и RFC 4021. Заголовки письма отделяются от тела письма пустой строкой. В них, как правило, указываются: список серверов, через которые прошло письмо, информация о схожести данного письма со спамом, уровень срочности письма, программа, с помощью которой было создано письмо. Заголовки письма, за исключением отправителя и получателя письма, темы
18
и даты отправки, как правило, скрываются почтовыми клиентами от пользователя, так как содержат служебную информацию, имеющую мало пользы для конечного пользователя.
- Тела письма, которое, как уже было указано выше, отделяется от заголовка письма пустой строкой, а заканчивается символом перевода строки, согласно стандарту SMTP. В теле сообщения используется 7-битная кодировка ASCII, что приводит к использованию различных методов кодирования (обычно, Base64) для передачи тела письма без искажений на языке, отличном от английского [112].
За обработку писем отвечает почтовый сервер, через который осуществляется все взаимодействие при обращении почтового клиента к определенным порталам через веб-интерфейс [112].
Ключевой частью почтового сервера является агент пересылки почты, который принимает и передает почтовые сообщения. Сам агент зачастую называют также почтовым сервером, он работает по протоколу SMTP, и его одного уже может быть достаточно для создания системы обмена электронными письмами [102].
Получая письмо, агент пересылки почты помещает его в выделенный под конкретного пользователя на сервере почтовый ящик. Для доступа к почтовому ящику используется агент доставки почты, в задачи которого входит, по запросу почтового клиента, передать электронное письмо из почтового ящика на сервере. Агент доставки почты никак не связан с процессом передачи почты, за который отвечает агент пересылки почты и при утрате им работоспособности почту можно получить и другим путем, например, через веб-интерфейс [105].
Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Разработка и исследование риск-моделей SYNflood-A так на серверы компьютерных систем2008 год, кандидат технических наук Андреев, Дмитрий Александрович
Модель и методика обнаружения низкоинтенсивных распределенных атак типа «отказ в обслуживании» в информационно-телекоммуникационных системах2021 год, кандидат наук Тарасов Ярослав Викторович
Метод повышения устойчивости браузеров мобильных устройств к атакам на основе межсайтового выполнения сценариев2013 год, кандидат наук Глабай, Сергей Николаевич
Исследование способов выявления сетевых узлов, участвующих в несанкционированной рассылке сообщений электронной почты2009 год, кандидат технических наук Рудик, Кирилл Петрович
Методики сбора и обработки данных о качестве IP соединений для задач сетевой безопасности2022 год, кандидат наук Майхуб Самара
Список литературы диссертационного исследования кандидат наук Бутузов, Владимир Вячеславович, 2015 год
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Абрамова, Т.В. Моделирование сетевых атак на ресурсы вычислительных систем с использованием принципов самоорганизации [Текст] / Т.В. Абрамова, Т.З. Аралбаев // Сборник трудов конференции «Современные информационные технологии в науке, образовании и практике». - Оренбург: ООО ИПК Университет. - 2014. - С. 109-114.
2. Аверченков, В.И. Автоматизация проектирования комплексных систем защиты информации [Текст] / В.И. Аверченков, М.Ю. Рытов // Информация и безопасность. - 2007. - Т. 10. - Вып. 4. - С. 582584.
3. Адрианов, В.В. Обеспечение информационной безопасности бизнеса [Текст] / В.В. Адрианов, C.JI. Зефиров, В.Б. Голованов, H.A. Голдуев. - М.: ЦИПСиР, 2011.-373 с.
4. Акинин, И.В. Метод оценки рисков для уязвимостей информационных систем, основанный на нечеткой логике [Текст] / И.В. Акинин // Информация и безопасность. - 2014. - Т. 17. - Вып. 3. - С. 468471.
5. Алферов, А.П. Основы криптографии [Текст] / А.П. Алферов, А.Ю. Зубов, A.C. Кузьмин, A.B. Черемушкин - М.: Гелиос АРВ, 2002. -480 с.
6. Аржаков, A.M. Проблемы управления рисками [Текст] / A.M. Аржаков, Ю.В. Ельчанинова, П.Н. Ковалев, Д.М. Коваленко, В.И. Медведев, И.М. Микрюков // Моделирование систем и информационные технологии: межвуз. сб. науч. тр. Воронеж: ИПЦ «Научная книга». - 2010. -Вып. 7.-С. 305-310.
7. Балдин, К.В. Управление рисками: Учеб. Пособие [Текст] / К.В. Балдин, С.Н. Воробьев. - М.: ЮНИТИ-ДАНА, 2005. -511 с.
8. Бандман, 0.J1. Сети Петри и корректность протоколов передачи данных [Текст] / О. JL Бандман // Вычислительные системы: сб. науч. тр. Новосибирск, 985. - Вып. 109. - С. 29-51.
9. Барабанщиков, И.П. Методика оценки доступности системы базовых станций мобильной радиосвязи [Текст] / И.П. Барабанщиков, А.Г. Остапенко, A.B. Якименко // Методы и системы обработки, передачи и защиты информации, информационная безопасность: Тез. докл. регион, науч. конф. молодых ученых. Воронеж: ВГТУ. - 2003. - С. 189.
10. Батищев, Р.В. Методика выбора достаточного набора средств защиты с учетом их влияния на коэффициенты опасности угроз [Текст] / Р.В. Батищев, O.A. Середа, Ю.К. Язов // Информация и безопасность. -2001. -Т. 4. - Вып. 2. - С. 44-47.
И. Белов, Е.Б. Основы информационной безопасности. Учебное пособие для вузов [Текст] / Е.Б. Белов, В.П. Лось, Р.В. Мещеряков, A.A. Шелупанов - М.: Горячая линия-Телеком, 2006. - 544 с.
12. Белоножкин, В.И. Информационные аспекты противодействия терроризму [Текст]: монография / В.И. Белоножкин, Г.А. Остапенко. -Москва: Горячая линия-Телеком, 2009. - 112 с.
13. Борисов, В.И. Аналитическое моделирование процессов реализации удаленных атак при помощи аппарата теории сетей Петри-Маркова: подмена доверенного объекта [Текст] / В.И. Борисов, Н.М. Радько, И.О. Скобелев // Информация и безопасность. - 2008. - Т. 11. -Вып. 2.-С. 189-194.
14. Бугров, Ю.Г. Математическая модель многоканальной системы массового обслуживания, учитывающая однотактные угрозы отказа в обслуживании постоянной интенсивности [Текст] / Ю.Г. Бугров, Н.М. Радько, Д.В. Климачев // Информация и безопасность. - 2007. - Т. 10. -Вып. 2.-С. 325-329.
15. Бурса, М.В. DDOS-атаки на информационно-телекоммуникационные системы: управление рисками [Текст] / М.В.
130
Бурса, Ю.Г. Пастернак // Информация и безопасность. - 2013. - Т. 16. -Вып. 2. - С. 255-256.
16. Бурса, М.В. Имитационное моделирование DDoS-атаки типа «UDP-флуд» на компьютерную систему [Текст] / М.В. Бурса, И.И. Дюрягин // Управление информационными рисками и обеспечение безопасности инфокоммуникационных систем: Сб. науч. тр.; под ред. чл.-корр. РАН В.И. Борисова.-2014.-Вып. 2-С. 131-143.
17. Бурса, М.В. Управление рисками компьютерной системы, подвергающейся SMURF-атаке [Текст] / М.В. Бурса, АЛО. Мещерякова, Д.О. Карпеев // Управление информационными рисками и обеспечение безопасности инфокоммуникационных систем: Сб. науч. тр.; под ред. чл.-корр. РАН В.И. Борисова.-2014.-Вып. 1 -С. 98-116.
18. Бурса, М.В. Управление риском ресурса информационно-телекоммуникационной системы, подвергающейся атакам типа «НТТР-флуд» с точки зрения физических возможностей реального оборудования [Текст] / М.В. Бурса, А.Ю. Мещерякова // Управление информационными рисками и обеспечение безопасности инфокоммуникационных систем: Сб. науч. тр.; под ред. чл.-корр. РАН В.И. Борисова. - 2014. - Вып. 3 -С. 103120.
