Мультисервисные сети: дискретная риск-модель HTTP-флуда Текст научной статьи по специальности «Компьютерные и информационные науки»

|МУЛЬТИСЕРВИСНЫЕ СЕТИ: ДИСКРЕТНАЯ РИСК-МОДЕЛЬ HTTP-ФЛУДА

Калашников Андрей Олегович, доктор технических наук, г. Москва Бурса Максим Васильевич, г. Воронеж

Остапенко Григорий Александрович, доктор технических наук, профессор, г. Воронеж

В данной работе рассматриваются вопросы оценки риска реализации распределенных атак типа «HTTP-флуд» на мультисервисные сети с использованием дискретных риск-оценок. Производятся оценки риска мультисервисных сетей, имеющих в своем составе как один web-сервер, так и их множество при реализации на них синхронных и асинхронных атак

Ключевые слова: риск, дискретизация, HTTP-флуд, мультисервисные сети

MULTISERVICE NETWORKS: I DISCRETE RISK MODEL HTTP-FLOOD I

Andrey Kalashnikov, Doctor of technical

sciences, Moscow Maksim Bursa, Voronezh Grigoriy Ostapenko, Doctor of technical sciences, Professor, Voronezh

This paper discusses the issues of risk assessment implementation of distributed attacks such as «HTTP-flood» on multiservice networks using discrete risk assessments. Risk assessment carried out multi-service networks, having in its composition as a web-server and a lot of them in implementing them synchronous and asynchronous attacks

Keywords: risk, sampling, HTTP-flood, multiservice networks

Атаки типа «HTTP-флуд» являются весьма популярным средством нарушения доступности информации. Согласно данным, предоставленным организациями Prolexic и Akamai, количество данных атак за последние полтора года составляет 10-20% от общего количества DDoS-атак [1]. Они направлены на web-серверы, которые зачастую входят в состав мультисервисных сетей (МСС). Из анализа особенностей МСС можно сделать вывод о том, что обеспечение их отказоустойчивости является существенным моментом с точки зрения безопасности, так как нарушение функционирования одной из услуг, предоставляемых сетью, влияет на другие неопределенным образом.

Из всего вышесказанного следует необходимость повышения защищенности web-серверов МСС от атак типа «HTTP-флуд». Одним из важнейших этапов процесса повышения защищенности объектов различного характера является оценка риска реализации той или иной угрозы [2-5]. Дан-

ная оценка проводится для определения правильных и своевременных мероприятий по повышению защиты, а также выбора средств, способных обеспечить оптимальный уровень защищенности объекта.

Стартовым этапом риск-анализа систем различного характера обычно [2-5] является определение аналитического вида функции риска реализации атак на отдельный компонент этой системы. Отсюда необходимо получить аналитический вид ущерба, который получает компонент системы при реализации атаки, а также определить, на основании статистических данных, вид закона распределения и шаг дискретизации переменной риска.

Ущерб от реализации конкретной атаки задается функцией ущерба, которая должна учитывать специфику конкретно взятой атаки, а закон распределения ущерба определяется с помощью одного из критериев проверки гипотезы о принадлежности полученных статистических данных за

определенный период времени теоретическому закону распределения.

Получим аналитический вид функции ущерба при реализации атак типа «НТТР-флуд» на шеЬ-сервер МСС.

Атаки типа «НТТР-флуд» направлены на приведение ресурса сети в недоступное состояние, при котором легитимные пользователи не могут получить необходимую им информацию. Сила атаки определяется количеством вредосносных запросов, которые попадают на атакуемый шеЬ-сервер МСС, подвергающийся данной атаке [1].

Поступающее жертве количество НТТР-запросов зачастую переменно. Оно определяется как намерениями злоумышленника, так и количеством легитимных пользователей, обращающихся к атакуемому ресурсу сети [1].

