Марковские модели динамики реализации некоторых сетевых атак
Применение марковских моделей для анализа динамики реализации сетевых атак в значительной мере ограничено невозможностью моделирования параллельных процессов, которые существенны для некоторых атак. В этом отношении более адекватно отражают динамику атак модели на основе аппарата составных сетей Петри-Маркова, в основе которых лежит теория полумарковских процессов.
Вместе с тем некоторые из атак вполне адекватно могут быть описаны во времени и с помощью марковских процессов. В данной работе рассмотрены марковские модели, во-первых, наиболее распространенных сетевых атак, а, во-вторых, тех, которые позволяют отразить суть подходов к их моделированию:
атака типа «Удаленный доступ» в операционную среду компьютера по протоколу межсетевого взаимодействия;
типовой сетевой атаки «Отказ в обслуживании»;
атаки, направленной на внедрении программных закладок;
атаки типа «Удаленный запуск приложений».
Изложенные при этом подходы могут быть распространены и на другие сетевые атаки, которые не включают в себя параллельно выполняемые во времени процедуры.
Марковская модель динамики реализации сетевой атаки типа « Удаленный доступ в операционную среду компьютера». Удаленный доступ в операционную среду компьютера может осуществляться по многим протоколам межсетевого взаимодействия прикладного уровня, таким как Telnet, FTP, TFTP и др.
Как правило, при этом нарушителю необходимо пройти процедуру аутентификации по паролю. Подбор пароля осуществляется преимущественно с помощью специально созданных для этого программ. Модель динамики такой атаки сходна с моделью физического доступа нарушителя к аппаратуре (в помещение). При этом вероятность реализации такой атаки за заданное время при экспоненциальном приближении и отсутствии ограничений на количество попыток доступа оценивается по простой формуле:
где г - среднее время подбора пароля;
Р - вероятность успешной попытки подбора пароля.
Если установлено ограничение на количество попыток доступа, то модель значительно усложняется. В этом случае время доступа оценивается только для ограниченного числа попыток I и представляет собой сумму:
Вероятность того, что за время t нарушитель получит доступ, находится из соотношения:
где у(у,і) табулированная неполная гамма-функция, рассчитываемая для целочисленных значений параметра і.
График, построенный по полученной формуле, приведен.
"Гясс = 2 — , Тpass = 5MUH, 1 = 3 ч
Зависимость вероятности удаленного доступа от времени и вероятности подбора пароля для выбранных временных характеристик динамики попыток доступа
Марковские модели динамики реализации сетевых атак типа «Отказ в обслуживании». В настоящее время может быть реализовано достаточно много различных атак, относящихся к атакам «Отказ в обслуживании». В частности, такие атаки могут быть основаны на IP-дефрагментации, на формировании некорректных ICMP-запросов, на формировании некорректных TCP-запросов, на создании «шторма» пакетов с запросами на соединение и др. В научной литературе отсутствуют математические модели динамики реализации таких атак. В основу таких моделей могут быть положены теория марковских процессов и теория массового обслуживания. При общей методологии построения таких моделей все-таки каждая из них имеет определенную специфику.
К наиболее характерным из них относятся модели атак «шторм ТСР- запросов» (SYN-flooding), «шторм ІСМР-эхо-ответов» (атака Smurf), атаки типа «Land». Краткая характеристика таких моделей приведена ниже.
Рассмотрим сначала модель динамики реализации самой известной из таких атак - «шторм» TCP-запросов (SYN-flooding). Суть атаки заключается в том, что на атакуемый хост передается большое количество запросов на установление «полуоткрытого» виртуального соединения по выбранному порту. В результате операционная система, ожидая подтверждения (квитанции) о готовности абонента к связи, держит в буфере информацию о предполагаемом соединении, повторяя посылку сообщений - квитанций о получении запроса на соединение. Если таких запросов поступило много, то буфер оказывается полностью заполненным и система перестает принимать другие запросы по данному порту (некоторые операционные системы старых версий «зависают» и нуждаются в перезагрузке [99]). Динамика реализации такой атаки моделируется в виде системы массового обслуживания с очередью фиксированной длины при следующих условиях: обслуживающий прибор при поступлении рассматриваемых заявок отказывает и может быть восстановлен сразу по мере прохождении фиксированного промежутка времени после переполнения очереди.
