Содержание к диссертации
Введение
1. Исследование процессов атак на сервер типа «отказ в обслуживании» 14
1.1. Угрозы безопасности информации в компьютерных системах и классификация DOS-атак 14
1.2. Статистическая гипотеза для описания процесса SYNflood-атаки на серверы компьютерных систем 23
1.3. Выводы по первой главе и постановка задач дальнейших исследований 32
2. Построение вероятностной риск-модели SYNflood-атаки на серверы компьютерных систем 33
2.1. Методология построения риск-моделей 33
2.1.1. Обобщенная модель оценки риска 36
2.1.2. Вероятностная природа риска 37
2.1.3. Формальное определение меры риска 39
2.1.4. Основные меры риска, используемые в анализе информационных систем 40
2.1.5. Объективные и субъективные составляющие риска систем 44
2.1.6. Динамические характеристики риска систем 45
2.2. На основе распределения Пуассона построение моделей для риск-анализа компьютерных систем, подвергающихся SYNflood-атакам 51
2.3. Построение моделей комьпютерных систем, подвергающихся SYNflood-атакам : 55
2.4. Выводы по второй главе 62
3. Исследование риск-модели при изменении параметров SYNflood-атаки 63
3.1. Построение матрицы чувствительности риск-модели для компьютерной системы, подвергающейся SYNflood-атаке 63
3.2. Разработка динамических риск-моделей при изменении параметров SYNflood-атак 67
3.3. Моделирование движения риска при изменении параметров DoS-атаки 74
3.4. Выводы по третьей главе 78
4. Управление рисками в компьютерных системах, подвергающихся SYNflood-атакам 79
4.1. Обоснование критериев качества управления рисками 79
4.2. Введение ограничений на процесс управления и постановка задачи оптимального управления рисками 83
4.3. Разработка алгоритмов управления риском 88
4.4. Выводы по четвертой главе 101
Заключение 103
Список литературы 106
- Статистическая гипотеза для описания процесса SYNflood-атаки на серверы компьютерных систем
- Основные меры риска, используемые в анализе информационных систем
- Разработка динамических риск-моделей при изменении параметров SYNflood-атак
- Введение ограничений на процесс управления и постановка задачи оптимального управления рисками
Введение к работе
Актуальность. В современном мире все большее внимание уделяется разработке общих формальных моделей оценки и управления информационными рисками различных классов систем. Эта задача актуальна и при построении вероятностных моделей атак на серверы включая риск-анализ компьютерных систем и разработку алгоритмов управления их рисками.
Понятие сервер употребляется, обычно, в двух значениях, тесно связанных между собой [7, 35-39, 75]: -сервер как набор программного обеспечения, предназначенный для
предоставления пользователям сети определенных услуг (от англ. serve -
служить); -сервер как выделенный компьютер, предоставляющий свои ресурсы для
использования по сети.
В обоих случаях сервер создается для предоставления некоторых услуг пользователям сети (во втором случае услугой является доступ к ресурсам сервера). Оба определения тесно связаны между собой т. к. на сервере (во втором значении) для предоставления им доступа к ресурсам должен быть запущен, как минимум, один сервер (в первом значении).
Исходя из данного определения, под атаками отказа в обслуживании (Denial of Service attack — DoS-attack) следует понимать сетевые атаки, приводящие к невозможности для легитимного пользователя сети получить доступ к ресурсам сервера (эффект отказа в обслуживании — DoS) [7, 14, 59].
Наиболее известны следующие разновидности DoS-атак [59, 67]: -TCP SYNflood, TCP FIN Flood; -Ping of Death;
-Tribe Flood Network (TFN) и Tribe Flood Network 2000 (TFN2K); -Trinco; -Stacheldracht;
-Trinity.
Стоит заметить, что в среде профессиональных взломщиков многие из DoS-атак считаются занятием «для начинающих» т. к. большинство таких атак не предполагают наличия у атакующего высокого уровня знаний и большого опыта. Тем не менее, такие атаки способны принести достаточно большой ущерб.
