^ СОВРЕМЕННЫЕ ТЕХНОЛОГИИ - ТРАНСПОРТУ
УДК 004.056.53
Г. А. Бекбаев, А. А. Привалов, Н. Б. Ачкасов, А. О. Кравцов
МОДЕЛЬ ПРОЦЕССА «DDOSw-АТАКИ НА ТЕЛЕКОММУНИКАЦИОННУЮ СЕТЬ ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА
Дата поступления: 09.06.2017 Решение о публикации: 09.06.2017
Аннотация
Цель: Определить среднее время и функцию распределения времени успешной реализации нарушителем компьютерной «DDoS»-атаки на элементы телекоммуникационной сети железнодорожного транспорта (ТКСЖТ). Методы: Для решения задачи применялись методы общей теории систем, теории информационной безопасности, теории вероятностей, теории массового обслуживания, а также метод топологического преобразования стохастических сетей (ТПСС). Расчеты производились с применением пакета прикладных программ MathCAD. Результаты: Разработана математическая модель процесса реализации нарушителем «DDoS»-атаки на ТКСЖТ и найдены вероятностно-временные характеристики системы кибервоздействия нарушителя, целью которого является срыв процесса управления перевозками. Практическая значимость: Предложенная модель обеспечивает нахождение исходных данных для комплексной оценки устойчивости функционирования ТКСЖТ, работающей в условиях кибервоздействия нарушителя на сетевые элементы ТКСЖТ. Установлено, что эта модель адекватно отображает моделируемый процесс, чувствительна к изменению входных данных, позволяет получать непротиворечащие логике результаты, а также выявлять целесообразные направления обеспечения кибербезопасности ТКСЖТ.
Ключевые слова: Компьютерная атака, DDoS-атаки, топологическое преобразование стохастических сетей, эквивалентная функция, метод двухмоментной аппроксимации.
Gamzatdyn A. Bekbayev, postgraduate student, gamzat-86@mail.ru; Andrey A. Pryvalov, D. Military Sci., professor, aprivalov@inbox.ru (Emperor Alexander I St. Petersburg State Transport University); Nikolay B. Achkasov, D. Military Sci., professor, gamzat-86@mail.ru (Marshal of the Soviet Union S. M. Budyenniy Military Academy of Intercommunications); Anton O. Kravtsov, postgraduate student, kravcovanton@mail.ru (Emperor Alexander I St. Petersburg State Transport University) «DDoS»-ATTACK PROCESS MODEL ON TELECOMMUNICATION NETWORK OF RAILWAY TRANSPORT
Summary
Objective: To determine the average time and timing function of a violator's successful realization of «DDoS»-computer attack on elements of telecommunication network of railway transport (TCNRT). Methods: In order to solve the task in question the methods of general systems theory, information security theory, probability theory, theory of waiting lines systems, as well as the method of stochastic networks' topological transformation (SNTT). The calculations were carried out by means of MathCAD application software package. Results: A symbolic model of a violator's «DDoS»-attack on TCNRT realization process was introduced, as well as the identification of probabilistic time response characteristics of
a violator's cyber impact system, whose aim is to upset transportation management process. Practical importance: The suggested model ensures initial data identification for integrated TCNRT functioning assessment, operating under the conditions of a violator's cyber impact on TCNRT network elements. It was found that the model in question may adequately represent the prototype process, is sensitive to input data alteration, makes it possible to obtain the results which do not contradict logic, as well as to identify the appropriate directions of TCNRT cyber safety organization.
Keywords: Computer attack, DDoS-attacks, topological transformation of stochastic networks, equivalent function, method of double-stage approximation.
Введение
Обеспечение безопасности информации является весьма важным аспектом развития современного общества. В связи с тем, что в автоматизированных системах обработки информации и управления (АСОИУ) обрабатывается и хранится конфиденциальная и секретная информация, данная проблема актуальна при проектировании и эксплуатации АСОИУ [1].