19. Бутрик, Д.О. Модели реализации распределенных атак типа HTTP-flood на основе аппарата сетей Петри-Маркова [Текст] / Д.О. Бутрик, М.В. Бурса // Управление информационными рисками и обеспечение безопасности инфокоммуникационных систем: Сб. науч. тр.; под ред. чл.-корр. РАН В.И. Борисова. -2013. - Вып. 2 -С. 138-157.
20. Васильев, В.И. Интеллектуальные системы защиты информации: учеб. пособие [Текст] / В.И. Васильев. - М.: Машиностроение, 2012. - 171 с.
21. ГОСТ Р 51901.12-2007 Менеджмент риска. Метод анализа видов и последствий отказов. -М.: Изд-во стандартов, 2007.
22. ГОСТ Р ИСО/МЭК 7498-1-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель - М.: Стандартинформ, 2006.
23. Громов, Ю.Ю. Использование теории возможностей при оценке живучести сетевых информационных структур [Текст] / Ю.Ю. Громов, A.A. Долгов, М.А. Хорохорин, Ю.Ю. Мишин // Информация и без опасность, 2014.-Т.17.-Вып. 1.-С. 62-67.
24. Громов, Ю.Ю. Классификация видов атакующих воздействий на информационную систему [Текст] / Ю.Ю. Громов, В.О. Драчев, В.В. Войтюк, Ю.Ф. Мартемьянов, А.Ю. Громов // Информация и безопасность, 2010. -Т.10. -Вып. 3. - С. 413—418.
25. Грушо, А.А Теоретические основы защиты информации [Текст] / A.A. Грушо, Е.Е. Тимонина - М.: Яхтсмен, 1996. -187 с.
26. Губанов Д.А. Социальные сети: модели информационного влияния, управления и противоборства: под ред. чл.-корр. РАН Д.А. Новикова [Текст] /Д.А. Губанов, Д.А. Новиков, А.Г. Чхартишвили. - М.: ФИЗМАТ, 2010.-228 с.
27. Дешина А.Е. Инновационные технологии регулирования рисков мультисерверных систем в условиях атак комплексного типа [Текст] / А.Е. Дешина, О.Н. Чопоров, К.А. Разинкин // Информация и безопасность, 2013. - Т. 16. - Вып. 3. - С. 371-374.
28. Дешина А.Е. Информационные риски в мультисерверных системах: выбор параметров системы защиты [Текст] / А.Е. Дешина, О.Н. Чопоров, К.А. Разинкин // Информация и безопасность, 2013. - Т. 16. -Вып. З.-С. 365-370.
29. Дешина А.Е. Информуправление рисками мультисерверных систем при проведении DDOS-атак на их компоненты [Текст] / А.Е. Дешина, И.Я. Львович // Перспективные исследования и разработки в области информационных технологий и связи: труды всероссийской конференции. -Воронеж: ВГТУ, 2014. - С. 64.
132
30. Дешина А.Е. Перспективы исследования мультисерверных систем, подвергающихся векторным DDoS-атакам [Текст] / А.Е. Дешина, И.Я. Львович, В.И. Белоножкин, И.В. Шевченко // Информация и безопасность, 2014. - Т. 17. - Вып. 4. - С. 568-573.
31. Дешина, А.Е. Управление информационными рисками мультисерверных систем при воздействии DDoS-атак [Текст] / А.Е. Дешина, М.В. Бурса, А.Г. Остапенко, А.О. Калашников, Г.А. Остапенко; под ред. чл.-корр. РАН Д.А. Новикова. - Воронеж: Научная книга, 2014. -160 с.
32. Дынкин, Е.Б. Марковские процессы [Текст] / Е.Б. Дынкин - М.: Государственное издательство физико-математической литературы, 1963. - 860 с.
33. Ермилов Е.В. К вопросу о построении математических моделей атак на АСУ критически важных объектов [Текст] / Е.В. Ермилов, А.О. Калашников//Информация и безопасность. -2013. -Т.16. -№ 1. - С. 135136.
34. Ермилов, Е. В. Формализация процесса управления рисками в информационно-технологической инфраструктуре критически важного объекта [Текст] / Е.В. Ермилов, А.Г. Остапенко, А.О. Калашников, H.H. Корнеева // Информация и безопасность, 2014. - Т. 17. - Вып. 2. - С. 7-23.
35. Ермилов, Е.В. Информационно-технологическая инфраструктура критически важного объекта: специфика регулирования рисков и защита [Текст]: тезисы / Е.В. Ермилов, А.О. Калашников, H.H. Корнеева, Ю.Г. Пастернак // 4 Воронежский форум инфокоммуникационных и цифровых технологий. «Перспективные исследования и разработки в области информационных технологий и связи». - Воронеж, 2014. - С.59.
36. Ермилов, Е.В. Методика управления информационными рисками атакуемых автоматизированных систем управления критически
важных объектов [Текст] / Е.В. Ермилов, А.О. Калашников // Информация и безопасность, 2013.-Т. 16.-Вып. З.-С. 379-382.
37. Ермилов, Е.В. Построение функций ущерба и риска для компьютерных атак, приводящих к нарушению доступности к информации [Текст] / Е.В. Ермилов, Г.А. Остапенко, А.О. Калашников // Информация и безопасность, 2013. - Т. 16. - Вып. 2. - С. 207-210.
38. Ермилов, Е.В. Управление информационными рисками при атаках на АСУ ТП критически важных объектов [Текст]: учеб. Пособие / Е.В. Ермилов, А.О. Калашников О.Н. Чопоров К.А. Разинкин Н.И. Баранников H.H. Корнеева. - Воронеж, ВГТУ. 2013. - 82 с.
39. Ермилов, Е.В. Функции ущерба риска при описании отказов информационных систем критически важных объектов [Текст] / Е.В. Ермилов, Г.А. Остапенко, А.О. Калашников // Информация и безопасность, 2013.-Т. 16.-Вып. 2.-С. 247-248.
40. Заворыкин, A.C. Моделирование атак на беспроводные сети wi-fi [Текст] / Заворыкин A.C., Корнеева Н.Н, Толстых H.H., Юрасов В.Г., Белоножкин В.И. // Информация и безопасность. - 2013. - Т. 16. - Вып. 4. - С. 486-489.
41. Зегжда, П. Д. Основы информационной безопасности: монография [Текст] / П.Д. Зегжда, Е.А. Рудина. - СПб.: Изд-во Политехи, ун-та, 2008. - 224 с.
42. Иванкин, Е.Ф. Инновационные платежные системы на основе банковских карт: методы снижения информационных рисков [Текст] / Е.Ф. Иванкин, М.М. Жуков, Р.В. Менжулин // Информация и безопасность. -2012.-Т. 15.-Вып. З.-С. 299-312.
43. Калашников А.О. Атаки на информационно-технологическую инфраструктуру критически важных объектов: оценка и регулирование рисков [Текст]: монография / А.О. Калашников, Е.В. Ермилов, О.Н. Чопоров, К.А. Разинкин, Н.И. Баранников; под ред. чл.-корр. РАН Д.А. Новикова. - Воронеж: Научная книга. 2013. 160 с.
134
44. Калашников А.О. Модели и методы организационного управления информационными рисками корпораций [Текст] / А.О. Калашников // Информация и безопасность. - 2011. - Т. 14. - № 2. - С. 259266.
45. Калашников, А.О. Организационные механизмы управления информационными рисками корпораций [Текст] / А.О. Калашников - М.: ПМСОФТ, 2008.- 175 с.
46. Карпеев, Д.О. Анализ и управление рисками: исследование в контексте обеспечения безопасности • информационных систем [Текст] / Д.О. Карпеев // Современные информационные технологии в науке, образовании и практике: материалы VI Всерос. науч.-практ. конф. (с междунар. участием). - Оренбург: ИПК ГОУ ОГУ, 2007. - С. 306-307.
47. Карпеев, Д.О. Исследование процессов обеспечения безопасности информационных систем в контексте анализа и управления рисками [Текст] / Д.О. Карпеев // Передача, прием, обработка и защита информации, информационная безопасность: материалы регион, науч.-практ. конф. - Воронеж: ВГТУ, 2007. - С. 620.