Вероятность того, что операционная система к моменту времени t перестанет принимать новые пакеты информации, определится из соотношения:
т= 1- X ^L_Le-V' при t < Гнш (5.104) j=0 J
где A - интенсивность поступления пакетов с запросами на соединение
(пакетов с установленным флагом SYN);
Jlim - предельное количество возможных соединений по одному порту, при котором буфер оказывается заполненным;
Тцт - время, отводимое операционной системой на повторную передачу квитанций с флагами SYN и АСК и время ожидания ответа.
Зависимость вероятности «зависания» операционной системы от параметров атаки SYN-flooding
Зависимость вероятности «зависания» операционной системы от предельного количества соединений по порту при атаке SYN-flooding
атаки, составляет величину:
(5.105)
Если приходит следующий (Jlm +1) -й пакет с запросом на соединение, то этот пакет отбрасывается. Если атака обнаруживается до этого момента времени с некоторой вероятностью Ріа и ее развитие блокируется, то вероятность реализации атаки может быть рассчитана по формуле:
„ /л _, Г“ , (1 - Pdety^A'~',,] (5.106)
Л) Ѵ^-0 -р*,) і-ѴѵО-р*,У
где t0 - время ожидания подтверждения сеанса связи.
Графики, построенные по полученной формуле, приведены на рисунке 5.26.
Рассмотрим модель динамики реализации атаки - шторм ІСМР-«эхо- ответов» (Smurf) [26, 100, 101]. Суть атаки заключается в посылке «эхозапроса» по протоколу ІСМР по широковещательному адресу с указанием в качестве адреса отправителя IP-адреса компьютера - цели атаки, ответить на которые может множество компьютеров.
В результате на вход компьютера с указанным IP-адресом поступает поток пакетов (ІСМР-«эхо-ответов»), который операционная система не в состоянии быстро обработать, что приводит к тому, что данный компьютер фактически блокируется.
Зависимость вероятности реализации атаки от возможностей ее обнаружения и времени ожидания квитанции на подтверждение сеанса связи
Динамика реализации такой атаки моделируется с помощью аппарата теории массового обслуживания следующим образом. Пусть отсутствует эффект перегрузки канала приема «лавины пакетов» по сети (из-за ограниченной пропускной способности сети), тогда «лавина пакетов» приведет к перегрузке работы операционной системы: если операционная система занята обработкой очередного пакета, то вновь приходящий пакет сохраняется в буфере после обработки сетевым адаптером. При переполнении буфера операционная система блокирует прием очередных пакетов. С учетом изложенного операционную систему компьютера можно рассматривать как систему массового обслуживания с ограниченной очередью и потерями в случае превышения длиной очереди определенного порога.
Пусть Nbuf - максимальное число пакетов, которые может быть
размещено в буфере, и zserv - среднее время обработки каждого пакета, при этом выполняются условия марковости рассматриваемого процесса [83].
Если в систему поступает большое количество пакетов, то она не успевает их обрабатывать и блокируется для очистки буфера на время, составляющее несколько десятков секунд. С учетом [87] вероятность того, что в системе к моменту времени поступит ровно Nbuf пакетов, может быть рассчитана по формуле:
Pproh(t) = pA (Р-О pNb“f+1-1 Nbuf +1 2-р 2 Nbuf+1 h ak (5.107)
где p - параметр загрузки системы потоком пакетов,
р — 2ц - т ѵі’п :
Хн - интенсивность потоа пакетов;
ак > аок 1 ajk ~ вспомогательные параметры,
, , к-ж к-ж . РІш-к-ж а. = \. + р — 2-Jр -cos---------; <я„. = sin----------; а., . =sin— --------. у N+\ N +\ buf N +1
Из соотношения (5.107) видно, что при р>1 и при больших значениях Nbuf вероятность блокирования операционной системы близка к единице.
Графики, построенные по полученной зависимости, приведены на рисунках 5.27 и 5.28.
Пусть атакуемый хост до атаки не имеет в буфере ни одного пакета, при этом среднее время, необходимое для блокирования операционной системы, определяется из соотношения:
___ Ntuf+l Z. _ 2 tserv р 2 у' аок' аш (5.108) ZProh М +1 ^ а2 ' JV buf + 1 к= 1 ak
Графики зависимости Tproh(Nbiif) при различных значениях загрузки операционной системы и zproh(p) при разных предельных значениях количества принимаемых пакетов приведены.