Таким образом, когда в определенный промежуток времени г0, суммарное количество запросов к атакуемому ресурсу МСС превышает его производительность хпр, то он переходит в недоступное состояние, так как более не в состоянии обработать поступающий на него наплыв информации [1]. Суммарное количество запросов к ресурсу при реализации атаки типа НТТР-флуд возможно определить следующим образом [4]:

(кисх ^з ~ кп\

^ (£ - Ч)хь

+ х1 ,

ХЕ — £ ■ ХЬ + Х1 —

где:

хь -количество запросов, поступающих от бот-нета, подконтрольного злоумышленнику при реализации атаки;

с _ (А . .

К - ^—^-) - коэффициент распространения ботнета, который характеризует степень увеличения или сокращения количества хостов-зомби в подконтрольной злоумышленнику сети с момента начала атаки г0;

кисх - количество хостов-зомби в ботнете злоумышленника на момент начала атаки г0;

кз - количество захваченных хостов-зомби в ботнете злоумышленника с момента начала атаки г0;

кп - количество потерянных хостов-зомби в ботнете злоумышленника с момента начала атаки г0;

XI - переменная, характеризующая количество запросов к атакуемому ресурсу, поступающих от легитимных пользователей в промежуток времени реализации атаки.

Следовательно, функция ущерба для ресурса МСС, подвергающегося атаке, принимает следующий вид:

иЮ = ((кясх+,кз~к

■ \

-) (£ -

+ Х1 ~ хщ> I (р ~ ^о)"

Как было установлено в [5], плотность вероятности ущерба от реализации атак типа «НТТР-флуд» определяется гамма-плотностью вероятности настуления ущерба.

Зная плотность вероятности наступления ущерба, становится возможным определение шага дискретизации функции риска.

Определение шага дискретизации г при оценке риска компонента МСС возможно с использованием двух оценок. Первая задается следующим выражением:

2 ' /'тах ^ '/(£ )

(ДО < (Гср - г*),

где:

-ад- - плотность вероятности

гамма-распределения [6],

с-коэффициент, определяющий продолжительность реализации атаки типа «НТТР-флуд»,

X- коэффициент, определяющий интенсивность реализации атаки типа «НТТР-флуд»,

г* - мода плотности вероятности гамма-распределения. а вторая:

Найдем Тср, г* и/(г*)для гамма-плотности вероятности наступления ущерба.

Для поиска г* необходимо взять производную от плотности вероятности по времени и приравнять ее нулю:

й/Ю а /СС"1ЯС ■ ехр(-ЯО>

сИ сИ

Г (с)

Xе

гад

((с - 1 ~)1с~2ехр(-Хь) + 1С_1(-Я) ■ ехр(-Л1)) =

Хсехр(—Х€)

ГЙ

откуда:

с - 1=Хг.

Следовательно, мода плотности вероятности /(г) выглядит следующим образом:

с-1

г = ■

а пик функции:

X '

Г(с) \

(с - 1)С_1А ■ ехр(1 - с) Г(0

Мультисервисные сети: дискретная риск-модель НТТР-флуда

В свою очередь, Тср:

■>о

£С_1ЛС ■ ехр(-Х1)

Т"=1- Г(с) *

Для решения данного интеграла необходимо свести подынтегральное выражение к гамма-функции, которая определяется следующим выражением [7]:

Г (с) = [ ^ехр^-^сН,

следовательно:

' гсХ° ■ ехр(-ЯС)

Тогда шах(А ¿): тах(Дс) =

Г(с)

2(с-1)с-1-Я-ехр(1-с)'

Таким образом, получаем, что At может определяться одним из двух способов:

1

либо:

(Дс) < тт\—,

Г(с)

Я'2(с-1)с-1-Я-ехр(1-с)]'

Также, немаловажным является задание количества шагов дискретизации, оценить которое можно определить следующим образом:

п > [ Ц+1,

где [.] - оператор взятия целой части.

Для компонентов МСС, подвергающихся атакам типа «НТТР-флуд» примем:

1 Г(с)

Дс =

2 ■/

* -п

2(с- 1)с"1 -А-ехр( 1-е)'

Г« = 1 "' К.':- "'1 г°°

не)

Далее введем замену переменных у=№, получим:

Т = —-— [°°ус+1-1. ехр(-уШ = Е^И = С

ср Я-Г(с)]0 У вт У)М Я-Г(с) Я-Г(с) Я"

Тогда:

п >

'2(с-1У~1-Х-ехр(1-с)

Г (с)

+ 1.(1)

На рисунке 1 представлена зависимость плотности вероятность гамма распределения от изменения параметра с.