Сложность обеспечения устойчивой работы современных автоматизированных систем обработки информации и управления железнодорожного транспорта (АСОИУ ЖТ) в последнее время возросла из-за участившихся случаев террористических актов, реализуемых нарушителями и сопровождающихся, как правило, информационными воздействиями на элементы АСОИУ. Информационные воздействия осуществляются нарушителем путем компьютерных атак (КА), цель которых - главный производственный процесс, реализуемый на поражаемом объекте.
Результатом воздействия КА являются блокирование управляющей информации, нарушение установленных режимов работы систем сбора, обработки и передачи информации в АСОИУ, отказы, сбои в работе телекоммуникационных сетей железнодорожного транспорта (ТКСЖТ).
В работах [1-5] приведены наиболее известные в настоящее время виды КА, из которых особое место занимают «DDOS^-атаки (Distributed Denial of Service - распределенный отказ в обслуживании). Распространен-
ность данного вида КА обусловлена простотой их реализации и тяжелыми последствиями после ее свершения. По данным «Лаборатории Касперского» [6, 7] в 2015 г. «ББо8»-атаке подверглась каждая шестая российская компания. При этом нарушители чаще всего выбирали своей мишенью крупный бизнес с государственным участием (20 %), средний и малый бизнес (17 %). «ББо8»-атаки были нацелены на создание проблем в работе главной страницы сайта компаний (55 % атак), выведение из строя коммуникационных сервисов и почты (34 %), функции, позволяющие пользователю войти в систему (23 %). При этом эксперты отмечают, что Россия занимает пятое место в мире по количеству «ББо8»-атак на АСОИУ различного назначения.
Таким образом, актуализируется задача оценки возможностей нарушителя по осуществлению «ББ08»-атаки на АСОИУ ЖТ, одним из основных элементов которой является ТКСЖТ.
В настоящей статье рассматривается модель процесса свершения КА «Распределенный отказ в обслуживании» на элементы ТКСЖТ и приведен расчетный пример. Модель позволяет оценить не только потенциальные возможности нарушителя, но и время, затрачиваемое им на реализацию «ББ08»-атаки на сетевые элементы ТКСЖТ.
Постановка задачи
Пусть имеется ТКСЖТ, которая включает в свой состав маршрутизаторы, коммутато-
ры, серверы, модемы и мультифункциональ-ные абонентские терминалы. Положим, что сетевые элементы ТКСЖТ функционируют в условиях «DDOS»-araK организованного нарушителя.
Для реализации «DDOS»-aтaки нарушитель осуществляет настройку и запуск программы, обеспечивающей формирование и направление запросов за среднее время t3an с функцией распределения времени W(t). Далее он приступает к определению активных элементов атакуемой ТКСЖТ, типов или версии операционных систем, а также сетевых сервисов за среднее время ^Оп.элем , ton.oc , 4.серв
с функциями распределения M(t), D(t), L(t). Указанные действия нарушитель реализует
успешно с вероятностью /Оп элем , Роп.ос и Роп.серв соответственно. Расчет Роп.элем , Роп.ос,
Ропсерв осуществляется с использованием [8-12]. Если хотя бы один из перечисленных частных процессов организованному нарушителю реализовать не удалось, то они возобновляются с вероятностями (1 - Р,пэлем ), (1 -
- Роп.ос) и (1 - Рор серв) соответственно через
среднее время ^овт.с.скан с функцией распределения Z(t). Далее нарушитель анализирует полученные данные и определяет уязвимости элементов атакуемой сети за среднее время tcm уязв с функцией распределения времени K(t). После успешной реализации перечисленных выше частных процессов нарушитель отправляет запросы на подключение к серверам атакуемой ТКСЖДС за среднее время t3anp с функцией распределения времени 7(t). Возможность подключения к атакуемому серверу характеризуется вероятностью Рподс, а получение ответа о его состоянии происходит через среднее время ?дос.ксерв с функцией распределения времени U(t). В случае не получения доступа нарушитель направляет повторный запрос за среднее время ^овзапр с функцией распределения времени V(t). В случае успешной реализации всех частных процессов организованный нарушитель отправляет большое число анонимных ложных запросов на подключение и из-за переполнения оперативной памяти серверное оборудование ТКСЖТ
будет не в состоянии обрабатывать запросы легитимных пользователей. Такая блокировка серверов осуществляется за среднее время 4авис с функцией распределения N(t).