Зависимость вероятности заполнения буфера максимальным количеством пакетов при атаке Smurf от времени
Зависимость вероятности заполнения буфера максимальным количеством пакетов при атаке Smurf от загрузки системы
Зависимость среднего времени заполнения буфера от среднего времени обработки каждого пакета
Зависимость среднего времени заполнения буфера от загрузки системы
При поступлении (Nhuf +1) -го пакета система блокируется. При этом
вероятность реализации атаки за заданное время может быть рассчитана по формуле:
t Pu(t) = l-eTproh. (5.109)
Если на компьютере установлена система обнаружения атак, которая обнаруживает атаку типа Smurf с вероятностью Ріа , то
Pu(t) = 1-е Tpr°h . (5.110)
Графики, полученные по формулам (5.109) и (5.110), приведен.
Зависимость вероятности реализации атаки Smurf от времени
Зависимость вероятности реализации атаки Smurf от вероятности ее обнаружения при t = \c
Примерно так же развиваются атаки:
- основанные на IP-дефрагментации, когда общий объем фрагментов превышает максимально допустимый размер пакета, при этом система «зависает» или даже выходит из строя;
-«направленный шторм эхо-запросов» по протоколу ICMP (Pingflooding);
- шторм запросов к FTP-серверу;
- шторм сообщений почтовому серверу (Spam).
Несколько отличается от приведенного динамика развития атак, направленных на нарушение логической связности между объектами компьютерной сети при передаче атакующим управляющих сообщений от имени сетевых устройств, приводящих к изменению маршрутно-адресных данных.
К таким атакам относятся, например, ICMP Redirect Host, DNS-flooding или атаки, связанные с передачей нарушителем пакетов с нестандартными атрибутами (атаки типа «Land», «TearDrop», «Bonk», «Nuke», «UDP- bomb» [33, 35, 99-101]), а также с длиной пакета, превышающей максимально допустимый его размер (атака типа «Ping Death», атака демона ftpd UNIX-хоста).
Рассмотрим модели развития подобных атак на примере атаки «Land!», суть которой состоит в том, что на атакуемый хост посылается TCP-пакет, у которого IP-адрес и порт отправителя совпадают с IP-адресом и портом получателя.
В результате обработки такого пакета операционная система «виснет», а динамика атаки будет определяться моментом появления такого пакета.
При экспоненциальном характере процесса возникновения угроз такой атаки вероятность того, что за время t в системе появится нестандартный пакет и этот пакет не будет выявлен и отброшен операционной системой (то есть атака будет реализована), определяется из соотношения, аналогичного соотношению (5.109).
Необходимо отметить, что многие их указанных атак сегодня успешно парируются мерами и средствами операционных систем, в которые постоянно вводятся дополнения и усовершенствования. Так, весьма сложно реализовать атаку типа Smurf, поскольку блокируется обработка сверх установленного количества пакетов в единицу времени и тем самым снижается эффект от атаки типа «Land» и ей подобных. Однако, появляются новые способы воздействия, но при этом для формализованного описания динамики реализации новых атак могут быть, как правило, использованы предложенные математические модели.
Марковская модель динамика реализации сетевых атак, основанных на внедрении программных закладок. Особенность несанкционированного доступа, основанного на внедрении программных закладок, заключается в том, что первоначально проводится внедрение программной закладки - вредоносной программы, например, типа «троянский конь». Внедрение может осуществляться разными методами. Например, часто используется метод подмены IP-адреса на IP-адрес обычного web-прокси-сервера, который выступает в роли промежуточного звена между web-пользователем и web- сервером (все операции обмена данными между клиентом и web-сервером направляются через прокси-сервер) [100-103]. Возможно заражение через почтовый сервер. С помощью программной закладки осуществляется сканирование сети с целью выявления открытых портов, составления карты сети, осуществления попытки связи с зараженного компьютера с выдачей информации о сети на тот или иной IP-адрес. Кроме того, возможен подбор или перехват пароля, передача файла с паролями и др. Рассмотрим вариант атаки, когда вредоносная программа осуществляет поиск открытых портов, затем перехватывает пароль и устанавливает соединение с абонентом по ІР- адресу, в ходе которого нарушитель захватывает сеанс TCP- соединения и получает доступ в операционную среду хоста-цели атаки. Граф состояний описанного процесса развития сетевой атаки приведен на рисунке 5.33.