Полученный в выражении (1) результат согласуется с эмпирическими данными, приведенными на рисунке 1, где при увеличении параметра с область значений функции возрастает.

В соответствии с представленными выше результатами, огибающая функции риска шеЬ-сервера МСС, подвергающегося атаке типа «НТТР-флуд» имеет вид:

Xе

((^а - га)хь +х1- хпр)а - ¿о)) ^-г^е"^)

Г(С)

Рис. 1 - График зависимости плотности гамма-распределения от параметра с

Для дальнейших выкладок необходимо пронормировать ущерб. Нормированный ущерб для атак типа «НТТР-флуд» выглядит следующим образом:

(((Р - ¿0)хь + Х1 ~ *пР) (* -

1/(0 =

U(t)

Сxb + Xi)(tmax — t0)2

(xb + Xl)(.tmax — io)2

где tmax - мода функции риска [5].

А функция риска в заданном интервале [th-t2 ] функционирования сети:

t2

Risk[t1-,t2]= ^ ОД/№(-) =

i<.=t1+t

V i(^(k-t0)xb+xl-xnp)(k-t0)\ Äc ^ V (xb + Xl)(tmax -to)2 /Г(с) W'

k=ti +t

где k = -,t2>t1.

Вышеприведенное выражение позволяет

Risk(t)

0.02 -

определить уровень риска шеЬ-сервера МСС в произвольном временном интервале [г1;г2 ] реализации атак типа «НТТР-флуд» на него.

На основании полученных результатов становится возможным произвести аналитические оценки риска реализации синхронных и асинхронных атак данного типа на МСС, содержащую в своем составе более одного шеЬ-сервера [2-3].

Оценки будут производиться с учетом того, что ущербы, возникающие в отдельных компонентах МСС, слабо зависят друг от друга, что позволяет найти общий ущерб МСС как сумму ущербов, возникающих в конкретно взятых ее компонентах. Графически, процесс определения интервала оценки риска для МСС, состоящей из двух шеЬ-серверов представлен на рисунке 2, где изображены кривые огибающей функции риска при Ь 1=20 и Ь 2=30 для настроек двух шеЬ-серверов:

на рисунке а) £=0,9, хь=4000, х{=1500, хпр=1700, ЬЬ0=4, с=3, Л=0,1;

на рисунке б) £=1,05, хь=8000, хр1000, хпр=5200, ЬЬ0=4, с=6, Л=0,3.

Рис. 2 -Процесс определения интервала оценки риска МСС, состоящей из двух ^еЬ-серверов

Мультисервисные сети: дискретная риск-модель HTTP-флуда

Таким образом, при реализации синхронных атак на шеЬ-серверы МСС, состоящую из т компонент, может быть предложено следующее выражение:

t2

/c—ti+Atmjn

I

/c—ti+Atmjn

В

(fc - t0)

ixbi + Xli)(^max to)

m Ac 1

П (r(c) ^ e ) X (nm„J

U = 1

а при реализации асинхронных атак:

Risk™= f foWfWi-^-)

г—1 уптах'

k=t1+&tmin Li=l

I I

/c=t, +At,

iTUlmm

- t0i)xbi + xli-xnp^j(fc - t0.)\ , я'

(xbi + XLJ(tmax t0.)

Г(с)

kc~1e~lt

где: k ■■

Щпах

~ Лг ¿h

т - количество шеЬ-серверов в составе МСС,

АСт1П - минимальный из шагов дискретизации т компонент МСС,

птах=тах[пь...пт ) - максимальное значение из различных количеств шагов дискретизации т компонент МСС.

Таким образом, в данной работе были предложены аналитические выражения функции ущерба, шага дискретизации и функции риска при реализации одной и множества асинхронных или синхронных атак типа «НТТР-флуд» на шеЬ-серверы МСС.

