CC BY
35
УДК 519.872.8; 004.75; 004.056.5
МЕТОД ОЦЕНИВАНИЯ НАГРУЗОУСТОЙЧИВОСТИ КРИТИЧЕСКИХ ИНФОРМАЦИОННЫХ СИСТЕМ В УСЛОВИЯХ НЕОПРЕДЕЛЕННОСТИ НА ОСНОВЕ ТЕХНОЛОГИИ НАГРУЗОЧНОГО ЗОНДИРОВАНИЯ
В. А. Гончаренко
Рассматривается комбинированный подход к оцениванию нагрузоустойчиво-сти критических информационных систем в условиях неопределенности исходных данных о конфигурации и параметрах систем. Предлагаемый метод включает имитацию дестабилизирующей рабочей нагрузки, оперативное оценивание основных параметров обслуживания запросов к системе и расчет предельной интенсивности рабочей нагрузки системы.
Ключевые слова: система массового обслуживания, отказ в обслуживании, веб-сервер, имитация нагрузки, нагрузоустойчивость, нагрузочное зондирование, критическая информационная система, порог срабатывания средств защиты.
В современных условиях глобального распространения информационных технологий большинство критически важных объектов (КВО) государственного, промышленного и военного назначения, нарушение непрерывности функционирования которых может нанести значительный ущерб, зависит от устойчивости функционирования систем информационной инфраструктуры, или информационных систем [1]. Критические информационные системы (КИС) осуществляют управление или информационное обеспечение КВО, а также информирование общества и граждан [2]. Нарушение их функционирования вследствие сбоев, отказов, превышения нагрузки, деструктивных воздействий может приводить к чрезвычайным ситуациям со значительными негативными последствиями [3].
Одной из важнейших характеристик качества функционирования КИС является нагрузоустойчивость, т.е. устойчивость системы к резким колебаниям рабочей нагрузки [4]. Для определения нагрузоустойчивости применяются различные методы тестирования производительности - нагрузочное тестирование, стресс-тестирование [5] и др.
Основной задачей любого тестирования производительности является определение устойчивости системы к нагрузкам, которые могут появляться не только из-за большого количества посетителей онлайн, но и являться следствием некорректной настройки сервера, неправильной работы скриптов или действиями злоумышленников (Бо8, ББо8) [1, 3].
Однако не всегда существует возможность провести нагрузочное тестирование из-за ограниченности времени или отсутствия доступа к тестируемым ресурсам, и, как следствие, неопределенности исходных данных о конфигурации и параметрах КИС для проведения тестирования [6].
299
Предлагаемый метод определения нагрузоустойчивости КИС на основе нагрузочного зондирования сочетает экспериментальные и аналитические подходы, что позволяет оперативно получить неизвестные параметры производительности нескольких тестируемых систем и рассчитать их показатели устойчивости к критическим нагрузкам [7-9].
1. Технология оценивания нагрузоустойчивости критических информационных систем
Нагрузоустойчивостъ системы [4] означает ее способность обрабатывать за приемлемое время запросы пользователей при увеличении нагрузки на систему вплоть до максимальной или пиковой.
Тестирование производительности позволяет определить, как быстро работает система при определенной нагрузке. При этом выделяют нагрузочное тестирование (load testing), позволяющее определить время отклика системы при различной нагрузке, и стресс-тестирование (stress testing), оценивающее устойчивость системы к нагрузке, превосходящей пределы нормального функционирования [5]. В статье используется оригинальный комбинированный подход [8], использующий идеи нагрузочного и стрессового тестирования, а также метода активного зондирования для получения дополнительных данных о ключевых параметрах объекта.
Ключевым признаком нагрузоустойчивости информационной системы, комплексно характеризующим его способность качественно выполнять свои функции, является доступность сервисов системы.