Требуется определить среднее время и функцию распределения F(t) времени реализации нарушителем «DDoS^-атаки.
Ограничения и допущения
Нарушитель имеет доступ к элементам ТКСЖТ, характеризуемый соответствующими вероятностными показателями, указанными в постановке задачи.
Случайное время реализации частных процессов характеризуется экспоненциальным распределением.
Вер°ятн°сти Роп.элем = Роп.ос = роп.серВ = Р = Р принимают одинаковые значения.
под.с п г
Решение
Представим описанный в постановке задачи процесс в виде стохастической сети на рис. 1.
Примем, что в стохастической сети: w(s), m(s), z(s), d(s), l(s), k(s), _y(s), v(s), u(s) и n(s) -преобразования Лапласа-Стилтьеса соответствующих функций распределения, указанных в постановке задачи, определяемые как
Г (s) = j exp(-st )d [ R (t )] =
r + s
С целью определения эквивалентной функции (рис. 1) замкнем вход и выход стохастической сети фиктивной ветвью 6 (5) =-
6(5)
и перечислим петли первого и второго порядков [13].
Петли первого порядка:
- т( 5)-(1 - Рп )• 2 (5);
- т( 5) • а (5 )• Рп-(1 - Рп )• 2 (5);
- т(5) • а(5)• I(5) • Рп2-(1 - Рп )• 2(5);
- У( 5) • (1 - Рп )• у( 5).
Петли второго порядка:
- т(5) • (1 - Рп )2 • 7(5) • 7(5) • у(5);
- т(5) • а(5) • Рп • (1 - Рп )2 • 7(5) • у(5) • у(5);
- т(5) • а(5) • I(5) • Рп2 • (1 - Рп )2 • 7(5) • Я5) х
Использовав уравнение Мейсона Н = 1 +
к
(-1)к • Qk (5) = 0, где дк (5) -эквивалент-
(=1
ные функции петель к-го порядка, получим эквивалентную функцию стохастической сети:
т о О О
Q(s, Pn ) =
w(s) ■ m(s) ■ d (s) ■ l (s) ■ к (s) ■ y (s) ■ u (s) ■ n( s) ■ Pf 1 - m(s) ■ (1 - Pn) ■ z (s) ■ [1 + d (s) ■ Pn + d (s) x
x l(s) ■ Pn2] -y(s) ■ (1 - Pn) ■ v(s) +
a о о u
я
о &
с
-о
h «
о *
о
S h О
се X
о н О
о S
m(s) ■ (1 - Pn )2 ■ z(s) ■ y (s) ■ v(s) x
(1)
1 + d(s) ■ Pn + d(s) ■ l(s) ■ P2
Так как (1), по определению, является характеристической функцией, то ее дифференцирование позволяет найти первый и второй начальные моменты случайного времени реализации моделируемого процесса, т. е.
s, Pn ) = -d ds
M2(s, Pn ) =
d2
ds2
Q( s, Pn ) Q( s = 0, Pn)
Q( s, Pn ) Q( s = 0, Pn)
s=0
s =0
Отсюда среднее время реализации «ББ08»-атаки равно
^ (Pn ) = -d
Q(s, Pn ) Q( s = 0, Pn)
s=0
Дисперсия времени реализации «ББ08»-атаки 1р) , определяемая как второй центральный момент, представлена выражением
D( tp ) =
d2
ds2
Q( s, Pn ) Q( s = 0, Pn )
d_ ds
Q(s, Pn ) Q(s = 0, Pn )
s=0
tоп.уязв 7 M tn
= 4 M t = 4 M
^ ш> запр ^ ш>
.= 1 M, t
= 4 м, t.