48. Карпеев, Д.О. Стратегии управления рисками в социотехнических информационных системах [Текст] / Д.О. Карпеев, Г.А. Остапенко, В.И. Белоножкин // Информация и безопасность: региональный научно-технический журнал - Воронеж, 2006. - Вып. 2. - С. 133-134.
49. Карпеев, Д.О. Управление информационными рисками социотехнических информационных систем [Текст] / Д.О. Карпеев, O.A. Остапенко // ЮниорИнфоСофети: материалы V регион, конф. - Воронеж: ВГТУ, 2006.-С. 139.
50. Коваленко, Д.М. Социально-информационные системы: деструктивные воздействия на их пользователей и риск модели последствий подобных операций [Текст] / Д.М. Коваленко, Г.А. Остапенко, М.А. Баленко, H.H. Толстых // Информация и безопасность, 2011. - Т.14. - Вып. 3. - С. 381-390.
51. Коваленко, Д.М. Теоретико-игровая риск-модель информационного противоборства субъектов социальных информационных сетей [Текст] / Д.М. Коваленко // Информация и безопасность, 2011. - Т. 14. - Вып. 4. - С. 599-602.
52. Козачок, В.И. Особенности разработки распределенных систем обнаружения компьютерных атак для высокоскоростных сетей связи [Текст] / В.И. Козачок, А.Г. Мацкевич, C.B. Морковин // Информация и безопасность. - 2014. - Т. 17 - Вып. 2 - С. 236-239.
53. Котенко И.В. Имитационное моделирование механизмов защиты от бот-сетей [Текст] / И.В. Котенко, A.M. Коновалов, A.B. Шоров // Труды СПИИРАН. - 2011. - Вып. 4. - С. 7-33.
54. Котов, В.Е. Сети Петри [Текст] / В.Е. Котов - М.: Наука. Главная редакция физ.-мат. Литературы, 1984. -160 с.
55. Куликов, С.С. Исследование характеристик уязвимостей информационно-телекоммуникационных систем [Текст] / С.С. Куликов, В.И. Белоножкин // Информация и безопасность. - 2013. - Т. 16. - Вып. 2. - С. 257-258.
56. Куликов, С.С. Управление информационной безопасностью информационно-телекоммуникационных систем, подвергающихся атакам типа «сетевой шторм» [Текст] / С.С. Куликов // Управление информационными рисками и обеспечение безопасности инфокоммуникационных систем: Сб. науч. тр.; под ред. чл.-кор. РАН В.И. Борисова. -2013.- Вып. 1. - С. 32-^7.
57. Ланкин, О.В. Оценка качества информационной деятельности в условиях обеспечения защищенности речевой информации [Текст] / О.В. Ланкин, С.Ю. Рослов, A.B. Любченков // Информация и безопасность. — 2014. - Т. 17 - Вып.4 - С. 618-622.
58. Малюк, A.A. Теория защиты информации. Монография [Текст] / A.A. Малюк-М.: Горячая линия-Телеком, 2012. -184 с.
59. Менжулин, Р.В. Сети Петри, иллюстрирующие мошенническую операцию с банкоматом посредством внедрения вируса, как разновидность деятельности инсайдеров [Текст] / Р.В. Менжулин, Д.М. Коваленко // Информация и безопасность. - 2009. - Т. 12. - Вып. 4. - С. 619-621.
60. Меньших В.В. Моделирование возникновения угроз информационной безопасности на объекте информатизации [Текст] /В.В. Меньших, О.В. Толстых // Информация и безопасность, 2011. - Т. 14. -Вып. 1.-С. 117-120.
61. Минаев, В.А. Основы информационной безопасности: Учебник [Текст] / В.А. Минаев, C.B. Скрыль, А.П. Фисун, В.Е. Потанин, C.B. Дворянкин. - Воронеж: Воронежский институт МВД России, 2000. - 464 с.
62. Новиков Д.А. Управление информационными рисками в инновационной России [Текст] / Д.А. Новиков, А.О. Калашников // Информация и безопасность. - 2013. - Т. 16.-№3.-С. 319-322.
63. Новиков, Д.А. Прикладные модели информационного управления [Текст] / Д.А. Новиков, А.Г. Чхартишвили - М.: Институт проблем управления им. В.А. Трапезникова РАН, 2004. - 129 с.
64. Носов, JÏ.C. Оценка защищённости СВТ путём моделирования канала ПЭМИН [Текст] / JI.C. Носов // Математические структуры и моделирование. - 2014. - № 4 - С. 254-257.
65. Олифер В., Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов [Текст]. 4-е изд. / В. Олифер, Н. Олифер -СПБ.: Питер, - 2010. -944 е.: ил.
66. Остапенко А.Г. Жизнестойкость атакуемых распределенных систем: оценка рисков фатальных отказов компонентов [Текст]: монография / А.Г. Остапенко, Д.Г. Плотников, О.Ю. Макаров, Н.М. Тихомиров, В. Г. Юрасов; под ред. чл.-корр. РАН Д.А. Новикова. -Воронеж: Научная книга, 2013. - 160 с.
67. Остапенко Г.А. Информационные ресурсы инновационных проектов: риск-моделирование в условиях DDoS-атак [Текст] / Г.А. Остапенко, М.В. Бурса, Е.А. Попов, С.С. Вяхирева // Информация и безопасность. - 2012. - Т. 15. - Вып. 3. - С. 345-352.
68. Остапенко Г.А. Концептуальный подход к расчету и регулированию рисков нарушения актуальности информации в элементах критической информационной инфраструктуры [Текст] / Г.А. Остапенко, А.Н. Шершень, А.О. Калашников // Информация и безопасность. - 2013. -Т.16. -№ 2. - С. 239-242.
69. Остапенко Г.А. Построение функций ущерба и риска для компьютерных атак, приводящих к нарушению доступности к информации [Текст] / Г.А. Остапенко, Е.В. Ермилов, А.О. Калашников // Информация и безопасность. -2013. - Т. 16. - Вып. 2. - С. 207-210.
70. Остапенко Г.А. Риск-модель инновационного проекта, функционирующего в условиях угроз реализации DDoS-атак [Текст] / Г.А. Остапенко, М.В. Бурса, H.H. Толстых // Информация и безопасность. -2013. - Т. 16.-Вып. 3.-С. 443-444.
71. Остапенко, А.Г. К вопросу об управлении рисками распределенных информационных систем [Текст] / А.Г. Остапенко, Д.Г. Плотников, АЛО. Дуплищева // Информация и безопасность. - 2010. - Т. 13. -Вып. 2.-С. 259-260.
72. Остапенко, А.Г. Риск-анализ информационно-телекоммуникационных систем, подвергающихся атакам типа «сетевой шторм»: монография [Текст] / А.Г. Остапенко, С.С. Куликов, H.H. Толстых, Ю.Г. Пастернак, Ю.Е. Дидюк; под ред. чл.-кор. РАН Д.А. Новикова. - Воронеж: Научная книга, 2013. - 160 с.
73. Остапенко, Г.А. Информационные операции и атаки в социотехнических системах [Текст] / Г.А. Остапенко; под ред. В.И. Борисова. -М.: Горячая линия-Телеком, 2006. - 134 с.
74. Остапенко, Г.А. Информационные операции и атаки в социотехнических системах. Организационно-правовые аспекты противодействия [Текст] / Г.А. Остапенко, Е.А. Мешкова. - М.: Горячая линия-Телеком, 2008. -208 с.
75. Остапенко, Г.А. Информационные операции и атаки в социотехнических системах: организационно-правовые аспекты противодействия [Текст]: монография / А. Г. Остапенко, Е.А. Мешкова. -Москва: Горячая линия-Телеком, 2009. - 134 с.
76. Остапенко, Г.А. Информационные риски в социальных сетях: монография [Текст] / Г.А. Остапенко, JI.B. Паринова, В.И. Белоножкин, И.Л. Батаронов, К.В. Симонов; под ред. чл.-корр. РАН Д.А. Новикова. -Воронеж: Научная книга, 2013. - 160 с.
