М. А. Коцыняк И.А. Кулешов О.С. Лаута
ВЕРОЯТНОСТНО-ВРЕМЕННЫЕ ХАРАКТЕРИСТИКИ КОМПЬЮТЕРНОЙ АТАКИ ТИПА «ЛОГИЧЕСКАЯ ПОДМЕНА СЕРВЕРА»
В статье рассматривается модель, предназначенная для определения вероятностно-временныххарактеристик компьютерной атаки типа «Логическая подмена сервера»
Одной из проблем безопасности распределенной информационно-телекоммуникационной сети (ИТКС) является недостаточная идентификация и аутентификация ее удаленных друг от друга объектов. Основная трудность заключается в осуществлении однозначной идентификации сообщений, передаваемых между субъектами и объектами взаимодействия. Обычно в распределенных ИТКС эта проблема решается в процессе создания виртуального канала объекты ИТКС обмениваются определенной информацией, уникально идентифицирующей данный канал. Однако, не всегда для связи двух удаленных объектов в ИТКС создается виртуальный канал, зачастую, особенно для служебных сообщений, используется передача одиночных сообщений, не требующих подтверждения.
Для адресации сообщений в распределенных ИТКС используется сетевой адрес, который уникален для каждого объекта ИТКС. Сетевой адрес также может использоваться для идентификации объектов ИТКС. Однако сетевой адрес достаточно просто подделывается и поэтому возможна реализация компьютерной атаки типа «Логическая подмена сервера» [1].
Компьютерные атаки (КА) обладают вероятностно-временными характеристиками (ВВХ), определение которых позволяет оценить степень их опасности, выбрать и реализовать меры защиты.
Для исследования и определения ВВХ КА необходима разработка ее модели. Одним из
подходов к решению этой задачи является разработка модели (профильной, математической) компьютерной атаки.
Профильная модель компьютерной атаки типа «Логическая подмена сервера».
Злоумышленник осуществляет КА в следующей последовательности:
— запуск программно-аппаратного комплекса (сетевого сканера) за среднее время Тзш с функцией распределения времени W(t);
— перехват с вероятностью Рп сетевого адреса атакуемой ИТКС за среднее время Герех с функцией распределения времени М({);
— формирование ложного сетевого адреса за среднее время 7^дрес с функцией распределения времени Вф;
— направление запроса с ложным сетевым адресом на маршрутизатор атакуемой ИТКС за среднее время Т^апрос с функцией распределения времени
— получение запроса (сообщения) маршрутизатором и внесение изменений в таблицу маршрутизации за среднее время Гзм с функцией распределения времени 0(1);
Если сетевой адрес не перехвачен, то с вероятностью (1-Ри) будетповторно организован его перехват за среднее время Говт с функцией распределения времени 2(1).
Математическая модель КА типа «Логическая подмена сервера» (рис. 1).
МБЛН 01? СОММиШСЛТКЖ Б((ШРМБШ: Iss. 1 (141). 2018
Рис. 1. Стохастическая сеть компьютерной атаки типа «Логическая подмена сервера»
Используя уравнение Мейсона, преобразование Лапласа, разложение Хевисайда и метод топологического преобразования стохастических сетей [2], функцию распределения вероятности времени реализации КА можно определить следующим образом
р^)* •т • рп • Щ •1 • д • (г+^). ] (1)
к=1 Ф'С% ) -ук
а среднее время Т, затрачиваемое на реализацию компьютерной атаки:
-Я
т = х
к=1
*• т■ Рп ■ Щ■ I■ д-(г + sk) 1
Ф'(як)
—к)
2 '
: ) = [ ехр(—)Щ[Ж(г)] = —--преобразо-
где:
* + «
вание Лапласа функции распределения времени запуска сетевого сканера;
т
т(у) = | ехр(-«г )Щ[М (г)] = -
о
— преобразо-
т + у
вание Лапласа функции распределения времени перехвата сетевого адреса;
й
— преобразование
Щ (у) = / ехр(-«г ЩБ(г)] =
0 Щ + у
Лапласа функции распределения времени формирования ложного сетьевого адреса;
да I
I («) = / ехр(—)Щ[Ь(г)] =--преобразование
о I + «
Лапласа функции распределения времени
направления запроса с ложным сетевым адресом;
д
д(,у) = / ехр(-«г )] =
о д+у
— преобразование
Лапласа функции распределения времени внесения изменений в таблцу маршрутизации;
г(у) =/ ехр(-«г (г)]
о г+«
— преобразование
Лапласа функции распределения времени повторного перехвата сетевого адреса; Ж (г) = 1 — ехр[—] — функция распределения времени запуска сетевого сканера;
М(г) = 1 — ехр[—тг] — функция распределения
времени перехвата сетевого сканера;
Б(г) = 1 — ехр[—Щг] — функция распределения
времени формирования ложного сетевого адреса;
Ь(г) = 1 —ехр[—1г] — функция распределения
времени направления запроса с ложным сетевым
адресом;
0(г) = 1 — ехр[—дг] — функция распределения времени внесения изменений в таблицу маршрутизации;
2(г) = 1 — ехр[—гг] — функция распределения времени повторного прехвата сетевого адреса;
*=1/гз д = 1/ги
(2) * = 1/г зап'
,т = 1/гперех,Щ = 1/гадрес' д = 1/г:
адрес'
1 запрос'
ния;^.
I
и
и.
С
гзап = 2 мин, гперех = 1 мин, гадрес = 1 мин,
= 1/
' г ~1/ гповт — параметры распределе-
, ги
'перех' 'адрес' 'запрос' *изм' *повт Среднее
время каждого процесса КА; ф'(ук) — значение производной многочлена знаменателя в точке
Зависимости функции распределения вероятности Д^)и среднего времени представлены на рисунке 2. В качестве исходных данных используются следующие значения времени и вероятности, соответствующие профильной модели компьютерной атаки типа «Логическая подмена сервера»
г запрос = 3миН гизм = 2миН Рп = 0,1...0,9.
Анализ полученных результатов позволяет сделать выводы:
— среднее время реализации компьютерной атаки «Логическая подмена сервера» с вероятностью Д=0,1 составляет 35 мин. и 9 мин. приРи=0,9;
— полученные зависимости позволяют оценить влияние вероятности перехвата сетевого адреса атакуемой ИТКС на показатель эффективности реализации компьютерной атаки. Видно, что увеличение вероятности Рп повышается эффективность компьютерной
тп
0,8
0.6 0,4 0,2
0 10 20 30
/ (мин)
а) зависимость интегральной функции распределения вероятностей от времени реализации компьютерной атаки
Т 40 (мнн)
30 20 10
0 0.2 0.4 0.6 0.8 I
Рп
б) зависимость среднего времени реализации компьютерной атаки от вероятности перехвата сетевого адреса
Рис. 2. Вероятностно-временные характеристики компьютерной атаки типа «Логическая подмена сервера»
атаки. Однако, по мере возрастания значения Рп степень влияния на интегральную функцию распределения ¥(1) уменьшается и при преодолении значения Ри>0,4 степень влияния пренебрежимо мала;
— результаты моделирования могут быть использованы при обосновании направлений разработки системы защиты ИТКС, целью которой является предотвращение (затруднение) реализации компьютерной атаки.
СПИСОК ЛИТЕРАТУРЫ
1. Медведовский И.Д., Семьянов П.В., Платонов В.В. Атака через INTERNET - СПб: Мир и семья-95, 1998. - 296 с.
2. Привалов A.A. Метод топологического преобразования стохастических сетей и его использование для анализа систем связи ВМФ. — СПб: BMA, 2000 г.