МОДЕЛЬ КОМПЬЮТЕРНОЙ АТАКИ ТИПА "PHISHING" НА ЛОКАЛЬНУЮ КОМПЬЮТЕРНУЮ СЕТЬ Текст научной статьи по специальности «Компьютерные и информационные науки»

I МОДЕЛЬ КОМПЬЮТЕРНОЙ АТАКИ ТИПА «РНГСН№» НА ЛОКАЛЬНУЮ КОМПЬЮТЕРНУЮ СЕТЬ

Добрышин М.М.1, Закалкин П.В.2

Цель статьи: доведение до специалистов в сфере информационной безопасности и научных сотрудников выявленных аналитических зависимостей, учитывающих параметры, характеризующие процесс ведения компьютерных атак типа «Phishing». Новые зависимости обеспечивают повышение достоверности результатов оценки защищенности локальной компьютерной сети, имеющей доступ к мировому информационному пространству от указанной угрозы.

Метод исследования: имитационное моделирование компьютерных атак типа «Phishing» и определение аналитической модели на основании аппроксимации результатов моделирования.

Полученный результат: создан инструментарий для инженерно-технического персонала позволяющий оценить защищенность локальной компьютерной сети от компьютерной атаки типа «Phishing» и при неудовлетворительном результате определить мероприятия по защите сети.

Ключевые слова: имитационная модель, аналитическая модель, моделирование, компьютерная атака типа «Phishing».

Введение

Одним из основных негативных факторов, влияющих на состояние информационной безопасности Российской Федерации, является наращивание рядом зарубежных стран возможностей информационно-технического воздействия на информационную инфраструктуру в военных целях. Постоянно повышается сложность, увеличиваются масштабы и растет скоординированность кибервоздействий на объекты критической инфраструктуры, усиливается разведывательная деятельность иностранных государств в отношении Российской Федерации, а также нарастают угрозы применения информационных технологий в целях нанесения ущерба суверенитету, территориальной целостности, политической, экономической и социальной стабильности Российской Федерации3 [1].

К критически важным объектам инфраструктуры государства относят системы и средства, которые настолько жизненно важны для страны, что нарушение их работы или уничтожение оказывает необратимое негативное воздействие на национальную и экономическую безопасность, здравоохранение, правопорядок и т.д.

Примером критически важных объектов инфраструктуры являются организации топливно-энергетического комплекса, поддерживающие работу промышленных и оборонных производств, а также других стратегических объектов. Энергетика обеспечивает жизнедеятельность городов, больниц, телекоммуникационных станций, правительственных

D0I:10.21681/2311-3456-2021-2-17-25

учреждений и других социально значимых объектов. Нарушение работы критически важных объектов инфраструктуры государства может привести к дестабилизации обстановки в отдельно взятом городе и стране в целом [2-3].

Отличительной чертой всей критической инфраструктуры на планете является ее функционирование посредством мирового киберпространства, что позволяет оказывать деструктивное воздействие на военные системы, объекты экономики и т.д. любого государства без непосредственного вторжения на территорию страны и объявления войны. Практически любым объектом критической инфраструктуры (без привязки к его географическим координатам) из любой точки планеты посредством киберпространства возможно осуществлять как управление, так и его перевод в режим функционирования соответствующий собственным интересам вплоть до полного отключения. При этом объекты воздействия не уничтожаются физически и их восстановление после достижения поставленных целей не вызывает затруднений для атакующей стороны. Крайним случаем является перевод объекта в критический режим функционирования приводящий к разрушению объекта [4-6].

Данный тип сложных атак преимущественно на инфраструктуру государственных и военных объектов, целых отраслей и конкретных компаний называют APT-атаками (Advanced Persistent Threat). Ежегодно количество APT-атак возрастает, по состоянию на 2019 г. доля проведенных APT-атак по отраслям выглядит сле-

1 Добрышин Михаил Михайлович, кандидат технических наук, сотрудник Академии ФСО России, г Орел, Россия. E -mail: Dobrithin@ya.ru

2 Закалкин Павел Владимирович, кандидат технических наук, докторант, Военная академия связи, г Санкт Петербург, Россия. E -mail: pzakalkin@mail.ru

3 1) Доктрина информационной безопасности Российской Федерации. Утверждена Указом Президента РФ 05.12.2016 г № 646. 2) Военная доктрина Российской Федерации. Утверждена Президентом РФ 25.12.2014 г. № ПР-2976.

дующим образом: государственные учреждения (70%), промышленные компании (60%), финансовая отрасль (45%), топливно-энергетический комплекс (41%)4.