Принципиальной особенностью DoS-атак является то, что такие атаки не направлены на получение несанкционированного доступа к данным сервера, его программам или настройкам. Единственная цель DoS-атаки - сделать сервер недоступным для нормальных пользователей. В отличие от большинства видов атак, атаки DoS используют не только ошибки ПО сервера и пользователей. Часто используются программные ограничения операционной^ системы сервера и его ПО, а также аппаратные ограничения, накладываемые самим оборудованием, и потому очень трудно преодолеваемые (практически, аппаратные ограничения можно преодолеть только заменой оборудования сервера, что не только дорого, но и мало осмысленно, т. к. новое оборудование тоже ограничено в возможностях). При атаке, чаще всего, используются обычные сетевые протоколы [59, 67].
Кроме того, стоит отметить, что так называемые распределенные атаки отказа в обслуживании (Distributed DoS — DDoS) — это тип атак DoS, при которых источниками атаки являются сразу несколько хостов. Зачастую для, таких атак используются компьютеры, зараженные специально написанным вирусом (или группой вирусов). Обнаружение таких атак сильно затруднено т. к. зачастую количество атакующих хостов очень велико (несколько сотен) и их состав постоянно меняется [59, 67].
Задача предотвращения DoS-атак, исходя из выше сказанного, является достаточно сложной. Практически, она решается только отбрасыванием части данных, идущих на сервер от пользователей, причем отбрасывание это должно
происходить не на самом сервере, а до него. Такая схема имеет серьезные
недостатки:
-необходима координация действий с провайдером из вышестоящей сети, что
не всегда возможно; -существует вероятность отбросить данные легитимного пользователя, не-участвующего в атаке.
Вторая проблема также достаточно существенна, т. к. атакующий пользуется такими же протоколами обмена, какими и нормальные пользователи. Поэтому достаточно 'высока вероятность отказать в обслуживании не только атакующему, но и вполне легитимному пользователю, создающему своими действиями достаточно высокую, но отнюдь не критическую, нагрузку на сервер.
В процессе риск-анализа в области обеспечения безопасности компьютерных систем прослеживаются два этапа:
-Оценка рисков — определяется возможность понести убытки из-за нарушения режима информационной безопасности организации, детализируются характеристики (или . составляющие) рисков для информационных ресурсов и технологий [100].
Различают качественные и количественные методы оценки рисков. Качественная оценка вероятности наступления отдельных рисков и ущербов позволяет выделить наиболее вероятные по возникновению и весомые по величине потерь риски, которые будут являться объектами дальнейшего анализа для принятия мер по их пресечению [11].
В работах [19, 20] подразделяются количественные методы оценки рисков в самом общем виде на статистические и аналитические. Статистические методы оценки рисков базируются на ряде фундаментальных понятий, прежде всего таким понятием служит вероятность, и предусматривают ряд процедур, зависящий от конкретной информационной системы, где проводится оценка риска и ее параметров.
Аналитические методы оценки рисков зависят от вида информационных атак на систему, применительно к которой производятся оценочные операции. В работе [95] выделяются следующие аналитические методы анализа риска: анализ чувствительности, проверка устойчивости и определение предельных значений параметров проекта, определение точки безубыточности, корректировка параметров проекта, построение дерева решений, формализованное описание неопределенности. Вышеперечисленные методы" оценки рисков позаимствованы из теории оценки экономических рисков и, конечно же, не все применимы к оценке рисков в области обеспечения безопасности автоматизированных систем.
В данной работе предлагается проводить риск-анализ поражения объектов автоматизированной системы с помощью определения чувствительности. Анализ чувствительности позволит дать более точную оценку того, насколько сильно изменится величина риска при определенном изменении одного из исходных параметров.