Нарушение доступности, как правило, возникает при резком возрастании трафика на сервер или сетевых атаках типа «распределенный отказ в обслуживании» (так называемых DDoS-атак, от англ. Distributed Denial of Service), заключающихся в возникновении большого количества одновременных запросов к КИС, дестабилизирующих их работу. В результате поступления в систему пиковой нагрузки легальные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам) либо этот доступ будет затруднен.
Программная защита серверов от DDoS-атак, как правило, определяет вредоносную нагрузку по высокой интенсивности из одного источника или группы источников. Если же высокая нагрузка создается легальными пользователями, то защита может не сработать. Таким образом, при имитации критической рабочей нагрузки для преодоления программной защиты КИС необходимо, чтобы информационно-технические воздействия (ИТВ) в виде множественных запросов к ресурсам КИС выглядели бы как легальные запросы реальных пользователей. Для моделирования ИТВ необходимо подготовить некоторое количество компьютеров, с которых будут реализовываться эти воздействия, и спланировать ИТВ исходя из соображений их распределенности и действенности.
Для моделирования КИС, функционирующих в условиях перегрузки деструктивными заявками, могут быть использованы модели сетей массового обслуживания с ограниченной емкостью накопителей в узлах сети,
300
что позволяет учесть схемы реализации конкретных видов ББо8-атак и их влияние на оперативность функционирования сети. Каждый из узлов сети в общем случае будем представлять в виде системы массового обслуживания (СМО) с одним или п каналами обслуживания и ограниченной емкостью т накопителя очереди (в символике Кендалла - М/М/п/ш).
Одним из показателей нагрузоустойчивости системы является вероятность отказа в обслуживании [7]. Введем понятие коэффициента удельной нагрузки системы р, представляющего собой отношение интенсивности входного потока 1 к суммарной интенсивности обслуживания запросов п каналами обслуживания - пц. При рассмотрении СМО с ограниченной емкостью накопителей допускается условие р>1, поскольку при переполнении накопителя заявки будут получать отказ в обслуживании [10].
Можно условно выделить три уровня доступности системы.
1. Система доступна. Уровень доступности, при котором сервер функционирует в нормальном режиме без особых задержек и с низкой вероятностью отказа в обслуживании (не более 0,1). При р<0,8 вероятность отказа в обслуживании близка к нулю, при 0,8<р<0,95 вероятность отказа в обслуживании начинает расти, но остается на приемлемом уровне. Пользователь системы не замечает никаких задержек и сбоев.
2. Система частично доступна. Уровень доступности, при котором сервер продолжает отвечать на запросы, но с большими задержками и достаточно высокой вероятностью отказа в обслуживании (от 0,1 до 0,8). При р>0,95 начинается лавинообразный рост вероятности отказа в обслуживании вплоть до р-4. Пользователь системы испытывает существенные задержки в обслуживании и периодический отказ в обслуживании.
3. Система практически недоступна. Уровень доступности, при которой систему можно считать недоступной, время реакции на запросы достаточно велико, вероятность отказа в обслуживании более 0,8. При р>4 вероятность отказа в обслуживании асимптотически стремится к 1. При этом пользователь испытывает значительные задержки в обслуживании и частый отказ в обслуживании вплоть до полного блокирования ресурса.
Для определения нагрузоустойчивости исследуемой КИС выполняется обоснование критической интенсивности рабочей нагрузки, соответствующей предельной вероятности отказа системы в обслуживании. В целом, для организации тестирования нескольких КИС на нагрузоустойчи-вость необходимо решить следующие основные задачи:
1) развертывание инфраструктуры средств сбора информации, планирования и проведения тестирования;
2) накопление и актуализация данных об оцениваемых КИС;
3) выбор КИС для проведения оценивания;
4) выбор способов имитации нагрузки и моделей КИС для проведения оценивания;
5) оперативное оценивание параметров КИС;
301
6) расчет параметров нагрузоустойчивости КИС (предельной нагрузки при заданной вероятности отказа в обслуживании);
7) проведение имитации нагрузки на выбранные КИС и оценка их нагрузоустойчивости.