77. Остапенко, Г.А. Информационные технологии и системы государственного и муниципального управления (в условиях противодействия информационным операциям и атакам) [Текст] / Г.А. Остапенко - Воронеж: МИКТ, 2008. Ч. 1. - 202 с.
78. Остапенко, Г.А. Информационные технологии и системы государственного и муниципального управления (в условиях противодействия информационным операциям и атакам) [Текст] / Г.А. Остапенко - Воронеж: МИКТ, 2008. Ч. 2. - 190 с.
79. Остапенко, Г.А. К вопросу об оценке ущерба и жизнестойкости атакуемых распределенных информационных систем: развитие методического обеспечения [Текст] / Г.А. Остапенко, Д.Г. Плотников, Н.Ю. Щербакова, B.C. Зарубин // Информация и безопасность. - 2013. - Т. 16. -Вып. 1.-С. 141-142.
80. Остапенко, Г.А. Методика синтеза топологических моделей деструктивных воздействий на информационные системы [Текст] / Г.А. Остапенко // Информация и безопасность. - 2003. - Т. 6. - Вып. 2. - С. 136-139.
81. Остапенко, Г. А. Оценка защищенности ресурсов информационно-телекоммуникационных систем, подвергающимся DDoS-атакам [Текст] / Остапенко Г.А., Бурса М.В., Баранников Н.И., Батаронов И.Л.//Информация и безопасность. -2013. -Т. 16.-Вып. 4.-С. 496-497.
82. Остапенко, Г.А. Риски распределенных систем: методики и алгоритмы оценки и управления [Текст] / Г.А. Остапенко, Д.О. Карпеев, Д.Г. Плотников, Р.В. Батищев, И.В. Гончаров, П.А. Маслихов, Е.А. Мешкова, Н.М. Морозова, С.А. Рязанов, Е.В. Субботина, В.А. Транин // Информация и безопасность. - 2010. -Т. 13. - Вып. 4. - С. 485-530.
83. Остапенко, Г.А. Способы регулирования рисков распределенных систем [Текст] / Г.А. Остапенко, П.А. Маслихов, Е.В. Субботина // Информация и безопасность. - 2010. - Т. 13. - Вып. 3. - С. 435-438.
84. Остапенко, Г.А. Управление информационными рисками распределенных систем: актуальные направления исследований [Текст] / Г.А. Остапенко, В.И. Борисов // Системы управления и информационные техонологии: научный технический журнал. М., 2011. - Вып. 1. - С. 163167.
85. Остапенко, O.A. Динамическая постановка задачи оценки и управления рисками [Текст] / O.A. Остапенко, Д.О. Карпеев // Инновации, риски, безопасность: межрегион, науч.-практ. конф. - Воронеж: МИКТ, 2008. С. 67-68.
86. Пархоменко, А.П. Алгоритмы управления рисками мошеннических операций с банковскими картами в общегосударственном масштабе [Текст] / А.П. Пархоменко // Информация и безопасность. -2006. -Т. 9. -Вып. 2.-С. 110-115.
87. Петренко, С.А. Управление информационными рисками: Экономически оправданная безопасность. [Текст] / С.А. Петренко, C.B. Симонов - М.: АйТи-Пресс, 2004. -381 с.
88. Плотников, Д.Г. Риск-оценки выживаемости ОКБ-серверов при фатальных отказах [Текст] / Д.Г. Плотников // Управление информационными рисками и обеспечение безопасности инфокоммуникационных систем: сб. науч. тр. под ред. чл.-корр. РАН В.И. Борисова. - Воронеж: Научная книга. 2013. - С. 105-120.
89. Попов, Г.А. Модель анализа эмпирических данных в системых безопасности [Текст] / Г.А. Попов // Вестник Астраханского государственного технического университета. - 2010. -Вып. 1. - С. 54-61.
90. Радько, Н.М. Алгоритм управления рисками применительно к распределенным компьютерным системам [Текст] / Н.М. Радько, Д.В. Дворядкина, Ю.С. Науменко, И.О. Скобелев // Безопасность распределенных систем: инструментарий оценки и регулирования рисков: материалы регион, науч.-практ. конф. Информация и безопасность. -Воронеж: ВГТУ, 2010. - Т.Н. - Вып.1. - С. 94-100.
91. Радько, Н.М. Аналитическое моделирование непосредственного доступа в операционную среду компьютера посредством подбора паролей [Текст] / Н.М. Радько, Ю.К. Язов // Информация и безопасность. - 2008. -Т. 11. -Вып. 1.-С. 55.
92. Радько, Н.М. Аналитическое моделирование процессов реализации удаленных атак при помощи аппарата теории сетей Петри-Маркова: внедрение ложного объекта путем навязывания ложного маршрута [Текст] / Н.М. Радько, И.О. Скобелев // Информация и безопасность.-2008. -Т.П. -Вып. 3.-С. 443-447.
93. Радько, Н.М. Аналитическое моделирование процессов реализации удаленных атак при помощи аппарата теории сетей Петри-Маркова: отказ в обслуживании БУК-Поос! [Текст] / Н.М. Радько, И.О. Скобелев // Информация и безопасность. - 2008. - Т. 11. - Вып. 4. - С. 451-455.
94. Радько, Н.М. К вопросу о выборе мер защиты для различных типов информационно-телекоммуникационных систем [Текст] / Н.М.
141
Радько, И.О. Скобелев, Д.Г. Плотников // Информация и безопасность. -2010. -Т. 13. -Вып. 1.-С. 55-65.
95. Радько, Н.М. Моделирование с помощью сетей Петри-Маркова непосредственного доступа в операционную среду компьютера путем подбора паролей на вход с применением в качестве меры защиты увеличение длины пароля [Текст] / Н.М. Радько, Ю.К. Язов // Информация и безопасность.-2008. -Т.П. - Вып. 1. - С. 140.
96. Радько, Н.М. Оценка отказоустойчивости узлов автоматизированных систем и доступности информации: статистический риск-анализ и управление защищенностью [Текст] / Н.М. Радько, Д.М. Фурсов, Д.А. Андреев // Информация и безопасность. - 2007. - Т. 10. -Вып. 2.-С. 359.
97. Радько, Н.М. Риск-модели информационно-телекоммуникационных систем при реализации угроз удаленного и непосредственного доступа [Текст]: монография / Н.М. Радько, И.О. Скобелев. - Москва: РадиоСофт. 2010. - 232 с.
98. Радько, Н.М. Сети Петри в описании атак на информационно-телекоммуникацоинные системы [Текст] / Н.М. Радько // Информация и безопасность. -2007. -Т. 10. -Вып. 2. - С. 362-364.
99. Радько, Н.М. Сущность аналитического моделирования процессов реализации удаленных атак при помощи аппарата теории сетей Петри-Маркова: отказ в обслуживании SYN-FLOOD [Текст] / Н.М. Радько, И.О. Скобелев // Проблемы обеспечения безопасности систем: сб. тр. межрегион, науч.-практ. конф. - Воронеж, 2008, С. 53-57.
100. Сайт компании «Akamai» [Электронный ресурс]. - Режим доступа: http://www.akamai.com.
101. Сайт компании «Arbor Networks» [Электронный ресурс]. -Режим доступа: http://www.arbornetworks.com.
102. Сайт компании «Cisco Systems» [Электронный ресурс]. -Режим доступа: http://www.cisco.com.
142
103. Сайт компании «ESET» [Электронный ресурс]. - Режим доступа: http://www.esetnod32.ru.
104. Сайт компании «McAfee» [Электронный ресурс]. - Режим доступа: http://www.mcafee.com.
105. Сайт компании «Microsoft» [Электронный ресурс]. - Режим доступа: http://www.microsoft.com.
106. Сайт компании «Panda Security» [Электронный ресурс]. -Режим доступа: http://www.pandasecurity.com.
107. Сайт компании «Positive Technologies» [Электронный ресурс].
- Режим доступа: http://www.securitylab.ru.
108. Сайт компании «Prolexic Technologies» [Электронный ресурс].
- Режим доступа: http://www.prolexic.com/.
109. Сайт компании «Radware» [Электронный ресурс]. - Режим доступа: http://security.radware.com.