Таким образом, результаты оценки рисков позволят провести выбор средств защиты и оценить эффективности используемых средств защиты. -Управление рисками. Понятие "управление рисками" сравнительно недавно появилось в современной литературе и еще не сложилось однозначного четкого определения этому процессу. Например, в работах [19, 20] определяется управление рисками как "совокупность системно организованных процедур по достижению величины риска в определенных пределах". В работе [80] под управлением рисками понимается процесс идентификации и уменьшения рисков, которые могут воздействовать на информационную систему. В общем случае механизмы управления рисками реализуются не только за счет уменьшения рисков, но и за счет их перераспределения, поэтому определение управления рисками В. Буянова считается более полным.
Для практической реализации управления рисками разработан ряд стратегий управления рисками, применяемых в зависимости от сложившейся ситуации. Эти стратегии следующие - учет и ограничение рисков, устранение рисков, устранение уязвимостеи, игнорирование рисков, страхование рисков [79,99].
В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача — объективно идентифицировать и оценить наиболее значимые информационные риски, а также адекватность используемых средств контроля рисков для увеличения эффективности системы. Поэтому под термином «управление информационными рисками» обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями российской нормативно-правовой базы в области защиты информации и собственной корпоративной политики безопасности. Считается, что качественное управление рисками позволяет использовать оптимальные по эффективности и затратам средства контроля рисков и средства защиты информации, адекватные текущим целям и задачам бизнеса компании [2-7].
Концепции анализа рисков, управления рисками на всех стадиях жизненного цикла информационной технологии были предложены многими крупными организациями, занимающимися проблемами информационной безопасности. Отечественные аналитики начали использовать различные методики на практике. Различные технологии анализа рисков начали на практике применяться в России [84]. Однако риски компьютерных систем в их аналитическом выражении до сих пор остаются «белым пятном» в теории информационной безопасности. Это качается, прежде всего, атак типа «отказ в обслуживании», в том числе наиболее распространенной их разновидности
SYNflood-атак. Отсюда вытекают 'объект, предмет, цель и задачи работы, ее актуальность.
Работа выполнена в соответствии с одним из основных научных направлений Воронежского государственного технического университета «Перспективные радиоэлектронные и лазерные устройства, системы передачи, приема, обработки и защиты информации».
Объектом исследования является сервер, подвергающийся воздействию SYNflood-атак, направленных на отказ в обслуживании.
Предметом исследования является риск-анализ сервера,
подвергающегося воздействию SYNflood-атак направленных на отказ в обслуживании.
Цель настоящей работы состоит в построении и исследовании риск-моделей SYNflood-атак на серверы компьютерных систем.
Для достижения указанной цели предполагается решить следующие задачи: -разработать и исследовать вероятностную модель SYNflood-атак на сервер,
направленных на отказ в обслуживании; -получить аналитические выражения для расчета рисков и защищенности сервера, подвергающегося воздействию SYNflood-атак, определить функции их чувствительности; -разработать алгоритм управления рисками сервера, подвергающегося SYNflood-атаке.
Степень обоснованности научных положений, выводов и рекомендаций, сформулированных в работе обеспечивается: -корректным использованием методов теории вероятностей и математической
статистики; -сопоставлением результатов оценки рисков с известными аналогами; -практической проверкой алгоритмов через компьютерное моделирование и в процессе внедрения.
Для решения поставленных задач в данной работе используются методы
теории вероятностей и математической статистики, теории автоматического
управления, а также теории чувствительности.
В работе получены следующие основные результаты,
характеризующиеся научной новизной:
-введена оригинальная характеристика ущерба при SYNflood-атаке, доказано, что эта характеристика подчиняется закону Пуассона;
-на основе выведенной характеристики впервые получены аналитические выражения для расчета рисков при единичной и распределенных SYNflood-атаках, а также - аналитические выражения для функций чувствительности риск-модели к изменению параметров атаки в отличие от аналогов позволяющие в данной проектной ситуации перейти от качественных к количественным оценкам риска;
-впервые предложены алгоритмы управления рисками для компьютерных систем, подвергающихся SYNflood-атакам.
Практическая, ценность данной работы заключается в том, что
разработанные модели и алгоритмы могут быть применены непосредственно
при оценке рисков атак на серверы компьютерных систем их
администраторами безопасности и аудиторскими компаниями при комплексной
оценке эффективности защиты от информационных атак.