= 3 m,
= p = p = p = p =
оп.элем оп.элем оп.ос оп.серв под.с
= P = 0,7-0,9.
Vi 7 7
Вычисление математического ожидания и дисперсии позволяет с достаточной для инженерных расчетов точностью определить функцию распределения времени успешной реализации «ББо8»-атаки как неполную гамма-функцию [13]:
F (t) =
0, если t < 0;
0 Г(а)
>а-1 -ц-t
e ^ dt, если t > 0,
(2)
[ tp (Pn )]2 ф
где а = ———— - параметр формы; р =
= tp (Pn ) D(' )
D( tp )
= р\ п/ - параметр масштаба.
D(tp) Р Р
По формуле (2) произведены расчеты, результаты которых представлены на рис. 2.
В качестве исходных данных использовались следующие значения среднего времени реализации частных процессов: t3an = 2 м,
¿оп.элем = 7 м ¿оп.ос = 5 м ¿оп.серв = 6 м
Заключение
Анализ полученных результатов показывает, что разработанная модель процесса реализации нарушителем «ББо8»-атаки на элементы ТКСЖТ чувствительна к изменению исходных данных, позволяет получать не противоречащие логике результаты, адекватно отображает процесс компьютерной атаки и дает возможность определить вероятностно-временные характеристики системы кибер-воздействия нарушителя. Вероятностно-временные характеристики можно применить как исходные данные для комплексной оценки устойчивости функционирования ТКСЖТ с использованием моделей [12, 14]. Результаты моделирования показывают, что основное влияние на успешность реализации нарушителем ББо8-атаки на элементы ТКСЖТ оказывают параметры, отображающие его доступность к сетевым элементам, применяемые в ТКСЖТ методы идентификации и аутенти-
0 30 60 90 120 150
I, мин
Рис. 2. Функция распределения времени реализации КА «ВБо8» при изменении вероятности Рп
фикации легитимных пользователей, а также уровень подготовки (квалификации) нарушителя. Для повышения защищенности ТКСЖТ от кибервоздействия нарушителя целесообразна реализация организационно-технических мероприятий, изложенных в [15].
Библиографический список
1. Коцыняк М. А. Устойчивость информационно-телекоммуникационных сетей / М. А. Коцыняк, И. А. Кулешов, О. С. Лаута. - СПб. : Изд-во Поли-техн. ун-та, 2013. - 92 с.
2. Коцыняк М. А. Обеспечение устойчивости информационно-телекоммуникационных сетей в условиях информационного противоборства / М. А. Коцыняк, А. И. Осадчий, М. М. Коцыняк, О. С. Лаута, В. Е. Дементьев, Д. Ю. Васюков. - СПб. : ЛО ЦНИИС, 2014. - 126 с.
3. Зегжда Д. П. Основы безопасности информационных систем / Д. П. Зегжда, А. М. Ивашко. - М. : Горячая линия - Телеком, 2000. - 452 с.
4. Конахович Г. Ф. Защита информации в телекоммуникационных системах / Г. Ф. Конахович, В. П. Климчук, С. М. Паук, В. Г. Потапов. - Киев : МК-Пресс, 2005. - 288 с.
5. Зайцев А. П. Технические средства и методы защиты информации : учебник для вузов / А. П. Зайцев, А. А. Шелупанов, Р. В. Мещеряков и др. ; под ред. А. П. Зайцева, А. А. Шелупанова. - М. : Машиностроение, 2009. - 508 с.