110. Сайт компании «Symantec Corporation» [Электронный ресурс].
- Режим доступа: http://www.symantec.com.
111. Сайт компании «Лаборатория касперского» [Электронный ресурс]. - Режим доступа: http://www.kasperskv.ru.
112. Сайт сообщества Internet Engineering Task Force [Электронный ресурс]. - Режим доступа: https://www.ietf.org.
ИЗ. Смолькина, Е.Е. Аналитические вероятностные модели реализации атак на dns-серверы [Текст] / Смолькина Е.Е., Остапенко А.Г., Баранников Н.И., Батаронов И.Л. // Информация и безопасность. — 2013. — Т. 16.-Вып. 4.-С. 596-603.
114. Стрельцов, A.A. Обеспечение информационной безопасности России. Теоретические и методологические основы [Текст] / A.A. Стрельцов; под. ред. В.А. Садовничего и В.П. Шестюка. - М.: МЦНМО, 2002. -296 с.
115. Студенников, К.О. Исследование зависимостей информационного риска от параметров байесовской сети [Текст] / К.О.
143
Студенников, В.Н. Лопин // Информация и безопасность. - 2013. - Т. 16. -Вып. 3. - С. 419-422.
116. Тарасов, A.A. Функциональная реконфигурация отказоустойчивых систем. Монография [Текст] / A.A. Тарасов - М.: Логос, 2012.- 152 с.
117. Тарасов, Я.В. Моделирование и исследование низкоинтенсивных DOS-атак на BGP-инфраструктуру [Текст] / Я.В. Тарасов, О.Б. Макаревич // Известия Южного федерального университета. Технические науки. -2013. -№12. - С. 101-111.
118. Тишков, С.А. Актуальность риск-анализа компьютерных систем при отказах в обслуживании [Текст] / С.А. Тишков, Р.В. Батищев // Современные информационные технологии в науке, образовании и практике. Материалы VII Всерос. науч.-практ. конф. с междунар. участием. - Оренбург, 2008. - С. 154-155.
119. Тишков, С.А. Динамические модели риска отказов в обслуживании [Текст] / С.А. Тишков, А.Г. Остапенко // Информация и безопасность.-2008. -Т. 11. -Вып. 4. - С. 609-610.
120. Тишков, С.А. Исследование возможностей регулирования рисков автоматизированных систем при защите от атак типа «отказ в обслуживании» [Текст] / С.А. Тишков // Информация и безопасность. -2009. -Т. 12. -Вып. 1. - С. 25-38.
121. Тишков, С.А. Концепция риск-анализа отказов в обслуживании автоматизированных систем [Текст] / С.А. Тишков // Информация и безопасность.-2008. -Т.П. -Вып. 4. - С. 623.
122. Тишков, С.А. Обобщенная постановка задачи стохастического моделирования отказов в обслуживании для автоматизированных систем [Текст] / С.А. Тишков // Информация и безопасность. - 2008. - Т. 11. -Вып. З.-С. 469.
123. Тишков, С.А. Риск-модели распределенных атак отказа в обслуживании [Текст] / С.А. Тишков // Информация и безопасность. -2008. -Т.П. -Вып. 4.-С. 613-614.
124. Ференец, С.С. Анализ стека протоколов TCP/IP с позиций защиты информации в информационно-телекоммуникационных системах [Текст] / С.С. Ференец, Р.В. Батищев, Г.А. Остапенко // Информация и безопасность.-2001. -Т. 4. -Вып. 2. - С. 75-79.
125. Фисун, А.П. Теоретические основы информатики и информационная безопасность [Текст] / А.П. Фисун, В.А. Минаев, В.H Саблин. - М.: Радио и связь, 2000. - 468 с.
126. Цыбуля, C.B. Введение в структурный анализ нанокристалов: учеб. пособие [Текст] / C.B. Цыбуля, C.B. Черепанова - Новосибирск: ФГБОУ ВПО «Новосибирский государственный университет», 2008. - 92 с.
127. Шершень А.Н. Обоснование выбора функции ущерба и риска нарушения актуальности информации [Текст] / А.Н. Шершень, А.О. Калашников // Информация и безопасность. - 2013. - Т. 16. - № 1. - С. 111114.
128. Шивдяков JI.A. Порядок расчета частных показателей оценки состояния обеспечения безопасности информации в АС [Текст] / JI.A. Шивдяков, К.С. Беляев, Ю.К. Язов // Информация и безопасность. — 2010. — Т.13.-№2.-С. 305-306.
129. Шиверский, A.A. Защита информации: проблемы теории и практики [Текст] / A.A. Шиверский -М.: Юристь, 1996. -112 с.
130. Шишкин, Н.В. Алгоритм обнаружения вредоносных программ на основе анализа их поведения [Текст] / Н.В. Шишкин, Мацкевич Е.Е., Козачек A.B. // Информация и безопасность. - 2012. - Т. 15. - Вып. 3. - С. 353-360.
131. Щербаков В.Б. Имитационная модель процесса перехвата информации при ее обработке в информационной системе, построенной с
145
использованием беспроводной технологии IEEE 802.11В [Текст] / В.Б. Щербаков, Ю.К. Язов, Г.В. Кретинин // Информация и безопасность. -
2012. -Т.15. -№ 1.-С. 15-22.
132. Щербаков, В.Б. Безопасность беспроводных сетей: стандарт IEEE 802.11 [Текст]: монография / В.Б. Щербаков, С.А. Ермаков. - Москва: РадиоСофт, 2010.-255 с.
133. Щербаков, В.Б. Риск-анализ атакуемых беспроводных сетей [Текст]: монография/ В.Б. Щербаков, С.А. Ермаков, Н.С. Коленбет; под ред. чл.-корр. РАН Д.А. Новикова. - Воронеж: Научная книга, 2013. - 160с.
134. Язов Ю.К. Марковские модели процессов реализации сетевых атак типа «отказ в обслуживании» [Текст] / Ю.К. Язов, A.A. Бурушкин, А.П. Панфилов // Информация и безопасность. - 2008, - Т. 14. - Вып. 1. -С.79-84.
135. Язов Ю.К. Метод формализации процесса несанкционированного доступа в ИС, построенных с использованием средств виртуализации, основанный на математическом аппарате сетей Петри [Текст] / Ю.К. Язов, A.B. Бабурин // Информация и безопасность. -
2013. - Т.16. - № 4. - С. 518-522.
136. Якименко, A.B. Источники и способы реализации угроз доступности элементов систем сотовой связи стандарта GSM [Текст] / A.B. Якименко, А.Г. Остапенко // Информация и безопасность. - 2004. - Т. 7. -Вып. 1.-С. 137137. Якименко, A.B. Методика оценки важности базовых станций с
позиций доступности сотовых систем связи [Текст] / A.B. Якименко, А.Г. Остапенко // Радиолокация, навигация, связь: X Междунар. науч.-техн. конф. Воронеж, 2004. - Т.2. - С.1233-1240.
138. Якимерко, A.B. Методика оценки информационной безопасности систем сотовой связи по критерию доступности [Текст] / A.B. Якименко, И.В. Мариевич // Информация и безопасность. - 2003. - Т. 6. -Вып. 1.-С. 74-77.
139. A taxonomy of DDoS attack and DDoS defense mechanisms Jelena Mirkovic, Peter Reiher. ACM SIGCOMM Computer Communication Review Volume 34 Issue 2, 2004, pp. 39-53.
140. Anatomy of a DNS DDoS Amplification Attack [Электронный ресурс]. - Режим доступа: http://www.watchguard.eom/infocenter/editorial/41649.asp.
141. Deshina A.E. Approach to Parametric Synthesis of a Multiserver System with Predefined Risk: World Applied Sciences Journal. - 2014. - № 11 (12). / Deshina A.E., Ostapenko A.G., Ostapenko G.A., Ushkin I. A. - C. 390393.
142. Ermakov S.A. Optimization of expert methods used to analyze information security risk in modern wireless networks / S.A. Ermakov, N.S. Kolenbet, A.G. Ostapenko, A.O Kalashnikov, A.S. Zavorykin // Life Science Journal.-2014.-23 (9).-P. 1239-1244.