Злоумышленники совершенствуют и разрабатывают новые подходы, направленные на хищение защищаемой информации (персональные данные, реквизиты банковских карт, конфиденциальная корпоративная информация) из локальных сетей компаний. В настоящее время существуют организационные и организационно-технические подходы, позволяющие физически разграничить доступ к защищаемой информации в локальных компьютерных сетях, однако тенденции развития бизнеса требуют от должностных лиц оперативной обработки данных и принятию решений, что приводит к противоречию между требованиями к защите информации и ведению бизнеса [7-8].

Для устранения указанного противоречия в настоящее время применяют различные технические решения [9-11], которые должны обеспечить требуемый уровень защищенности, однако статистические данные, а также «резонансные» инциденты информационной безопасности, освещаемые в средствах массовой информации свидетельствуют об их недостаточной эффективности. Данный недостаток обусловлен тем, что доля целенаправленных атак занимает существенную часть от всей совокупности проводимых атак.

Наиболее часто и успешно используемой техникой в рамках APT-атак является «Phishing» - одна из техник социальной инженерии, основной целью которой является получение доступа к конфиденциальным данным пользователей. Согласно отчета Positive Technologies порядка семи из девяти группировок проникают в инфраструктуру посредством «Phishing», далее по популярности идет компрометация ресурсов сторонних организаций (с последующим проникновением в целевую систем) и компрометация сайтов, посещаемых сотрудниками целевой организации (проникновение в целевую систему посредством посещения пользователе зараженного сайта).

Организация защиты от атаки типа «Phishing» требует применение комплекса мероприятий, как на техническом, так и на организационно-техническом уровне, однако применяемый научно-методический аппарат [12-15] описывает процессы выявления атак типа «Phishing» исключительно на техническом уровне, что приводит к тому, что существенная часть атак становятся успешными.

Для устранения указанного недостатка и повышения защищенности локальных компьютерных сетей от атак типа «Phishing» необходимо разработать модель позволяющую выявлять уязвимости на организационно-техническом уровне, для их дальнейшего устранения.

4 1) Positive Research 2018 Сборник исследований по практической безопасности 2018 // Positive Technologies. C. 206.

2) Positive Research 2019 Сборник исследований по практической

безопасности 2019 // Positive Technologies. C. 297.

3) Positive Research 2020 Сборник исследований по практической

безопасности 2020 // Positive Technologies. C. 274.

Постановка задачи

Задача моделирования заключается в повышении достоверности результатов моделирования сетевой атаки типа «Phishing» за счет учета количественного и качественного состава отправляемых электронных сообщений содержащих вредоносный код, состава защищаемой локальной компьютерной сети и возможностей систем обнаружения и противодействия компьютерным атакам и антивирусного программного обеспечения блокировать электронные сообщения содержащих вредоносный код.

Целью моделирования является выявление зависимости вероятности успешной компьютерной атаки типа «Phishing» на локальную компьютерную сеть от времени, учитывающую вероятность пропуска системой обнаружения предупреждения о компьютерных атаках (СОПКА) сообщения содержащего вредоносное («зараженного») программное обеспечения (ПО); вероятность прочтения «зараженного» сообщения пользователем персонального компьютера входящего в локальную сеть (ПК) на которое отправлено сообщение и вероятность успешной активации вредоносного кода (перехода по ссылке на «фишинговый» ресурс).

Основными исходными данными являются количество персональных компьютеров в защищаемой локальной сети №пКАпК=1,2,...,п) обладающих (^/адр-Л/пК £ ^др) 1Р-адресом; количество пользователей в защищаемой локальной сети (т); количество сигнатур в СОПКА (N^N^=1,2,.периодичность обновления антивирусных баз 7-го персонального компьютера (?ОБН,/=0,1,2,...,и); максимальное допустимое в защищаемой сети время между обновлениями антивирусных баз (ГбН ); количество персональных компьютеров в атакующей сети (г); количество электронных сообщений с вредоносным кодом применяемых при однократной рассылке электронных сообщений с вредоносным кодом N ); количество типов уникальных по содержанию электронных сообщений с вредоносным кодом при однократной рассылке вредоносных сообщений

. , туник ч „

( с00бщ ); количество повторений рассылок электронных сообщений с вредоносным кодом (V); порядковый номер рассылки электронных сообщений (1=0,1,2,..., V) в заданный период времени; количество серверов получателей защищаемой информации (#е в).