Основные этапы оценивания нагрузоустойчивости множества КИС приведены на рисунке
ОЦЕНИВАНИЕ НАГРУЗОУСТОЙЧИВОСТИ КИС
И
азвертывание инфраструктуры проведения имитации нагрузки
Группы узлов
Щв
имитации нагрузки
Зыбор способа имитации нагрузки и моделей КИС
Модели КИС
Оперативное оценивание параметров КИС
Заданная вероятность отказа в обслуживании
Ш '
Число каналов
!обсл
Порог
База
данных
объектов
Накопление и актуализация
данных о критических системах
щу
Список объектов
Список объектов
Параметры объектов
Выбор объектов для проведения оценивания
Сведения о результатах оценивания
реагирования Усредств защиты
Кол-во узлов в группах Распределение узлов по объектам Интенсивности потоков нагрузки
Расчет параметров нагрузо-устойчивости КИС
Имитация нагрузки и проверка нагрузоустой-чивости КИС
5
2
7
Схема оценивания нагрузоустойчивости критических информационных систем
Вначале проводится развертывание сетевой инфраструктуры для подготовки, планирования и проведения тестирования, включая формирование, тестирование, настройку и актуализацию сети узлов имитации нагрузки и управляющих узлов.
На базе развернутой сетевой инфраструктуры в подготовительный период проводятся накопление и оперативное обновление информации об исследуемых КИС, их классификация, ранжирование и отбор. В дальнейшем инфраструктура используется для планирования и проведения имитации критической нагрузки на п объектов. Для этого необходимо развернуть и подготовить некоторое количество узлов системы имитации нагрузки, представляющих собой рабочие станции с индивидуальными 1Р-адресами, сгруппированные по территориальному признаку, подключенные к глобальной сети и оборудованные средствами имитации нагрузки. Для определения структуры сети доступа и ее временных задержек возможно использование команды tracert, которая позволит определить промежуточные узлы при доступе к конкретному информационному ресурсу и временные задержки в этих узлах.
Выбор объектов для проведения тестирования осуществляется с учетом их критичности (важности) с целью последующего определения дополнительных мер защиты после тестирования.
302
Выбор способа имитации нагрузки зависит от оценки актуальных угроз для выбранных КИС. В качестве имитируемой критической нагрузки могут использоваться так называемые флуд-атаки (от англ. flood - потоп): атаки сетевого (ICMP-flood), транспортного (UDP-flood и SYN-flood) и прикладного уровней (HTTP-flood). В зависимости от вида флуд-атаки основные параметры модели КИС будут иметь различную интерпретацию. Каждый вид воздействий направлен на конкретный технологический процесс, и ему соответствует своя модель поведения. Цель любой DDoS-атаки - перегрузить один из ключевых технологических процессов с целью нарушения доступности к КИС. Так, атака TCP-SYN-flood направлена на перегрузку TCP-подключений. Но наибольшей эффективностью обладают атаки прикладного уровня. Атака HTTP-flood основана на посылке HTTP-запросов на атакуемый сервер с целью занять место в очереди на выполнение запроса и не допустить полезный трафик или увеличить время его обработки. Инициализация ресурсоемких задач по выполнению скриптов или обращению к базе данных приводит к сбросу установленных соединений при превышении предусмотренного тайм-аута в открытом сокете. Все это приводит к фактическому отказу веб-серверов, что представляет серьезную угрозу доступности информации в компьютерных сетях [11, 12].
Для моделирования веб-серверов, функционирующих в условиях перегрузки деструктивными заявками, могут быть использованы модели разомкнутых сетей массового обслуживания с ограниченной емкостью накопителей в узлах сети [10], что позволяет учесть схемы реализации конкретных видов DDoS-атак и их влияние на оперативность функционирования сети. Параметры построенной модели (число каналов обслуживания и интенсивность обслуживания в канале) получают в результате внешнего нагрузочного зондирования веб-сервера.