143. Kalashnikov A.O. Ensuring the Security of Critically Important Objects and Trends in the Development of Information Technology: World Applied Sciences Journal. - 2013. - №25 (3). / Kalashnikov A.O., Yermilov Y.V., Choporov O.N., Razinkin K.A., Barannikov N.I. - C. 399-403.
144. Ostapenko A.G Denial of Service in Components of Information Telecommunication Systems through the Example of «Network Storm» Attacks / A.G. Ostapenko, S.S. Kulikov, N.N. Tolstykh, Y.G. Pasternak, L.G. Popova // World Applied Sciences Journal. -2013. -№25(3). - C. 404^109.
145. Ostapenko A.G. Flood-attacks within the hypertext information transfer protocol: damage assessment and management / A.G. Ostapenko, M.V. Bursa, G.A. Ostapenko, D.O. Butrik // Biosciences biotechnology research Asia. - 2014. - Vol. 11 (Spl.Edn.).- P. 173-176.
146. Ostapenko A.G. The usefulness and viability of systems: Assessment methodology taking into account possible damages / A.G. Ostapenko, E.F. Ivankin, V.S. Zarubin, A.V. Zaryaev // World Applied Sciences Journal. -2013.-25 (4). - P. 675-679.
147. Ostapenko G. A. Analytical estimation of the component viability of distribution automated information data system / G.A. Ostapenko, D.G. Plotnicov, O.Y Makarov, N.M. Tikhomirov, V.G. Yurasov // World Applied Sciences Journal. - 2013. - 25 (3). - P. 416-420.
148. Ostapenko G.A. Analytical models of information-psychological impact of social information networks on users / G.A. Ostapenko, L.V. Parinova, V.I. Belonozhkin, I.L. Bataronov, K.V. Simonov // World Applied Sciences Journal. -2013. -25 (3). - P. 410-415.
149. Radko N.M. Peak Risk Assessing The Process of Information Epidemics / Expansion N.M. Radko, A.G. Ostapenko, S.V. Mashin, O.A. Ostapenko, A.S. Avdeev // Biosciences biotechnology research Asia. -November, 2014. - Vol.11 (Spl. Edn.). - P. 251-255.
Основные результаты диссертационной работы опубликованы в
следующих работах: Публикации в изданиях, рекомендованных перечнем ВАК РФ
150. Бутузов, В.В. К вопросу обоснования функции ущерба атакуемых систем [Текст] /В.В. Бутузов, А.В. Заряев // Информация и безопасность.-2013.-Т. 16.-Вып. 1.-С. 47-54.
151. Бутузов, В.В. Риск-Анализ в интервале времени: некоторые приложения [Текст] / В.В. Бутузов, Л.Г. Попова // Информация и безопасность.-2013.-Т. 16.-Вып. 1.-С. 137-138.
152. Бутузов, В.В. Функция ущерба для флуд-атаки на почтовый ящик [Текст] / В.В. Бутузов, П.А. Паринов // Информация и безопасность. -2014.-Т. 17.-Вып. 1.-С. 30-37.
153. Бутузов, В.В. Моделирование процесса флуд-атаки на почтовый сервер: использование вредоносной программы Email-flooder [Текст] / В.В. Бутузов, П.А. Паринов // Информация и безопасность. -2014.-Т. 17.-Вып. 1.-С. 80-83.
154. Бутузов, B.B. Топологическое моделирование Flood-атаки на DNS-сервер [Текст] / В.В. Бутузов, Р.В. Бобрешов // Информация и безопасность.-2014.-Т. 17.-Вып. 1.-С. 84-87.
155. Остапенко, А.Г. Основы риск-анализа и управления эффективностью флуд-атакуемых информационных систем [Текст] / А.Г. Остапенко, В.В. Бутузов, И.В. Шевченко // Информация и безопасность. -2014.-Т. 17.-Вып. 1.-С. 88-91.
156. Бутузов, В.В. Обоснование выбора функции ущерба, возникающего при атаке с использованием вредоносной программы IM-flooder [Текст] / В.В. Бутузов, В.Е. Трощенко // Информация и безопасность.-2014.-Т. 17.-Вып. 1.-С. 108-111.
157. Бутузов, В.В. Оценка ущерба при атаке типа «SMS-flood» [Текст] /В.В. Бутузов, A.A. Савонин // Информация и безопасность. -2014.-Т. 17.-Вып. 1.-С. 112-115.
158. Бутузов, В.В. Моделирование процесса реализации атаки, с помощью SMS, E-Mail флудов на канал связи автоматизированной информационной системы [Текст] / В.В. Бутузов, A.B. Завальский, A.B. Заряев // Информация и безопасность. - 2014. - Т. 17. - Вып. 2. - С. 220223.
Книги
159. Бутузов В.В. Информационные риски флуд-атакуемых компьютерных систем / В.В. Бутузов, М.В. Бурса, А.Г. Остапенко, А.О. Калашников, Г.А. Остапенко; под ред. чл.-корр. РАН Д.А. Новикова. -Воронеж: Научная книга, 2015. - 160 с.
160. Остапенко, O.A. Риски систем : учеб. пособие [Электронный ресурс] / Г.А. Остапенко, O.A. Остапенко, Е.А. Попов, В.В. Бутузов. -Воронеж: ФГБОУ ВПО «Воронежский государственный технический университет», 2013.
Статьи и материалы конференций
161. Бутузов, В.В. Описание имитационной модели флуд-атаки на информационно-телекоммуникационную систему с использованием вредоносной программы IM-flooder [Текст] / В.В. Бутузов, В.Е. Трощенко // Управление информационными рисками и обеспечение безопасности инфокоммуникационных систем: Сб. науч. тр.; под ред. чл.-корр. РАН В.И. Борисова. - 2014. - Вып. 2 -С. 77-87.
162. Бутузов, В.В. Описание имитационной модели флуд-атаки на информационно-телекоммуникационную систему с использованием вредоносной программы Email-flooder [Текст] / В.В. Бутузов, П.А. Паринов // Управление информационными рисками и обеспечение безопасности инфокоммуникационных систем: Сб. науч. тр.; под ред. чл.-корр. РАН В.И. Борисова. - 2014. - Вып. 2 -С. 137-151.
163. Бутузов, В.В. Флуд-атаки на информационно-телекоммуникационную систему с использованием вредоносной программы SMS-flooder: имитационная модель [Текст] / В.В. Бутузов, A.A. Савонин // Управление информационными рисками и обеспечение безопасности инфокоммуникационных систем: Сб. науч. тр.; под ред. чл.-корр. РАН В.И. Борисова. -2014. - Вып. 3 -С. 4-19.
Публикации в изданиях по перечню SCOPUS
164. Butuzov, V.V. Email-flooder attacks: The estimation and regulation of damage: Life Science Journal. - 2014. - 11 (7s). / V.V. Butuzov, A.G. Ostapenko, P.A. Parinov, G.A. Ostapenko - P. 213-218.
ПРИЛОЖЕНИЕ А ИМИТАЦИОННОЕ МОДЕЛИРОВАНИЕ ФЛУД-АТАК НА
РАСПРЕДЕЛЕННЫЕ КОМПЬЮТЕРНЫЕ СЕТИ Имитационное моделирование флуд-атак
Одним из способов исследования сложных систем, является метод имитационного моделирования, когда модель имитирует работу сети, то есть воссоздаёт процесс функционирования реальной сети во времени. Построение имитационной модели предполагает имитацию процесса функционирования каждого отдельного элемента сети с обязательным сохранением логики, правил взаимодействия и развития составляющих сети элементов, как во времени, так и в пространстве.
Существенное преимущество имитационного моделирования перед прочими видами моделирования (например, аналитическим) заключается в универсальности, в смысле возможности проведение исследования произвольных сложных систем, с учетом таких факторов и обстоятельств, которые нелегко или вообще невозможно учитывать при аналитическом моделировании. Вследствие этого во многих случаях имитационное моделирование остается наиболее эффективным, а часто лишь единственно доступным методом проведения исследования сети.