Основные допущения и ограничения: рассматриваются компьютеры, имеющие доступ к мировому информационному пространству; временной ресурс сил и средств ограничен; средние значения параметров атак соизмеримы со среднестатистическими значениями; в локальной сети используется единая СОА с ограниченным ресурсом.

Структура и содержание имитационной модели компьютерной атаки типа «Phishing» на локальную компьютерную сеть

Процесс моделирования компьютерной атаки типа «Phishing» на локальную сеть заключается в поэтапной имитации: обнаружения и блокирования системой обнаружения и противодействия компью-

терным атакам электронных сообщений содержащих вредоносный код; обнаружения и блокирования антивирусным программным обеспечением электронных сообщений содержащих вредоносный код, прочтения электронного сообщения пользователями персональных компьютеров, а также обнаружения и блокирования системой обнаружения и противодействия компьютерным атакам процесса передачи сообщений на серверы злоумышленников. Последовательность функционирования модели представлен на рисунке 1.

В блоке 1 на основании анализа значений параметров рассматриваемой локальной сети и статистических значений сетевых атак типа «fishing» вводят исходные данные.

В блоке 2 формируют модель защищаемой локальной сети связи получающей доступ к ресурсам ЕСЭ (рис. 2). Модель состоит из n персональных компьютеров (ПК-1, ПК-2.....ПК-п) (каждый персональный компьютер обладает уникальным IP-адресом) имитирующих защищаемые компьютеры локальной сети; на каждый персональный компьютер устанавливается антивирусное программное обеспечение; средств обнаружения и противодействия компьютерных атак (Э-1); маршрутизатора (М-1) обеспечивающего соединение компьютеров защищаемой локальной сети между собой; маршрутизатора (M-2) обеспечивающего соединения локальной сети с единой сетью электросвязи, а также маршрутизатора (М-3) имитирующего маршрутизатора провайдера обеспечивающего соединение с сервисами единой сети электросвязи; почтовый сервер и средство обнаружения и противодействия компьютерным атакам (Э-2), через который защищаемая локальная сеть получает электронные письма.

В блоке 3 настраивают средства обнаружения и противодействия компьютерным атакам (Э-1, Э-2) (задают количество сигнатур обеспечивающих обнаружение атак; определяют перечень IP-адресов с которыми запрещено взаимодействие).

В блоке 4 формируют модель компьютерной сети (Botnet) имитирующей сеть, которая осуществляет рассылку электронных сообщений с вредоносным кодом. Модель состоит из группы персональных компьютеров (Bot-1, Bot-2.....Bot-z) соединенных между

собой маршрутизатором (М-4), группы персональных компьютеров (ПК-С1, ПК-С2.....ПК-Cs) имитирующих серверы на которые отправляются сообщения после заражения вредоносным кодом персональных компьютеров защищаемой локальнойсети.

В блоке 5 формируют перечень типов электронных писем с вредоносным кодом. Каждый тип электронного письма обладает уникальным IP-адресом отправки; атрибутами различных сетевых сервисов и служб (служба рассылки сообщений провайдеров услуг связи, банков), государственных министерств или ведомств, интернет ресурсов (магазины, рекламные агентства); различным вредоносным кодом (язык программирования, типовые блоки, способы активации).

^ Начало ^

Ввод исходных данных

г 2

Форм-е модели локальной сети

г 3 -

Настройка параметров СОПКА

4

Форм-е модели Botnet

г 5

Форм-е типов применяемых электронных писем

6-

Модел-е атаки на локальную сеть

г 8 -

Определение

наборов параметров Botnet

9

Расчет Рк

г 10-

Выбор параметров Botnet

^ Конец ^

База данных

Рис.1.Последовательностьфункционирования модели компьютернойатаки типа «Phishing» на локальную сеть

В блоке 6.1 Botnet отправляет на 1Р-адреса персональных компьютеров защищаемой сети электронные сообщения с вредоносным кодом. При моделировании изменяют количество электронных сообщений с вредоносным кодом (1,2,...,#сооб1Ц) отправляемых на один персональный компьютер; количество типов уникальных по содержанию электронных сооб-

« / 1 А тУ1™ ч

щений с вредоносным кодом (1,2,...,Лсообщ ) и количество сигнатур в СОПКА (Э-1, Э-2) (#СИГ,#СЩГ=1,2,...,5).