Для выполнения условия несрабатывания средств защиты проверяемого объекта при имитации воздействия необходимо, чтобы количество узлов одной группы и количество одновременных запросов с одного узла к объекту не превышало заданного значения. Для достижения пиковой нагрузки общее количество узлов, воздействующих на один объект, должно быть не менее заданного значения. Рассмотрим более детально этапы оперативного оценивания параметров объектов и расчета параметров нагрузо-устойчивости КИС при использовании узлов имитации нагрузки.
2. Оценивание параметров критических систем методом нагрузочного зондирования
Оперативное получение параметров анализируемого объекта для подготовки имитации предельной нагрузки можно осуществить при помощи нагрузочного зондирования [8, 9] объекта и последующего расчета на основе полученных данных необходимых параметров узлов сети.
Зондирование (англ. sounding или probing) переводится как предварительное осторожное выяснение, разведывание чего-нибудь, исследование при помощи зонда.
Нагрузочное зондирование (load probing) - это метод формирования внешнего анонимного потока запросов (рабочей нагрузки) к информационному ресурсу для оценивания его реакции на эти запросы и последующего расчета предельных нагрузочных характеристик ресурса.
В отличие от методов тестирования производительности [5] нагрузочное зондирование имеет целью оценивание параметров объекта и порога срабатывания его средств защиты, что предполагает следующие этапы:
1) оценивание количества свободных каналов обслуживания,
2) определение интенсивности обслуживания заявок
3) определение порога срабатывания средств защиты.
1-й этап. Для аналитико-экспериментального расчета количества свободных каналов обслуживания объекта необходимо:
- измерить время обслуживания заявки в нормальном режиме;
- отправить одновременно «шторм» заявок с заранее известным временем обслуживания;
- определить среднее время обслуживания первых заявок;
- определить число свободных каналов обслуживания.
Измерение времени обслуживания заявки в нормальном режиме
осуществляется средствами сетевого мониторинга путем фиксации времени между отсылкой однократного запроса к серверу и приходом ответа от сервера, за вычетом времени прохождения заявки через сеть.
Первичная отправка одновременного «шторма» заявок планируется исходя из предполагаемого количества каналов обслуживания объекта по умолчанию, заполнения этих каналов посылаемыми запросами и возможного незначительного увеличения времени ответа на запросы при появлении очереди запросов. Повторные «штормы» запросов выполняются для уточнения реакции информационного ресурса и в случае отсутствия изменений во времени ответа по сравнению с одиночным запросом.
При заполнении всех каналов обслуживания последующие заявки становятся в очередь и ожидают освобождения одного из каналов. Измеренное время ответа на эти запросы, состоящее из времен ожидания и обслуживания, будет отличаться примерно в два раза от среднего времени обслуживания первых. Номер данной заявки за вычетом единицы и будет являться числом свободных каналов обслуживания.
2-й этап. Для оценивания интенсивности обслуживания заявок необходимо:
- зная количество свободных каналов обслуживания и имея список наиболее трудоемких запросов, отправить «шторм» запросов на информационный ресурс таким образом, чтобы заявки не находились в очереди, используя все типы запросов, отобранных для моделирования ИТВ;
- получив время обслуживания каждой заявки в отдельности, рассчитать среднее время обслуживания и, взяв обратное значение от последнего, получить интенсивность обслуживания одной заявки.
3-й этап. Расчет интенсивности отправки запросов с учетом порога срабатывания средств защиты можно произвести также на основе результатов нагрузочного зондирования средств защиты (при помощи отправки тестовых запросов и постепенного увеличения их интенсивности). Порогом срабатывания средств защиты можно считать такую интенсивность отправки запросов, когда будет получен отказ в обслуживании или ответ, отличный от ожидаемого. При этом должно выполняться условие доступности ресурса с другого 1Р-адреса. Полученные таким образом значения интенсивностей отправки запросов могут быть использованы для расчета необходимого количества узлов имитации нагрузки.
Формализовано алгоритм нагрузочного зондирования для оценивания параметров КИС можно представить следующим образом.