6. Статистический анализ «Лаборатории Ка-сперского» по DDoS-атакам за 2015 год. - URL : https://blog.kaspersky.ru/2015-kazhdaya-shestaya-kompaniya-v-rossii-podverglas-ddos-atakam/15027 (дата обращения : 01.02.2016).
7. Мнение экспертов «Лаборатории Каспер-ского» по DDoS-атакам. - URL : https://vistanews. ru/computers/security/42168 (дата обращения : 01.02.2016).
8. Радько Н. М. Риск модели информационно-телекоммуникационных систем при реализации угроз удаленного и непосредственного доступа / Н. М. Радько, И. О. Скобелев. - М. : РадиоСофт, 2010. - 232 с.
9. Ярочкин В. И. Информационная безопасность : учебник для вузов / В. И. Ярочкин. - М. : ООО «Академический проект», 2004. - 544 с.
10. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. - Утв. заместителем директора ФСТЭК России 15.02.2008. -70 с.
11. Методический документ «Меры защиты информации в государственных информационных системах». - Утв. ФСТЭК 11.02.2014. - 176 с.
12. Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в типовых информационных системах персональных данных отрасли. - Утв. Министерством связи и массовых коммуникаций Российской Федерации 21.04.2010 г. - М., 2010. - 48 с.
13. Привалов А. А. Метод топологического преобразования стохастических сетей и его использование для анализа систем связи ВМФ / А. А. Привалов. - СПб. : ВМА, 2000. - 166 с.
14. Бекбаев Г. А. Модель для расчета устойчивости функционирования телекоммуникационной сети железнодорожной станции в условиях неблагоприятных воздействий на основе схемы функциональной целостности / Г. А. Бекбаев, А. А. Привалов // Изв. Петерб. гос. ун-та путей сообщения. - СПб. : ПГУПС, 2016. - Т. 13, вып. 4 (49). -С. 60-470.
15. Евглевская Н. В. Методика комплексной оценки информационной безопасности телекоммуникационной сети единого дорожного диспетчерского центра управления перевозками ОАО «РЖД» : дис. ... канд. техн. наук : 05.12.13 / Н. В. Евглевская. - СПб. : ПГУПС, 2016. - 164 с.
References
1. Kotsynyak M. A., Kuleshov I. A. & Lauta O. S.
Ustoychivost informatsionno-telekommunikatsionnykh setey [Information and telecommunication netwsorks resiliency]. Saint Petersburg, Polytechnic University Publ., 2013, 92 p. (In Russian)
2. Kotsynyak M. A., Osadchiy A. I., Kotsynyak M. M., Lauta O. S., Dementyev V. Y. & Vasyu-kov D. Y. Obespecheniye ustoychivosty informatsionno-telekommunikatsionnykh setey v usloviyakh informat-sionnogo protyvoborstva [Information telecommunication networks resilience in conditions of information confrontation]. Saint Petersburg, LO TZNIIS Publ., 2014, 126 p. (In Russian)
3. Zegzhda D. P. & Ivashko A. M. Osnovy bezopas-nosty informatsionnykh system [Information systems' safety fundamentals]. Moscow, Hot line - Telecom Publ., 2000, 452 p. (In Russian)
4. Konakhovich G. F., Klimchuk V. P., Pauk S. M. & Potapov V. G. Zashita informatsii v telekommunikat-sionnykh systemakh [Information security in telecommunication systems]. Kiev, MK-PRESS Publ., 2005, 288 p. (In Russian)
5. Zaitsev A. P., Shelupanov A. A., Mesheryak-ov R. V. et al. Tekhnicheskiye sredstva i metody zashy-ty informatsii [Technical means and methods of information security]. Moscow, LLC "Mechanical Engineering Publishing House" Publ., 2009, 508 p. (In Russian)
6. Statistycheskiy analyz "Laboratorii Kasper-skogo" po DDoS atakam za 2015 god - "[Kaspersky Laboratory " statistical analysis on DDoS attacks over 2015]. - URL: https://blog.kaspersky.ru/2015-kazh-daya-shestaya-kompaniya-v-rossii-podverglas-ddos-atakam/15027/(accessed: 01.02.2016). (In Russian)