1

7

Рис. 2. Функциональная схема проведения компьютерной атаки типа «Phishing»

налокальнуюсеть

ЕВ блоке 6 моделируют атаку на локальную сеть (рис. МД

Д баоье 6.И на основании ттатиутлпесних данныу иолунунных крм нуькдулти кохидентва оттсаиаен-уыа ^сект^р^с^уных с оо б ще ний из Во1т^ и обнаруждн-дых соб.щопкй С01°Кл уЗ-1, Ет-И^) о п редесяют т>1п

щ н т тме* 1

электрон н ы х со об щ е н и й («б^ ), которые СОПКА нлапособна сэбКнбрритмирь. (УтикыеЕсакии боличеслве ьлентрбнных одобщ^нты пиюс^^иишич е лгарец-ицаиугиендт локуььную теть. Побудееные онгачьньп сохрауянанв баау ааочых (ииок 7).

В е лоао 6. .У аавчтр.ют дббы^бекк^и :а,и<пккЕзони1К1^ соод-щениу с ьреиеаоскым оо/ром нн е<и|тн:о)н^/\ь.чое1 и;ол1ПЬз1чи-

тlае. Г-Ц.-.П к^и/п-пЕие оС5//^б^иси ьа^еиксоа1чыхкооЬ-п(г^нип1

и^/мнннпют тьчь.1 ;мбе^хип|ыти1нЬ(1х сс^пкКщипоНа (е/ИНщ)' ко~ ап|ьт.е <^С)КНН./63 пeеныалOнл онысружеть, к/оичиитпо пор 7и(креиии уаccылое яalпнкoииыx с оо бщпинй и буедв-нотпв1м ^р^-)с^р.^ (1,^,°.,^) у ЗпЕГ/aии)зlи то^кт ^|з^мпки, а бачхее оарщелнвАяюп ь>Н)н осляинт.^ уттивиунхнма -Г-,)п

у6-/ ^ Ж m(Я; ,атак) ^ с бп а З с бн 'й-'Н с Гн Л

BO7oвlм,4 иа тановании анхииза но/^иа^и^^^е прон3-птвLi\нуэлeктьеитыxcoo1щeнпTc в7l60нoтпыь Poдoм иа нeрьонaльныв P6мпьютoа и oMн77н>змиь оп ы и ии ви -pули^Г|l^ ирюзраммны он вХ^апеч^бием опсoooляюееlп т-чесиву не ос н урр/женных орcвтaдьныв тииом иеи^РКщ): ьоантоствл пoaтырoтиT сaccыубкблeктрoтныxьвo0щo-ни3^^..^^ брбмямeжoнoонвуабнпямт (ан"""и¡вlн(кyп( о паи Oьн((вЬнс)) пpиl7oтo|oolг антнанпжсноп н)|ь е г рстол-аoд oCолтбЧ6Нйo ни aнoвoЫсo oPиУ7хжниьрлбюмо пкые сообщения с вредоносным кодом. Полученные значе-ниясохраняютвбазуданных(блок 7).

В блоке 6.5 имитируют прочтение пользовхселпм Е-ну зaщижP0мoт аoксскиoл сити хддапpoнных cooбжo-уип ^ ркoдднocныжуooом ХеебктММ: необнаруженных антивирусным программным обеспечением. Процесс

имитации основан на розыгрыше вероятностей прочтения. Опорные вероятности форб ируют на осннва-нии соотношения социального гфофилд толызователл и атрибутов электронногосообщтния.

В блоке 6.6 определяют количество пepcoьa(ьныс компнюторов, на которых активирован вредоносный код из полученных электронных писем. Полученные значетия сохраняют вбазу даинье^ос ер

В блоке 6.7 отправляют с зл^женного нpeдoнoc-ным кодом персонального комныытepaнaьечaлxхl ив. лучатели защищаемой информации N пилектрюнные сообщения; работу антивирусн7хo асдзвaммтoг"oo1Ыl апепбнпя н СОПКА. При имитацои дтпpaвoиceoбщeний на сервер получателей защищаемой инфиумацьн на каждом зараженном персональном компьютере из-сзоапют: 1Р-адреса сервера получателя защищаемой иафо|тмации; сетевые протокохы.с помощью котьрых отправляют сообщения; количеиовд сиинатуупатииви-русномпрограммномобеспеччадн и мщз^.

у илоке 6.8 на основании акaикcтснecких щтн^н^ь^^х о о редевяют количество серверта пoлyчaтвл7Hьсщищв-емой информации (А* ), а также сетквыеиуотоколы, с помощью которых отправляюиa6oбщoния;кчакчecтвo сигнанур антивирусного программного обеспечения и СОЗКА при которых данные сообщения были переданы. Полученные значения сохраняют в базу данных (блок 7).