I. Оценивание числа свободных каналов обслуживания.
1. Измерение времени обслуживания заявки хобс в нормальном режиме (средствами сетевого мониторинга): хобс » хотв = (1отв - 1отпр) - хпередачи.
Одновременная отправка «шторма заявок» £нач исходя из предполагаемого количества поц каналов обслуживания 5нач =поц -^1,5поц. При отсутствии изменений хобс - повторные отправки 5 заявок: +0,5поц
2. При заполнении конечного накопителя очереди г-я заявка станет первой в очереди, для которой время ответа хотв/ = хожид + хобс » 2хоб«.
3. Определение числа свободных каналов обслуживания: псвоб = 1-1.
II. Оценивание интенсивности обслуживания заявок
1. Отправка «шторма заявок» исходя из количества свободных каналов обслуживания псвоб и перечня наиболее трудоемких запросов, планируемых для атаки, без попадания заявок в очередь (8труд < псвоб )
2. Получение времен обслуживания каждой из трудоемких заявок и расчет интенсивности обслуживания объектом заявок планируемой атаки
III. Расчет интенсивности отправки запросов с учетом порога срабатывания средств защиты.
1. Отправка «шторма заявок» c постепенным увеличением интенсивности отправки запросов с отдельного IP-адреса на атакуемый сервер и анализом ответов до момента срабатывания средств защиты (когда будет получен отказ в обслуживании или ответ, отличный от ожидаемого, кроме того, веб-сервер должен быть доступен с другого IP-адреса).
2. Полученная Хпор - порог срабатывания средств защиты.
3. Расчет параметров нагрузоустойчивости объекта
Для проведения имитации распределенной нагрузки на несколько информационных объектов и экспериментального определения их нагрузоустойчивости требуется предварительно определить:
1) необходимую интенсивность нагрузки на каждый из объектов;
2) минимально необходимое число узлов для имитации нагрузки;
3) количество узлов в каждой территориальной группе.
Это возможно в случае, если известна максимальная интенсивность, с которой каждый узел имитации нагрузки может отправлять заявки на тестируемый информационный объект без обнаружения средствами защиты Хпор, а также общая интенсивность 1 поступления заявок в распределенную систему, при которой вероятность того, что следующая заявка получит отказ в обслуживании, будет не менее директивной вероятности. В рассматриваемом случае дана требуемая вероятность отказа в обслуживании Ротк, когда все приборы обслуживания и очередь заняты, а следующая поступившая заявка получит отказ в обслуживании. Необходимо для этого случая рассчитать общую интенсивность входного потока заявок 1, зная вероятность нахождения системы в данном состоянии, среднее время обслуживания заявки ?обс, количество каналов обслуживания п. Емкость накопителя очереди т предполагается больше 10. Для решения поставленной задачи определения параметров системы необходимо решить обратную задачу теории массового обслуживания [11].
В п-канальную систему поступает поток заявок интенсивностью 1. Каждая вновь поступившая заявка, застав все каналы занятыми, становится в очередь только в том случае, если в ней находится менее т заявок. Если число заявок в очереди достигло т, то прибывшая заявка покидает систему необслуженной. Вероятность отказа определяется выражением
ап+т
=-пИ^А--, (1)
..к
1 + ^рп а + а ^рт | а |
где а - коэффициент нагрузки системы, а = Л/^ = рп; ц - интенсивность обслуживания заявок, т = 1/1обс.
Нахождение интенсивности входного потока из выражения (1) при заданной вероятности отказа в обслуживании Ротк достаточно трудоемко. Накладываются ограничения на количество каналов и размер очереди. Также для нахождения результирующего значения интенсивности 1 необходимо каждый раз решать данное равенство и сравнивать полученный результат с заданным параметром, и в случае, если результат не устраивает, производить пересчет с другим параметром интенсивности. Кроме того, необходимо использовать случайным образом подобранную емкость накопителя очереди, так как данная величина не дана по условию. Так как рассматриваемый режим работы связан с перегрузкой, интенсивность входного потока намного больше интенсивности обслуживания. Следовательно, общая интенсивность входного потока
X = Х'+X'', (2)
где X' - интенсивность поступления заявок, которые будут обслужены; X'' - интенсивность заявок, получивших отказ в обслуживании.