Интенсивности переходов из состояния в состояние для данного марковского процесса определяются следующим образом:
Я01 = РілсІтіпс - интенсивность внедрения программной закладки, где Ршс, тшс - вероятность и среднее время внедрения программной закладки;
Кг= Pportjтроп ~ интенсивность выявления открытого порта, где Ррол’трол ~ вероятность и среднее время выявления открытого порта;
Кг =Рpass hpass ~ интенсивность выявления пароля, где -
вероятность и среднее время выявления пароля;
/1,4 = Рст/г соп - интенсивность установления сеанса связи между программной закладкой и нарушителем, где Рсш, тсоп - вероятность и среднее время установления сеанса связи;
0 - состояние, когда нарушитель пытается внедрить программную закладку,
1 - состояние, когда программная закладка внедрена и осуществляется анализ сети (выявление открытых портов);
2 - состояние, когда выявлен открытый порт и программная закладка осуществляет перехват пароля доступа;
3 - состояние, когда пароль доступа перехвачен и программная закладка запрашивает сеанс связи от имени хоста-цели атаки с передачей выявленной информации нарушителю;
4 - состояние, когда сеанс связи с нарушителем установлен, то есть нарушитель получил доступ в операционную среду компьютера по сети с использованием выявленного порта
>.'(') =-Л, -А (<)+•*» р=(')+ Л. Р,М+ѴУ')+Ѵ-Р1(').- ^(') = Л,-У»)-ѴУ')-ѴУ').
ОЧ) = ѴУО-ѴУ')-ѴУ').
СЧ) = V-Р, (') - V У')-V У').
Р.'(') = ѴУ').
при начальных условиях Р0 (0)= 1; Р, (0 )= Р, (0) = Р3 (0)= Ра (0), Р0' (0) = Р[ (0) = Р[ (0)= Р'ъ (0)= Р4' (0 )= 0
Рисунок 5.33 - Граф состояний, описывающий динамику развития атаки, основанной на внедрении программной закладки
1 _ Р 1-Р 1-Р і^р
Л01 = —'"с Д12 = _—, Л23 = —^ , Л34 = —с-°" - интенсивности
т т т т іпс port pass con
перехода процесса в начальное состояние в случае невыявления свободного порта, пароля и неустановления сеанса связи соответственно.
При этом вероятность подбора пароля за п попыток при прямом переборе, по-прежнему, рассчитывается из соотношения (5.99). Если учитывать динамику подбора пароля во времени при условии, что количество попыток подбора пароля не ограничено и поток попыток соответствует пуассоновскому, то вероятность подбора за время г определяется по формуле:
РраЛ*) = 1-е ^. (5.111)
где - интенсивность попыток удаленного подбора пароля;
А - число символов в алфавите, на основе которого сформирован пароль; 5 - длина пароля.
Среднее время, необходимое для подбора пароля, находится следующим образом [98]:
т = pass А_К' (5.112)
При ограничении на количество попыток необходимо ввести условие Xtr г < пы , где - предельное количество попыток.
Для приведенного графа состояний процесса среднее время перехода в последнее состояние, то есть среднее время несанкционированного доступа определяется из соотношения:
— Р,„ ^port +тіп. р р р •р тс port pass con Р • т + г pass con pass Р Р pass con
а вероятность несанкционированного доступа за время t определяется из соотношения:
Pg(0=l-exp(-//racc). (5.114)
Графики зависимости гacc(^ass) представлены.
Троп =1MUH, Тіпс =\ОмиН,Тсол =ЪміАН, Троп = ІОлшн, Тіпс = 30мин,Тсоп = 5мин, Тpass = 30с,Р^г1 = 0,8, Рсоп = 0.7 Tpass - 30с,Р^ - 1, - 1
Зависимости времени несанкционированного удаленного доступа к информации от вероятности подбора пароля доступа абонента
Необходимо отметить, в приведенной модели фактически не учитывается время подбора пароля, то есть считается, что нарушитель имеет достаточно времени для удаленного подбора пароля.