В бабке 8 на основании полущенных их блокау ^¡энп ных ебъеаиняют значения параметров Е^Мет в /о т а-боров.

В блоке 9 рассчитывают значеник cпьниcтической дeyoвтхoрти успешной атаки (р) для И-го набора зна-чoтийпараметровBotnet

где N

зар

количество усоелно ез^рэ^ж^нн^ь.^^ наборе, Л/Г-

персональных компьютеров пр>и количествоатакуемых компьютеров.

Рассчитанные значения сохраняют в базе данных (блок 7).

В блоке 10 на основании анавнза тначенпй вероятп ности успешной атаки (Рп оярегваенаянпт /г-й ныбор ¡значений параметров Botnet, при потоком вт роятнос-тнззаражения персонального компьютера достиыает модню мальнопнзначения.При одинаковыхтнч чениях ве^ят-ности успешной атльиПел) оыбу|н чг-то набора ззачений параметровBotnet производит оператоо.

Обработкарезультатовмоделирования,

оппедаление аеалмти

кОМО ЯЮИбрНТе ЭТЭСИ ИИ00«Р1ш11^»

налокальную компьютерную сеть

На основании аппроксимации результатов имитационного геоварпрования (аппроксимация проводилось при помощи Ма^аЬ R 2012а, программы для ЭВМ Ad-уопсес! Спм[Иег уег. ол)полз« е-и 1ы слемующое йар!ирИя мости:

Веробонаспт ареешной компы<нтеаР0(1 ^"^аак^и бибн «РИизМнь» оа аокабьную сем:

pphrnng (t)=PT (t) P2(t) P3 (t)

(1)

где Рх (0 - ве роятн ость пропувка СОП ИСА сообщения содержащего вредоносное («зараженного») ПО; Р - вероятность прочтения «зараженного» сообщения тбльковооблем ПК на которое об^знано сообщетие; ;н3 рр) - вероятнообь^ипешкой актиоацае вредоноснииб кооб(пор)^хб/оа ом ссылке ббфиоиингов ь> Iй ресурнО

wcoo6 щ ('- Ц уник

Р1 = К1

(2)

где /у _ кооэффициеент полноты используемых электронных адресов нокольной сети про о^ведеуии ахами;

°сор g о - и;к/\итдстыиы ыоек^о н кою сеибщетнй а сдтрт

и к?мни к

«ыйй/и^ы» россоФК1и ; О^со д 1й(ы/\рчеыи;т^о -/^ик;^(\1^ыы1:з1х

по содесжснню ;эыт»\»ыо1Р1^\^1»< с\с^сХ)ик<УНиíí н орбис»( «висл»

йн» оыосыиро; / - исасхос ковы н нхмад «оынн^Ьз i » раовыаси

;эоект|лс;тньы1рсеоб »цдн т р \ 1,2 ,... , е Кс оeртo«(ыурo «оонн»

онссн1лни соeкrаoхлыр coлащетеИ а тон^ниеи втокиО

К,

д7атак i _ NIPn

N,P

ооfTак ¿

И/Р П

ыеы про i

7нтаК Í

количествы -ей «долие^» /стесав в

атакуемых IP ра сыь i ыкт; НО /\с» калнн ай

ip

с\\эын

(3)

адре-- кд-

(ОТ

п

адр

; п = НН , 1 , б , ; ..,Ч]адр, i = 0,1 , 2 . . .V);

Р2 = 1 - (32 ),

(4)

Рис. З.Яосоемовеиел илазик Луй/веосиоо^/пп^олзез/ми^? блоиа момолиеивдмия коеыпепиивиоо й атака нипа«РЬ '^'т^>на локальнуюсеть

Моделиртваниюкомруютерной атаки типа «Phishing» на локальеую комотюьериою сато

Представленная модель йоел и т ованп к и мптопо оа-ной среде AnyLogic.

Исходные давные, иенольз^мые прв оопелирюва-нии, представлеиыыт=елыщс 1.Испиаиым оен^ь^ю, «о изменяемыео|еи мессли|нойеьп и : ЛО^^ОО3. пУ^^О, п =70 сТбн* = 1 Ь Ь 0. Результаты маоее ипвпантя мред-ставлены на рисун кахФб .