306
Введем коэффициент занятости прибора h=NJn, 0<h<1, где N -среднее число занятых приборов. Интенсивность поступления заявок, которые будут обслужены, при h®1
lim A,'(h) = . (3)
Найдем интенсивность потока входных заявок, получивших отказ в обслуживании. Вероятность отказа в обслуживании Ротк определяется отношением количества заявок, получивших отказ в обслуживании за некоторое время t, к общему количеству заявок, поступивших в систему за это же время. Рассматривая достаточно большой промежуток времени, определим, что Ротк = Х7(Х'+Х"). Тогда, проведя ряд преобразований, получим
X''= РоткИя /(1 - Ротк). (4)
Подставив выражения (3) и (4) в выражение (2), для суммарного потока l получим
X = ^ /(1 - РотК ). (5)
Выражение (5) позволяет рассчитывать основной показатель нагру-зоустойчивости - предельную интенсивность суммарного входного потока заявок на объект для заданной вероятности отказа в обслуживании. При этом не требуется знание размера емкости накопителя очереди, так как данный накопитель, имея конечный размер, рано или поздно будет заполнен. Данное выражение справедливо только для случая, когда коэффициент занятости приборов стремится к единице.
Необходимое количество узлов имитации нагрузки будет определяться соотношением:
Ктп = l/Уузла, (6)
где уузла - интенсивность нагрузки от одного узла имитации нагрузки.
4. Имитация нагрузки и проверка нагрузоустойчивости критических информационных систем
Алгоритм планирования имитации нагрузки позволяет определить требуемое количество узлов по территориальным группам с учетом ограничений на стоимость и анонимность воздействия. Общее содержание алгоритма состоит в следующем. Для каждого объекта определяется потенциальная возможность его подавления через расчет «запаса интенсивности воздействия» на основе заданных ограничений на анонимность ИТВ без учета стоимости развертывания узлов имитации нагрузки. Для объектов, которые можно подавить, итерационно наращивается количество узлов в группах, исходя из их приоритетности, определяемой соотношением приращения интенсивности нагрузки к приращению стоимости узлов в группе.
Для проведения имитации критической сетевой нагрузки настраивается развернутая инфраструктура, состоящая из консоли управления, управляющих серверов и сети узлов имитации нагрузки. В ходе моделирования данная структура позволяет скрывать источник критической нагрузки от средств защиты, а также перераспределять группу узлов имитации
307
нагрузки управляющего сервера между другими серверами в случае вывода блокирования средствами защиты. Каждый узел может выполнять одновременно несколько заданий и работать по нескольким тестируемым объектам. Данный подход к расчету числа узлов имитации нагрузки позволяет минимизировать количество задействуемых узлов с требуемой вероятностью нарушения доступности информационных ресурсов и при соблюдении требования скрытия источника проведения воздействия.
На основе изложенных подходов разработана программа, предназначенная для оценивания нагрузоустойчивости критических информационных систем в условиях неопределенности исходных данных о конфигурации и параметрах систем путем имитации критической нагрузки и оперативного измерения параметров обслуживания запросов к системе [9].
В табл. 1 представлены результаты расчета вероятности отказа в обслуживании при разных коэффициентах удельной нагрузки для вебсервера при размере буфера т=20, числе каналов п=50 и времени обслуживания 11обс =0,22 с.
При расчете вероятности отказа в обслуживании при различных емкостях буфера накопителя, числе каналов п=50 и времени обслуживания 1:обс =0,22 с при критических коэффициентах удельной нагрузки (от 0,88 до 21,12) получены результаты, представленные в табл.2.