Имитационные модели не только по свойствам, но и по структуре отвечают моделируемому предмету. При этом в наличии имеется однозначное и очевидное соответствие между процессами, проходящими при моделировании, и процессами на объекте. Недостатком имитационного моделирования является немалое время решения задачи для получения достаточной точности. На рисунке П.1 представлена блок-схема алгоритма флуд-атаки.
Рисунок П. 1 - Общая блок схема алгоритма флуд-атак
В данной блок-схеме описан процесс осуществления и нейтрализации флуд-атаки на РКС. При реализации атаки, сообщения, приходящие от злоумышленника, в какой-то момент времени создают
152
избыточность, что сервером воспринимается как флуд-атака. Дальнейшие действия сервера заключаются во включении системы защиты, что для каждого случая реализации флуд-атаки являются достаточно индивидуальным и зависит от типа атаки.
Описание имитационной модели на языке С#
Опишем программную составляющую имитационного моделирования. Разработка данных имитационных моделей флуд-атак на РКС была произведена в среде программирования VisualStudio 2013 на языке программирования С#.
С# — объектно-ориентированный язык программирования. С# относится к семье языков с С-подобным синтаксисом, из них его синтаксис наиболее близок к С++ и Java. Язык имеет статическую типизацию, поддерживает полиморфизм, перегрузку операторов (в том числе операторов явного и неявного приведения типа), делегаты, атрибуты, события, свойства, обобщённые типы и методы, итераторы, анонимные функции с поддержкой замыканий, LINQ, исключения, комментарии в формате XML.
При написании программы использовалась директива using, которая разрешает использование типов в пространстве имен, поэтому уточнение использования типа в этом пространстве имен не требуется.
Использовались следующие пространства имен:
1) Пространство имен System. Collections.Generic содержит интерфейсы и классы, определяющие универсальные коллекции, которые позволяют пользователям создавать строго типизированные коллекции, обеспечивающие повышенную производительность и безопасность типов по сравнению с неуниверсальными строго типизированными коллекциями.
2) Пространство имен System.Drawing обеспечивает доступ к функциональным возможностям графического интерфейса GDI+.
3) Пространство имен System.Linq содержит классы и интерфейсы,
которые поддерживают запросы, использующие LINQ.
153
4) System.Windows.Forms.DataVisualization.Charting позволяет создавать страницы диаграммами и графиками для сложного статистического анализа.
5) Пространство имен System.Timers предоставляет компонент Timer, позволяющий задать повторяющийся интервал, по прошествии которого в приложении будет вызываться событие Elapsed. После генерации это событие можно обработать.
В программе вводятся переменные, например - 1а, 1у, 1р. Данные переменные имеют тип данных double. Данный тип данных предназначен для хранения чисел с плавающей точкой, что позволяет представлять числа с дробной частью. Разрядность типа double составляет 64 бита, что приближенно соответствует диапазону представления чисел от 5Е-324 до 1,7Е+308. В основном, типы данных с плавающей точкой нужны для решения задач с высокой точностью вычислений, например, момент времени или интенсивность атаки.
В построении программы используется логический тип данных bool, что представляет два логических значения: «истина» или «ложь». Эти логические значения обозначаются в С# зарезервированными словами true и false соответственно. Следовательно, переменная или выражение типа bool будет принимать одно из этих логических значений.
Для организации условного ветвления язык С# унаследовал от С и С++ конструкцию if - else. Оператор if служит для того, чтобы выполнить какую-либо операцию в том случае, когда условие является верным. Каждому оператору if соответствует только один оператор else. Совокупность этих операторов — else if означает, что если не выполнилось предыдущее условие, то проверить данное. Если ни одно из условий не верно, то выполняется тело оператора else.
Для визуального представления программы создается объект Form. В нем задаются следующие параметры InitializeComponent(), count = 0, timer= newSystem.Timers.Timer(lOO), timer.Elapsed += OnEventLoop, что
154
инициализирует начальные элементы, где переменная count будет хранить значение ущерба в конкретный момент времени, а таймер отсчитывать время.
Чтобы в удобной форме можно было задавать параметры моделирования, используется конструкция такого типа 1а = Convert.ToDouble(textBoxl.Text), где данные из формы записываются в надлежащую переменную. Данное действие происходит после нажатия на кнопку.
Для того чтобы отразить динамику ущерба в той или иной ситуации моделирования флуд-атаки в программе использовалась логика, что в сеть поступают сообщения и обрабатываются ей, получаемая разница отражает уровень ущерба, а в зависимости от времени и средств защиты атака будет устраняться.
На рисунке П.2 представлен конструктор окна программы.
Рисунок П.2 - Конструктор окна программы
Для описания имитационного моделирования флуд-атак необходимо ввести следующие параметры:
1 - время (с);
Аа - интенсивность сообщений от злоумышленника(1/с);
Ар - интенсивность запросов от законного пользователя(1/с);
Аа+ интенсивность потока поступающих запросов(1/с);
А0 - интенсивность запросов, которые РКС способна обработать
(1/с).
Опишем первую часть процесса моделирования атаки. Обозначим функцию поступления запросов (количество поступивших запросов) -х(1:)= (Аа+ Ар)1, функцию обработки сообщений (количество обработанных запросов) - у(0= А01:.
Примем за успех атаки момент времени когда РКС будет отправлено ткр запросов, где ткр - количество запросов достаточное для успеха атаки.
В момент времени ^ интенсивность обработки запросов составит Аа+ Ар-А0. В момент времени сеть поступит количество запросов равное ткр=(^а+ Ар) ^-А^, при условии что А >А0.
Описание модели источников флуд-атаки
В качестве источников флуд-атаки на РКС в данной модели выступает программный блок, который помещает в очередь сообщения с постоянной интенсивностью.
В программе предусмотрена возможность указать интенсивность атаки (рисунок П.З).
я
Интенсивность атаки 50 ;
2
Интенсивность полезных сообщений 1
Рисунок П.З - Поле для ввода интенсивности атаки
Сервер осуществляет следующие операции:
- помещение входящих сообщений в очередь;
- обработка сообщений из очереди с постоянной интенсивностью.
В роли обработки сообщений из очереди в данной модели используется программный блок, осуществляющий удаление сообщений из очереди с определенной интенсивностью, равной интенсивности обработки. Так же учитывается количество полезных сообщений (рисунок П.4).
Интенсивность атаки
50
Интенсивность обработки
2
Интенсивность полезных сообщений
1
5
Рисунок П.4 - Поля для ввода интенсивности обработки сообщений и входящего потока от пользователей
Одним из ключевых моментов атаки является момент времени, когда сеть понимает, что на её производится атака. Для этого необходим такой
параметр как критическое количество сообщений - ситуация, когда в сети накапливается такое количество необработанных сообщений, что без дополнительных средств невозможно восстановить нормальное состояние работы. В связи с этим в программном блоке присутствует данный параметр (рисунок П.5).
Критическое число сообщений 200
моделирование
Рисунок П.5 - Поле для ввода критического колличества сообщений
Описание процесса противодействия флуд-атаке
Для противодействия флуд-атакам применяется блокирование источников нежелательных сообщений. Помимо блокировки осуществляется удаление всех сообщений полученных от данного источника.
В имитационной модели для реализации процесса флуд-атаки используется программный блок, запуск которого производится по истечению времени, затрачиваемого на включение средств защиты. Данный блок анализирует сообщения, полученные от источника, и удаляет все сообщения из очереди и блокирует сообщения от данного источника. В результате чего интенсивность атаки уменьшается.
Параметрами для данного блока является количество сообщений, по которому источник признается нежелательным, интенсивность обработки сообщений средствами защиты и время на запуск средства защиты после успеха атаки.
Примеры имитационной модели флуд-атаки на РКС
Рассмотрим изменение графика функции ущерба, получаемого в ходе имитационного моделирования для разных типов флуд-атак.
Атака типа 8М8-Поо(1
8М8-Аооё представляет собой несанкционированное отправление большого количества сообщений одному или нескольким пользователям, которое может вызвать отказ в обслуживании. 8М8-Аоос1, как правило, определяется сравнением скорости или числа сообщений с предполагаемой нагрузкой. Если количество 8М8-сообщений превышает установленные параметры, то это может быть расценено, как флуд-атака.