7. Mneniye ekspertov "Laboratorii Kasperskogo" po DDoS atakam ["Kaspersky Laboratory" expert view]. - URL: https://vistanews.ru/computers/security/ 42168 (accessed: 01.02.2016). (In Russian)
8. Radko N. M. & Skobelev I. O. Risk modely in-formatsionno-telekommunikatsionnykh system pry realizatsii ugroz udalyennogo i neposredstvennogo dostupa [The risk of information and telecommunication systems' model in the process of remote and immediate access attacks]. Moscow, RadioSoft Publ., 2010, 232 p. (In Russian)
9. Yarochkyn V. I. Informatsionnaya bezopasnost [Information safety]. Moscow, LLC "Academic project" Publ., 2004, 544 p. (In Russian)
10. Bazovaya model ugroz bezopasnosty perso-nalnykh dannykh pry obrabotke v informatsionnykh systemakh personalnykh dannykh [Security threat basic model of personal data safety during data handling in personal data information systems]. Approved by FSTEC of Russia deputy director on 15.02.2008, 70 p. (In Russian)
11. Metodycheskiy document "Mery zashyty informatsii v gosudarstvennykh informatsionnykh systemakh" [Guideline "Information security measures in federal information systems". Approved by FSTEC on 11.02.2014, 176 p. (In Russian)
12. Model ugroz i narushitelya bezopasnosty per-sonalnykh dannykh, obrabatyvayemykh v typovykh informatsionnykh systemakh personalnykh dannykh oblasty [Models of threats and safety violator of personal data, handled in typical IT systems of branch personal data]. Approved by the Ministry of telecom and mass communications of the Russian Federation, dated 21.04.2010. Moscow, 2010, 48 p. (In Russian)
13. Pryvalov A. A. Metod topologycheskogo preo-brazovaniya stokhastycheskykh setey i yego ispolzo-vaniye dlya analyza system svyazy VMF [The method of topological transformation of stochastic networks and its application in communications control systems of the Navy]. Saint Petersburg, Naval Academy Publ., 2000, 166 p. (In Russian)
14. Bekbayev G. A. & Pryvalov A. A. Model dlya rascheta ustoychyvosty funktsionyrovaniya telekom-munikatsionnoy sety zheleznodorozhnoy stantsii v usloviyakh neblagopriyatnykh vozdeystviy na osnove skhemy funktsionalnoy tselostnosty [Model for calculation of telecommunication network functioning continuity of a railway station in conditions of environmental hazard on the basis of a diagram of functional integrity]. Proceedings of Petersburg Transport University, 2016, vol. 13, issue 4 (49), pp. 460-470. (In Russian)
15. Yevglevskaya N. V. Metodyka kompleksnoy otsenky informatsionnoy bezopasnosty telekommu-nikatsionnoy sety yedynogo dorozhnogo dyspetcher-skogo tsentra upravleniyaperevozkamy OAO "RZhD" [Integrated assessment method of telecommunication network information security of JSC "Russian Railways" unified centralized traffic control center]. Cand. Diss: 05.12.13. Saint Petersburg, 2016, 164 p. (In Russian)
*БЕКБАЕВ Гамзатдин Алеуатдинович - аспирант, gamzat-86@mail.ru; ПРИВАЛОВ Андрей Андреевич - доктор военных наук, профессор, aprivalov@inbox.ru (Петербургский государственный университет путей сообщения Императора Александра I); АЧКАСОВ Николай Борисович - доктор военных наук, профессор, gamzat-86@mail.ru (Военная академия связи имени Маршала Советского Союза С. М. Буденного); КРАВЦОВ Антон Олегович - аспирант, kravcovanton@mail.ru (Петербургский государственный университет путей сообщения Императора Александра I).