Из табл. 2 видно, что размер буфера влияет на вероятность отказа только при низкой интенсивности входного потока. При достаточно большом коэффициенте удельной нагрузки (больше двух) емкость накопителя практически не влияет на вероятность отказа в обслуживании.
Таблица 1
Расчет вероятности отказа в обслуживании в зависимости от коэффициента удельной нагрузки
Удел. коэф. Вероятность Удел. коэф. Вероятность Удел. коэф. Вероятность
нагрузки р отказа Ротк нагрузки р отказа Ротк нагрузки р отказа Ротк
0,44 0,000 2,64 0,621 6,6 0,848
0,88 0,003 3,08 0,675 8,8 0,886
1,32 0,243 3,52 0,716 11 0,922
1,76 0,432 3,96 0,747 13,2 0,933
2,2 0,545 4,4 0,773 21,12 0,953
Таблица 2
Расчет вероятности отказа в обслуживании в зависимости от размера буфера накопителя
Емкость накопителя, т Вероятность отказа Ротк при р=0,88 Вероятность отказа Ротк при р=1,32 Вероятность отказа Ротк при р=2,2 Вероятность отказа Ротк при р=21,12
1 0,038 0,268 0,549 0,953
2 0,033 0,261 0,547 0,953
5 0,021 0,250 0,546 0,953
Окончание табл. 2
Емкость накопителя, т Вероятность отказа Ротк при р=0,88 Вероятность отказа Ротк при р=1,32 Вероятность отказа Ротк при р=2,2 Вероятность отказа Ротк при р=21,12
10 0,010 0,244 0,545 0,953
15 0,005 0,243 0,545 0,953
20 0,003 0,243 0,545 0,953
Обратная задача, решаемая по формуле (5) для интенсивности средств имитации нагрузки при тех же исходных данных, дает следующие результаты по вероятности отказа в обслуживании (табл.3)
Таблица 3
Расчет интенсивности входного потока в зависимости от вероятности отказа в обслуживании
Вероятность отказа Ротк Интенсивность входного потока X, 1/с Вероятность отказа Ротк Интенсивность входного потока X, 1/с
0,10 252 0,60 568
0,20 284 0,70 757
0,30 324 0,80 1136
0,40 378 0,90 2272
0,50 454 0,95 4545
Заключение
Таким образом, представлен подход, позволяющий проводить оценивание нагрузоустойчивости КИС с учетом неопределенности исходных данных и функционирования в условиях информационных воздействий.
Предлагаемая технология аналитико-экспериментального тестирования реальной нагрузоустойчивости критических информационных систем с использованием методов имитации критической нагрузки позволяет проводить эффективное оценивание требуемых ресурсов для нарушения их доступности минимально необходимым количеством задействованных узлов с требуемой вероятностью нарушения доступности и при соблюдении требования анонимности источников проведения воздействий.
Это достигается за счет маскирования деструктивных запросов к тестируемым веб-серверам под легальные запросы большого количества реальных пользователей из разных стран с интенсивностью запросов каждого из них существенно ниже фиксируемых и блокируемых средствами защиты веб-серверов. При этом использован оригинальный метод нагрузочного зондирования тестируемых КИС для уточнения их предельных возможностей по обслуживанию запросов пользователей без обнаружения факта зондирования. Помимо показателей производительности, данные подходы могут быть использованы для оценивания показателей надежности, живучести, защищенности распределенных КИС.
309
Список литературы
1. Петренко С.А. Проблема устойчивости функционирования ки-берсистем в условиях деструктивных воздействий // Труды ИСА РАН. 2010. Т.52. С. 68-105.
2. ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. М.: Стандартинформ, 2009. 20 с.
3. Петренко С.А. Методы информационно-технического воздействия на киберсистемы и возможные способы противодействия // Труды ИСА РАН. 2009. Т. 41. С. 104-146.
4. Шейко Р. Тестовая стратегия // Портал software-testing.ru. Тестирование и качество ПО [Электронный ресурс]. URL: http: //www.software-testing.ru/library/testing/test-management/2048-2015-03-19-08-31-25 (дата обращения 03.12.17).