Полученные оценки представляются удобной базой для оценки и последующего управления рисками МСС, имеющим в своем составе шеЬ-сервер и подвергающимся атакам типа «НТТР-флуд».

Литература:

1. Сайт компании «Akamai» [Электронный ресурс]. - Режим доступа: http://www.akamai.com.

2. Остапенко, Г.А. Информационные риски в социальных сетях. [Текст]: монография /Г.А. Остапенко, Л.В. Паринова, В.И. Белоножкин, И.Л. Батаронов, К.В. Симонов; под ред. чл.-корр. РАН Д. А. Новикова. - Воронеж: Издательство «Научная книга». 2013. - 160 с.

3. Дешина, А.Е. Управление информационными рисками мультисерверных систем при воздействии DDOS -атак [Текст] / А.Е. Дешина, М.В. Бурса, А.Г. Остапенко, А.О. Калашников, Г.А. Остапенко; под ред. чл.-корр. РАН Д.А. Новикова. - Воронеж: Научная книга, 2014. - 160 с.

4. Бурса, М.В. HTTP-флуды информационно- телекоммуникационных систем: оценка рисков и управление защищенностью [Текст] / М.В. Бурса, А.Г. Остапенко, А.О. Калашников // Сборник трудов конференции «XII всероссийское совещание по проблемам управления ВСПУ-2014» Институт проблем управления им. В.А. Трапезникова РАН. 2014. С. 9150-9153.

5. Бурса М.В. Аналитическая оценка пика функции риска для компонентов информационно-телекоммуникационных систем, подвергающимся атакам типа HTTP-флуд / М.В. Бурса // Информация и безопасность. 2014. № 2. - С. 232-235

6. Бочаров, П.П. Теория вероятностей. Математическая статистика [Текст] / П.П. Бочаров, А.В. Печинкин. - М.: ФИЗМАТЛИТ, 2005. - 296 с.

7. Виленкин, Н.Я. Специальные функции и теория представлений групп [Текст] / Н.Я. Виленкин - М.: Наука, 1965. - 588 с.

References:

1. Sayt kompanii «Akamai» [Elektronnyiy resurs]. - Rezhim dostupa: http://www.akamai.com.

2. Ostapenko, G.A. Informatsionnyie riski v sotsialnyih setyah. [Tekst]: monografiya /G.A. Ostapenko, L.V. Parinova, V.I. Belonozhkin, I.L. Bataronov, K.V. Simonov; pod red. chl.-korr. RAN D. A. Novikova. - Voronezh: Izdatelstvo «Nauchnaya kniga». 2013. - 160 p.

3. Deshina, A.E. Upravlenie informatsionnyimi riskami multiservernyih sistem pri vozdeystvii DDOS -atak [Tekst] / A.E. Deshina, M.V. Bursa, A.G. Ostapenko, A.O. Kalashnikov, G.A. Ostapenko; pod red. chl.-korr. RAN D.A. Novikova. - Voronezh: Nauchnaya kniga, 2014. - 160 p.

4. Bursa, M.V. HTTP-fludyi informatsionno- telekommunikatsionnyih sistem: otsenka riskov i upravlenie zaschischennostyu [Tekst] / M.V. Bursa, A.G. Ostapenko, A.O. Kalashnikov // Sbornik trudov konferentsii «XII vserossiyskoe soveschanie po problemam upravleniya VSPU-2014» Institut problem upravleniya im. V.A. Trapeznikova RAN. 2014. P. 9150-9153.

5. Bursa M.V. Analiticheskaya otsenka pika funktsii riska dlya komponentov informatsionno-telekommunikatsionnyih sistem, podvergayuschimsya atakam tipa HTTP-flud / M.V. Bursa // Informatsiya i bezopasnost. 2014. # 2. - P. 232-235

6. Bocharov, P.P. Teoriya veroyatnostey. Matematicheskaya statistika [Tekst] / P.P. Bocharov, A.V. Pechinkin. - M.: FIZMATLIT, 2005. -296 p.

7. Vilenkin, N.Ya. Spetsialnyie funktsii i teoriya predstavleniy grupp [Tekst] / N.Ya. Vilenkin - M.: Nauka, 1965. - 588 p.