где К - количество пользователей на одной ПК в за-

щищаемой локальной сети:

^ »/L ■ « с

оде п - количество 07 в оащтщьтмой ло ка икоой иетт; ее т количество пользователей в защищаемой локальной сети;

ри =

(/и)"

i-i

(6)

Таблица 1

Исходные ьанные, применяемые при м одел иро ва н и о

Перс слете ДГУНИК сообщ лгатак i п1Рп i m Собн

Диапазон изменения 1-100 1-70 1-10 1 -3 1-и4ао

Шаг изменения 1 1 1 1 60

Рphishing 0.3

0.4

0.2-----------

0.1

01---

0 50 100 150 200 250 300 350 400 450 500

t

Рис. 4. Зависимость вероятности успешной КА типа «Phishing» от времени при различном количествеуникальныхсообщений водной«волне» рассылкесообщений

Рис.5.ЗависимостьвероятностиуспешнойКАтипа«Phishing»от времениприразличном количестве IP-адресов, на которые осуществляется рассылка сообщений

Pphtinz 0-4г- |-1--

CL32

0 24----------|

0.16

OOS— ---—

__ '-1-,

% 50 100 1:0 200 250 300 350 400 4:0 500

t

Рис. 6. Зависимость вероятности успешной КА типа «Phishing» от времени приразличном времениобновленияантивирусных базСОПКА

где О- относительная акдуальносоь базоредств СОП КА ез з а щ ищаемой ле аальбоп пети:

Щ3( О 7 1~т1х ч ( 7 )

п со бн

где йВбн - периодичность обновления антивирусных б аз н а н'-й пК (

(=0, 1,2 . .. и); - максимально допустимое в

защищаемой сети время между обновлениями антивирусных баз.

Выводы

Использованиеразработаннвго предложвдия по-звоаяет па освове абпрокаее1\лсняпя роаульпатоа иеия тацьоптоео моделврюваниа атзоеяоть авлвитяоосмую зависимость вероятности успешной компьютерной атаки типа на локальную сеть. Новая ана-

Литература

литочеаядя модтль позводяесоценить защиорредтсть локальной компьютерной сети, а также эффективность разработанных мероприятий защиты от компьютерной атаки типа «РЬ^Мп^».

Оценкв эфгреггпьн остнпрвдлагаемого пи явложон и я проводилась на основанал сравнения достоверности результатов моделирования компьютерной атаки типа «Р|-^|-|^» с одним из известных решений. Результаты раноота поьасываютповышеияеоостовер ности результатов моделирования на 21,7 %. Таким образом, по-стввменнав зада ч а исследования выполнена.

Научная новизна разработанной модели заключается в том, что она позволяет за счет учета новых параметров, яроведенян компьютер нойятави тип а «РЫвМпд» а втнвшении ловально й еоапьюторвап сени, получитя аременнов аредатявле-нио и ьолте рареооноспееа иавпсимости. Элементы разработанной модели частично реализованы в про-граммедляЭВМ[16].

1. Добрышин М.М. Модеыь р>азнноро/\иых кезлепьютерных атгзк проЕ!одиллых одноврепменно^гз узел компьютерной сети связи // Телекоммуникации. ХЫОД. ЫпДМ. С. РЫй .

2. Стародубеыв ыы.и., Зхкаткин П.ТЫ Дванов Р./Ы. Уеыиноыфеенаявсойму рук иснелнкй ипоенб еазрешения ронТвивтовв уеловиях глобализарин Д/ Вохннаи мыть. рудр № еы. Сыдмф.

Ы. Ы^^ы^о^^^Ыре^ Ю.И., Нухмуин Ы.Т., Сыденот //еоенхаяМеюль^ОИ. Ы^п У. Т.22-31.

Р. ЫДЫевскиС И.0в Размнеы Р^И., Запивахин О.В., Комов С.А. и др. О взглядах администрации США на киберпространство как новую сТ^еЫувевнЫие вхкндым екйстеиП йСВоыуная оизыь. ЫЕОН(У. № 10. СРЫ-Ш.

Р. Родеыкьнк H.H. lй\oHaттхыe выeинв-треиьичыекии йробыхды йЫ>ш/ыелРЫз/СНЫЗ ьсЫ>кемациохнрМ бу^ое^сн^с^ти: тьтденции, ТГн02Ы. пктаепкувивы ТС Воыкосы! ынДееHeзпыыеипимo Ы01M. Ы. 1(Ы9). 0.2-8. DЗI.10.21MаVЫЫПl-345Уы20ТЫ-Ы-2-Д

т. Ду«ыев P.a., б.Ю. Ктютову 0ыдвчынкo Фние тххрогенуыюкаыастрнф, птовор^р^п^^^ь^^^ в ходевыхннкю ывыствий // Военная мысль. 2019. № 10. С. 41-48.