5. Рогов С., Намиот Д. Тестирование производительности вебсерверов // Открытые системы. СУБД. 2002. №12. С.55-64 [Электронный ресурс]. URL: http://www.osp.ru/os/2002/12/182266 (дата обращения: 03.12.17).
6. Гончаренко В.А. Моделирование и оценивание характеристик случайных потоков событий в компьютерных сетях при параметрической неопределенности // Труды Военно-космической академии им. А.Ф. Можайского. СПб.: ВКА им. А.Ф.Можайского, 2015. Вып. 649. С. 16-22.
7. Гончаренко В. А., Фомин С.И. Оценивание доступности информационных ресурсов компьютерных сетей в условиях дестабилизирующей рабочей нагрузки // Перспективы развития науки и образования: сб. науч. тр. по мат. международной НПК. 28 сентября 2012 г. Ч. 9. Тамбов: ООО «Консалтинговая компания Юком», 2012. С.42-43.
8. Гончаренко В.А., Фомин С.И., Суржанов О.В. Модели и методы оценивания устойчивости критически важных информационных систем к информационно-техническим воздействиям // Современные тенденции в образовании и науке: сб. науч. тр. по мат. международной НПК. 28 декабря 2012 г. Тамбов: ООО «Консалтинговая компания Юком», 2012. Ч. 3. С. 49-50.
9. Свидетельство о государственной регистрации программы для ЭВМ № 2017617341 Российская Федерация. Программный комплекс оценивания нагрузоустойчивости критических информационных систем методом нагрузочного зондирования / В.А.Гончаренко, С.И.Фомин, К. А. Эсау-лов; правообладатели В.А.Гончаренко, С.И.Фомин, К.А.Эсаулов (RU). № 2017614309; поступл. 10.05.17; опубл. 04.07.17, Реестр программ для ЭВМ. 1 с.
10. Лепёшкин С.А., Гончаренко В.А., Шульгин А.А. Моделирование и проектирование систем. Моделирование систем: учеб. пособие. СПб.: ВКА имени А.Ф.Можайского, 2016. Ч. 1. 244 с.
310
11. Chee W.O., Brennan T. OWASP AppSec DC 2010. HTTP POST DDoS [Электронный ресурс]. URL: https://www.owasp.org/ im-ages/4/43/Layer 7 DDOS.pdf (дата обращения: 01.03.17).
12. Aleksandar Kuzmanovic, Edward W. Knightly. Low-rate TCP-targeted denial of service attacks and counter strategies // IEEE/ACM Trans. Netw. 2006. № 14 (4). С. 683-696.
13. Екимцов А.Н., Смагин В. А. Обратная задача теории массового обслуживания для узла вычислительной сети // Автоматика и вычислительная техника. 1992. №3. С.38-42.
Гончаренко Владимир Анатольевич, канд. техн. наук, доц., vlango@yandex.ru, Россия, Санкт-Петербург, Военно-космическая академия имени А. Ф.Можайского
METHOD OF ESTIMA TION OF LOAD RESISTANCE OF CRITICAL INFORMA TION SYSTEMS IN CONDITIONS OF UNCERTAINTY BASED ON THE TECHNOLOGY
OF LOAD PROBING
V.A. Goncharenko
The paper discusses a combined approach to the evaluation of load resistance critical information systems in conditions of uncertainty of initial data about the configuration and parameters of system. The proposed method is based on the technology of load probing includes simulation of the destabilizing workload, operational estimation of based service parameters of requests to the system and the calculation of the maximum intensity of system workload.
Key words: queuing system, denial of service, web server, imitation of load, load resistance, load probing, critical information systems, operating threshold ofprotection.
Goncharenko Vladimir Anatolievich, candidate of technical sciences, docent, vlan-go@yandex.ru, Russia, st. Petersburg, Mozhaisky Military Space Academy