Апробация. Основные результаты диссертационной работы
докладывались и обсуждались на следующих конференциях:
1. Региональной научно-практической конференции «Информационные
аспекты безопасности систем». Воронеж, май 2007г.
2. VI Всероссийской научно-практической конференции с
международным участием «Современные информационные технологии в
науке, образовании и практике». Секция «Вычислительные машины,
комплексы и компьютерные сети», Оренбург, 2007 г.
3. Межрегиональной научно-практической конференции
«Информационные риски и безопасность». Воронеж, 2007 г.
4. Региональной научно-практической конференции «Методы, системы и
процессы обеспечения безопасности». Воронеж, 2008 г.
5. Межрегиональной научно-практической конференции «Проблемы
обеспечения безопасности систем». Воронеж, 2008 г.
Публикации. По материалам диссертационной работы опубликованы 16 научных статей и докладов [101-116], из них 2 - в издании, входящем в перечень ВАК России. Личный вклад соискателя в работах, опубликованных в соавторстве, состоит в следующем:
/102/ - предложена концепция риск-анализа атак рассматриваемого класса;
/103/ - предложен алгоритм управления защищенностью автоматизированной системы;
/104/ - предложено распределение Пуассона в качестве модели риск-анализа;
/105/ - выдвинута гипотеза о распределении рисков сетевых атак;
/106/ - предложена оценка отказа в обслуживании сервера сети;
/107/ - предложена методика риск-оценки ущерба атакуемых
автоматизированных систем;
/108/ - адаптировано Пуасоновское распределение к задачам информационной
безопасности;
/110/ - методически обоснован выбор закона распределения для риск-моделирования;
/111/ - получены выражения функции дифференциальной чувствительности для риск-модели пуассоновского типа;
/112/ - предложена оценка защищенности для Flood-атак;
/115/ - определена предметная область описания кибер-атак с помощью закона Пуассона.
На защиту выносятся следующие основные положения работы: -математическая модель процессов DoS и DDoS-атак на компьютерные системы, основанная на распределении Пуассона и предложенной характеристики ущерба;
-аналитические выражения для расчета рисков и защищенности атакуемых компьютерных систем на основе вероятностного распределения Пуассона; -аналитические выражения функций чувствительности риска к изменению параметров атак заданного типа;
-алгоритмы управления рисками компьютерных систем, подвергающихся DOS-атаками.
Структура работы. Диссертация состоит из введения, четырех глав, заключения и списка литературы, включающего 116 наименований.
Содержание работы изложено на 117 страницах машинописного текста, проиллюстрировано 33 рисунками и 2 таблицами.
Во введении обоснована актуальность темы диссертации, сформулированы цель и задачи исследования, представлены основные научные результаты, выносимые на защиту и описана их новизна.
В первой главе рассмотрены угрозы безопасности информации в компьютерных системах, предложена классификация DoS-атак; на основе анализа статистических данных рассмотрена статистическая характеристика для построения риск-модели, определено ее вероятностное распределение.
Во второй главе разработаны риск-модели систем, подвергающихся DoS-атаке и DDoS-атаке; на основе анализа построенных моделей получены выражения распределения вероятности ущерба, риска и защищенности систем.
В третьей главе на основании анализа полученных риск-моделей при различных параметрах DoS-атак найдены аналитические выражения коэффициентов чувствительности и функций чувствительности. Приведены примеры расчета функций чувствительности для заданных параметров.
В четвертой главе проводится обоснование критериев качества управления рисками; выполняется постановка задачи оптимального управления рисками; определяются оптимальные стратегии управления; на основе введенных ограничений на процесс управления разрабатывается алгоритм управления риском, основанный на оптимальных стратегиях.
В заключении обобщены основные результаты диссертационной работы.