7. Гаськова Д.А., Массель А.Г. Технология анализа киберугроз и оценка рисков нарушения кибербезопасности критической инфраструктуры // Вопросы кибербезопасности. 2019. № 2 (30). С. 42-49. DOI: 10.21681/2311-3456-2019-2-42-49

8. Карцхия А.А., Макаренко Г.И., Сергин М.Ю. Современные тренды киберугроз и трансформация понятия кибербезопасности в условиях цифровизации системы права // Вопросы кибербезопасности. 2019. № 3 (31). С. 18-23. DOI: 10.21681/2311-34562019-3-18-23

9. Бегаев А.Н., Добрышин М.М., Закалкин П.В., Реформат А.Н., Рауткин Ю.В. Комплексный алгоритм мониторинга защищенности узлов VPN от компьютерной разведки и DDOS-атак // Электросвязь. 2018. № 7. С. 46-52.

10. Гречишников Е.В., Добрышин М.М., Закалкин П.В. Модель узла доступа VPN как объекта сетевой и потоковой компьютерных разведок и DDoS-атак // Вопросы кибербезопасности. 2016. № 3 (16). С. 4-12. D0I:10.21681/2311-3456-2016-3-4-12.

11. Бегаев А.Н., Гречишников Е.В., Добрышин М.М., Закалкин П.В. Предложение по оценке способности узла компьютерной сети функционировать в условиях информационно-технических воздействий // Вопросы кибербезопасности 2018. № 3 (27). С. 2-8. DOI: 10.21681/2311-3456-2018-3-02-08.

12. Дроботун Е.Б. Теоретические основы построения систем защиты от компьютерных атак для автоматизированных систем управления. СПб.: Изд-во «Наукоемкие технологии», 2017. 120 с.

13. Паршуткин А.В. Концептуальная модель взаимодействия конфликтующих информационных и телекоммуникационных систем // Вопросы кибербезопасности. 2014. № 5 (8). С. 2-6.

14. Анисимов В.В., Бегаев А.Н., Стародубцев Ю.И. Модель функционирования сети связи с неизвестным уровнем доверия и оценки её возможностей по предоставлению услуги VPN с заданным качеством // Вопросы кибербезопасности. 2017. № 1 (19). С. 6-15. DOI: 10.21681/2311-3456-2017-1-6-15.

15. Еремеев М.А., Аллакин В.В., Будко Н.П. Модель наступления критического события информационной безопасности в информационно-коммуникационной системе // Наукоемкие технологии в космических исследованиях Земли. 2017. Т. 9. № 6. С. 52-60.5

16. Свидетельство о государственной регистрации программы для ЭВМ № 2019610015. Программа расчета вероятности осуществления злоумышленником сетевой атаки типа «Фишинг». / М. М. Добрышин, П.В. Закалкин, Р.В. Гуцын. - опубл. 10.01.2019 г. Бюл. № 1

MODEL OF A "PHISHING" TYPE OF COMPUTER ATTACK

ON A LOCAL COMPUTER NETWORK

Dobryshin M. M.5, Zakalkin P. V.6

Abstract: The purpose of the article is to inform information security specialists and researchers of the identified analytical dependencies that take into account the parameters that characterize the process of conducting computer attacks of the "Phishing" type. New dependencies provide an increase in the reliability of the results of assessing the security of a local computer network that has access to the global information space from the specified threat.

Research method: simulation of computer attacks of the "Phishing" type and determination of the analytical model based on the approximation of the simulation results.

The result: a set of tools for engineering and technical personnel has been created to assess the security of a local computer network from a "Phishing" type of computer attack and, if the result is unsatisfactory, determine measures to protect the network.

Keywords: simulation model, analytical model, simulation, computer attack of the "Phishing" type.

References

1. Dobryshin M.M. Model' raznorodnyh komp'juternyh atak provodimyh odnovremenno na uzel komp'juternoj seti svjazi// Telekommunikacii [Telecommunications] 2019. No 12. pp. 31-35.

2. Starodubcev Ju.I., Zakalkin P.V., Ivanov S.A. Tehnosfernaja vojna kak osnovnoj sposob razreshenija konfliktov v uslovijah globalizacii // Voennaja mysl' [Military throught]. 2020. No 10. pp.16-21.

3. Starodubcev Ju.I., Buharin V.V., Semenov S.S. Tehnosfernaja vojna // Voennaja Mysl' [Military throught] 2012. No 7. pp. 22-31.