Для противодействия атаке надо определить источники 8М8-сообщений, что требует анализа некоторого объема сообщений с одного источника (номера). Далее сообщения удаляются, и номер помещается в «черный список». На рисунке П.6 представлены параметры моделирования атаки типа «8М8-Аооё». На рисунке П.7 представлена блок-схема реализации атаки типа «8М8-Аоо(1».
4
Интенсивность атаки одного источника
Количство источников атаки
5_________]
Интенсивность обработки сообщений
I» 1
Интенсивность полезных сообщений
¡1 '
Время для включения защиты
I» 1
Количество сообщений для блокировки
I» I
№0111
Рисунок П.6 - Параметры моделирования атаки типа «8М8-Аоос1»
100
_4
атакуемый абонент не в состоянии обрабатывать сообщения и звонки
( Конец )
Рисунок П.7 - Блок-схема реализации атаки типа «БМБ-Аоос!»
Проведем моделирование для 8М8-Аоос1, где параметры заданы следующим образом: интенсивность атаки одного источника - 11 (1/с), количество источников атаки - 5, интенсивность обработки сообщений -12 (1/с), интенсивность поступления полезных сообщений - 1 (1/с), время для включения средств защиты - 2 (с), количество сообщений,
необходимое для блокирования источника - 5, критическое число сообщений - 100. Результаты моделирования представлены на рисунке П.8.
Модель атаки 5т5-Яоос1
Интенсивность атаки одного источника 11
800-
Кэличство источников атаки
Интенсивность обработки сообщений
и»)
12
600-
Интенсивность полезных сообщений 1
Бремя для включения защиты
Количество сообщений для блокировки
400-
Критическое число сообщений
100
200-
-1 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
I
Рисунок П.8 - Моделирование атаки типа «8М8-Аоос1»
Для сравнения результатов введем следующие данные в программе МаШсаё, где параметры заданы следующим образом (рисунок П.9): ¿0=1,5 (с); ¿3=3,5 (с); Я0= 12 (1/с); А;= 11 (1/с); Ар= 1 (1/с); п = 5;
пп= 5.
и(0 400
200
о
о
5
10
15
1
Рисунок П.9- Теоретическая функция ущерба атаки типа «ЭМБ-Иоос!»
На рисунке показан график теоретической функции ущерба.
Теоретическое значение: М(х) =16161.
Практическое значение: М(х) = 16029.
Из сравнения видно, что эмпирический график практически совпадает с теоретическим. Таким образом, можно сделать, вывод о том, что модель является верной.
Атака типа ЕМА1Ь-Поос1
Для организации флуд-атаки на почтовый сервер требуется отправить сообщения за небольшое время, чтобы успеть произвести рассылку до перенастройки (или обновления базы данных) фильтров. Быстрая рассылка большого количества етаП-сообщений является технологической проблемой, решение которой требует достаточно больших ресурсов. Как следствие, для массовой рассылки нежелательных сообщений и организации флуд-атак на почтовые сервера появились
вредоносные программы Email-Flooder. Для организации рассылки большого числа email-сообщений используются, как правило, ботнеты с установленными программами Email-Flooder []. На рисунке П. 10 представлены параметры моделирования атаки типа «Email-flood». На рисунке П. 11 представлена блок-схема реализации атаки типа «Email-flood».
Интенсивность атаки
250
Интенсивность обработки
10
Интенсивность полезных сообщений
Hl~
Время на включение средств защиты
5
Количество сообщений
5
Интенсивность усиленной обработки
2
200
Рисунок П. 10 - Параметры моделирования атаки типа «Email-flood»
^Начало^
злоумышленник имеет информацию для формирования команды вредоносной
программе Ета11-Аоос1ег
отправка команды управляющему серверу
^/-управляющий сервер -< принял команду для дальнейшей ее пересьике^
отправка команды устройствам с вредоносной программой Email-flooder
оораоотка принятой команды
отрравка сообщений /и помещение их в 4 \.^очередь почтового^, сервера
переполнение очереди
почтового сервера
пользователь не может обрабатывать
поступающие сооощения
Конец J
Рисунок П.11 - Блок-схема реализации атаки типа «Email-flood»
В качестве средства борьбы с данной атакой РКС может использовать резервные мощности, и таким образом увеличить интенсивность обработки поступающих запросов.
Кроме увеличения интенсивности, очень эффективно блокировать ресурс, с которого производится флуд-атака. Атака может проводиться сразу на несколько источников. На каждый источник может быть отправлено определенное количество запросов, и, при блокировании источника, запросы перестают поступать и обрабатываться. Блокирование ресурсов осуществляется с определенной интенсивностью. Для блокирования источников требуется проанализировать некоторое количество сообщений, которое нужно для определения необходимости блокировки.
Проведем моделирование для Email-flood, где параметры заданы следующим образом: интенсивность атаки - 250 (1/с), интенсивность обработки - 10 (1/с), интенсивность полезных сообщений - 5 (1/с), увеличенная интенсивность обработки сообщений/запросов - 2 (1/с), пороговое число сообщений, для блокирования источника - 5, время для включения средств защиты - 5 (с), критическое число сообщений - 200. Результаты моделирования представлены на рисунке П. 12.
Интенсивность атаки 2000
250 и»)
Интенсивность обработки
10
Интенсивность полезных сообщений 1500
5
Зремя на включение средств защиты 1
<оличество сообщений 10ПП
5
Интенсивность усиленной обработки
2
<ритическое число сообщений 500
200
Модель атаки email-flood
А
-1 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
t
Рисунок П. 12 - Результаты моделирования атаки типа «Email-flood»
Для сравнения результатов введем следующие данные в программе МаШсас! (рисунок П. 13): Ха = 250 (1/с); Хр = 5(1/с); Хо = 10 (1/с); 1о=0,8 (с); tз= 5,8 (с); \ = 2 (1/с); ?ч =2 (1/с); п=5.
Рисунок П. 13 - График теоретической функции ущерба атаки типа «Email-
flood»
Теоретическое значение: М(х) = 46624. Практическое значение: М(х) = 46596.
Из сравнения видно, что эмпирический график практически совпадает с теоретическим. Таким образом, можно сделать, вывод о том, модель является верной.
Атака типа DNS-flood
Основа данных видов атак - простой DNS-флуд, который заключается в том, что множество хостов злоумышленника посылает массированный поток запросов на целевой DNS-сервер с ложным SRC IP (IP-адрес источника запроса).
DNS-flood осуществляется с помощью DNS-серверов, с помощью которых транслируются доменные имена в IP-адреса и обратно. Основополагающей идеей данной атаки является то, что злоумышленник направляет большой объем запросов на DNS-сервер с запросами, имеющими ложный IP. Сервер не справляется с обработкой и происходит отказ в обслуживании. Для предотвращения массового заполнения вредоносными запросами сервер поэтапно подключает средства защиты: отключает рекурсивные запросы, запускает зеркальный сервер, снимая с себя нагрузку, и включает фильтр IP. На рисунке П. 14 представлены параметры моделирования атаки типа «DNS-flood». На рисунке П. 15 представлена блок-схема реализации атаки типа «DNS-flood».
J.-ÄU
rtt I If II ...... bt IHK
lWMl"
В-.'км ui» __« !*■«. и» . .т (V_>i.
«V «vv.«.^
U:svb ui? !<->я*.л л. гът» II'
Г%
Л J
ir.wfl
Рисунок П. 14 - Параметры моделирования атаки типа «DNS-flood»
Начало
Рисунок П.15 - Блок-схема реализации атаки типа «Б^-Авос!»
Проведем моделирование для ОКБ-Аоос!, где параметры заданы следующим образом: интенсивность атаки - 20000 (1/с), интенсивность обработки поступающих сообщений/запросов - 10000(1/с), время для
168
выключения рекурсивных запросов - 3 (с), время для введения зеркального сервера и перераспределения нагрузки - 3 (с), время для фильтрации данных по 1Р - 3 (с), коэффициент уникальности 1Р адресов в потоке - 0,2, критическое число сообщений - 15000.
Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.