Статистическая гипотеза для описания процесса SYNflood-атаки на серверы компьютерных систем
Это распределение названо в честь французского математика С.Д. Пуассона (1781-1840), впервые получившего его в 1837 г. Распределение Пуассона является предельным случаем биномиального распределения, когда вероятность р осуществления события мала, но число испытаний п велико, причем np = X. Точнее, справедливо предельное соотношение
Распределение Пуассона возникает в теории потоков событий. Доказано, что для простейшего потока с постоянной интенсивностью Л число событий (вызовов), происшедших за время t, имеет распределение Пуассона с параметром X = At. Следовательно, вероятность того, что за время t не произойдет ни одного события, равна e"At, т.е. функция распределения длины промежутка между событиями является экспоненциальной.
Распределение Пуассона используется при анализе результатов выборочных маркетинговых обследований потребителей, расчете оперативных характеристик планов статистического приемочного контроля в случае малых значений приемочного уровня дефектности, для описания числа разладок статистически управляемого технологического процесса в единицу времени, числа «требований на обслуживание», поступающих в единицу времени в систему массового обслуживания, статистических закономерностей несчастных случаев и редких заболеваний, и т.д. [75, 22, 23].
По критерию Пирсона с точностью 99% можно утверждать, что данный ряд распределен по закону Пуассона. Следовательно, величина Х" также распределена по закону Пуассона.
Ниже рассмотрены основные характеристики распределения Пуассона. Математическим ожиданием дискретной случайной величины называют сумму произведений всех ее возможных значений на их вероятности [14, 67].
Мода распределения есть такое спектральное значение т, что предшествующее и следующее за ним . спектральные значения имеют вероятности меньшие, чем р(4т). Данное распределение одномодальное, следовательно, модой будет являться единственный максимум спектрального значения распределения.
Доказательство справедливости выдвинутой гипотезы, по сути, позволяет использовать вышеприведенные аналитические выражения, иллюстрирующие закон распределения Пуассона, для построения риск-моделей SYNflood-атак на-серверы компьютерных систем, находящихся в состоянии информационного конфликта с злоумышленниками, которые пытаются перевести атакуемую систему в режим «отказа в обслуживании». 1.3. Выводы по первой главе и постановка задач дальнейших исследований
В результате исследований, проведенных в первой главе работы, получены следующие результаты: -предметная область исследования определена как сетевые атаки на сервер, направленные на отказ в обслуживании; -рассмотрена статистика сетевых пакетов при работе сервера в нормальных условиях и во время, SYNflood—атаки; -предложена характеристика активности сетевого обмена атакуемого сервера и доказано, что она распределена по Пуассону; -приведены формулы для вычисления основных характеристик распределения Пуассона. В ходе дальнейших исследований необходимо решить следующие задачи: -на основе выведенной характеристики активности построить риск- модель компьютерных систем, подвергающихся SYNflood-атакам; -найти аналитические выражения функций чувствительности риска к изменению параметров сервера, подвергающегося атаке, направленной на отказ в обслуживании; -разработать алгоритмы управления рисками для сервера, подвергающегося атаке типа SYNflood.
Основные меры риска, используемые в анализе информационных систем
Риск в информационной системе рассматривается обычно с позиции причинения системе какого-либо ущерба. Исходя из физического смысла математического ожидания, мера риска, основанная на нем, оценивает среднее значение ущерба. Эта мера риска является наиболее очевидной и применима в большинстве случаев. Обычно она применяется при оценке негативного воздействия (например, экономического ущерба) за определенный промежуток времени. 2. Мера риска на основе вычисления дисперсии для заданного закона распределения вероятностей. Для этой меры случайная величина не обязательно является численным, значением величины ущерба. Значением меры риска в этом случае является дисперсия закона распределения. Risk(U) = D[u]. В этом случае для дискретного закона выражение определяющее меру риска будет следующим: Risk(U) = У\(ЦІ - Мій])2 Pi, vi для непрерывного закона распределения вероятностей - соответственно: Risk(U) = j(и- M[u])2(p(u)du. Дисперсия в общем случае характеризует степень отклонения случайной величины от среднего значения. Поэтому данная мера риска адекватна в условиях оценки стабильности работы системы, то есть устойчивости какой-либо из ее характеристик.