4. Dylevskij I.N., Bazylev S.I., Zapivahin O.V., Komov S.A. i dr. O vzgljadah administracii SShA na kiberprostranstvo kak novuju sferu vedenija voennyh dejstvij // Voennaja mysl' [Military throught] 2020. No 10. pp.22-29.

5. Romashkina N.P. Global'nye voenno-politicheskie problemy mezhdunarodnoj informacionnoj bezopasnosti: tendencii, ugrozy, perspektivy // Voprosy kiberbezopasnosti. 2019. No 1(29). pp. 2-8. DOI: 10.21681/2311-3456-2019-1-2-9.

6. Durnev R.A., K.Ju. Krjukov, Deduchenko F.M. Preduprezhdenie tehnogennyh katastrof, provociruemyh v hode voennyh dejstvij // Voennaja mysl' [Military throught] 2019. No 10. pp. 41-48.

7. Gas'kova D.A., Massel' A.G. Tehnologija analiza kiberugroz i ocenka riskov narushenija kiberbezopasnosti kriticheskoj infrastruktury // Voprosy kiberbezopasnosti. 2019. No 2 (30). pp. 42-49. DOI: 10.21681/2311-3456-2019-2-42-49.

5 Mikhail Dobryshin, Ph.D., Fellow of the Academy and FSO of Russia, Orel, Russia. E-mail: Dobrithin@ya.ru

6 Pavel Zakalkin, Ph.D., Military Academy of Communications, St. Petersburg, Russia. E-mail: pzakalkin@mail.ru

8. Karchija A.A., Makarenko G.I., Seregin M.Ju. Sovremennye trendy kiberugroz i transformacija ponjatija kiberbezopasnosti v uslovijah cifrovizacii sistemy prava // Voprosy kiberbezopasnosti. 2019. No 3 (31). pp. 18-23. DOI: 10.21681/2311-3456-2019-3-18-23.

9. Begaev A.N., Dobryshin M.M., Zakalkin P.V., Reformat A.N., Rautkin Ju.V. Kompleksnyj algoritm monitoringa zashhishhennosti uzlov VPN ot komp'juternoj razvedki i DDOS-atak // Jelektrosvjaz' [Telecommunication]. 2018. No 7. pp. 46-52.

10. 10. Grechishnikov E.V., Dobryshin M.M., Zakalkin P.V. Model' uzla dostupa VPN kak ob'ekta setevoj i potokovoj komp'juternyh razvedok i DDoS-atak // Voprosy kiberbezopasnosti. 2016. No 3 (16). pp. 4-12. D0I:10.21681/2311-3456-2016-3-4-12.

11. Begaev A.N., Grechishnikov E.V., Dobryshin M.M., Zakalkin P.V. Predlozhenie po ocenke sposobnosti uzla komp'juternoj seti funkcionirovat' v uslovijah informacionno-tehnicheskih vozdejstvij // Voprosy kiberbezopasnosti. 2018. No 3 (27). pp. 2-8. DOI: 10.21681/2311-3456-2018-3-02-08.

12. Drobotun E.B. Teoreticheskie osnovy postroenija sistem zashhity ot komp'juternyh atak dlja avtomatizirovannyh sistem upravlenija. SPb.: «Naukoemkie tehnologii», 2017. 120 p.

13. Parshutkin A.V. Konceptual'naja model' vzaimodejstvija konfliktujushhih informacionnyh i telekommunikacionnyh sistem // Voprosy kiberbezopasnosti. 2014. No 5 (8). pp. 2-6.

14. Anisimov V.V., Begaev A.N., Starodubcev Ju.I. Model' funkcionirovanija seti svjazi s neizvestnym urovnem doverija i ocenki ejo vozmozhnostej po predostavleniju uslugi VPN s zadannym kachestvom // Voprosy kiberbezopasnosti. 2017. No 1 (19). pp. 6-15. DOI: 10.21681/2311-3456-2017-1-6-15.

15. Eremeev M.A., Allakin V.V., Budko N.P. Model' nastuplenija kriticheskogo sobytija informacionnoj bezopasnosti v informacionno-kommunikacionnoj sisteme // Naukoemkie tehnologii v kosmicheskih issledovanijah Zemli [Science-Intensive technologies in space research of the Earth]. 2017. Vol. 9. No 6. pp. 52-60.

16. Svidetel'stvo o gosudarstvennoj registracii programmy dlja JeVM № 2019610015. Programma rascheta verojatnosti osushhestvlenija zloumyshlennikom setevoj ataki tipa «Fishing». Dobryshin M. M., Zakalkin P.V., Gucyn R.V.. - opubl. 10.01.2019 g. Bjul. No 1.