Комбинированная мера риска на основе вычисления, как математического ожидания, так и дисперсии. Комбинация двух основных характеристик закона распределения применяется для задания меры риска в следующей форме: Risk(U) = M[u]+(3D[u]. В этой мере риска /? - взвешивающий коэффициент, имеющий размерность Единица измерения риска Для дискретного закона распределения, вероятностей ущерба выражение для вычисления меры риска выглядит следующим образом: Risk(U) = ] \р; + /? \и; -M[u])2Pi) Vi Vi для непрерывного закона распределения - соответственно: Risk(U) = J и (p(u)du + R /0(u - M[u\)2(p{u)du. Приведенная мера риска применяется, когда необходимо делать вывод об уровне опасности, исходя из среднего значения ущерба для системы, но при этом учитывать и стабильность поведения системы, то есть уровень среднего отклонения от наиболее вероятного ущерба. .
Для непрерывного закона распределения вероятностей ущерба выражение для меры риска имеет следующий вид: Risk(U) = I F(u) (p(u)du. о В данном выражении F(u) некоторая вещественная функция, показывающая значимость данного уровня ущерба. Данная мера риска является перспективной и наименее изученной из всех вышеперечисленных. Для нее важен метод .выбора функции F(u), которая является основой для расчета. В этом случае в отличие от других видов расчетов при вычислении конечного значения учитывается предпочтения лица принимающего решения.
Приведенный список мер риска может быть расширен за счет использования дополнительных частных мер, которые могут быть полезны в определенных частных случаях.
Строго формализованное представление риска информационной системы является не полным без учета субъективного фактора. Как уже было сказано, понятие риска системы тесно связано с критериями принятия управленческого решения. То есть риск является характеристикой, которая состоит из двух основных составляющих: Объективные характеристики системы такие как: 1. Вероятность возникновения ущерба (либо закон распределения вероятностей ущерба). 2. Величины, представляющие объективную численную характеристику ущерба (величина ущерба, время действия угрозы и т.п.). Субъективное восприятие характеристик системы таких как: 1. Приемлемый уровень риска для системы. 2. Нематериальные составляющие риска. Субъективные характеристики имеют немаловажное значение, так как принятие решений по управлению в значительной степени зависит от них. Приемлемый уровень риска может зависеть от множества факторов, которые не всегда можно выразить количественно. К нематериальным составляющим риска можно отнести, например, моральный ущерб при реализации угрозы. Поэтому достаточно важно в рамках разрабатываемой методики предусмотреть возможность оценки рисков с учетом субъективных составляющих.
Оценка риска на основе статистических данных для достаточно обширного класса угроз показывает значительную зависимость его значений от времени. Для таких угроз весьма важным является учет временных характеристик при оценке и управлении рисками. Динамика изменения риска может быть обусловлена естественными факторами внешней среды, такими как смена времени дня, дней недели, различными организационными факторами и т.п.
Таким образом, в каждый отдельный момент времени оценка риска должна проводиться по закону распределения вероятностей ущерба, который актуален в текущий момент времени. Это говорит о том, что в этом случае для описания этого закона необходимо ввести параметр времени, то есть, говоря другими словами, рассмотреть появление ущерба в информационной системе как случайный процесс.
Исходя из определения случайного процесса известно, что он является обобщением понятия случайной величины. Поэтому, от случайной величины U, которая представляет ущерб и имеет плотность вероятности (р(и), можно перейти к случайному процессу U(f) , плотность вероятности для каждого сечения которого зависит от времени (p(u,t). Важно отметить то, что параметр t может означать не только время, а служит для того чтобы задать какое-либо внешнее воздействие на систему со стороны определенного фактора. Для определенности, а также из-за того, что фактор времени при изучении информационных систем играет значительную роль, далее будем рассматривать параметр t только в качестве значения времени.
Разработка динамических риск-моделей при изменении параметров SYNflood-атак
Исследуем полученные выражения для относительной чувствительности величины риска и построим их графики зависимости от ущерба.
Полученные уравнения движения риска (3.22)-(3.26) и его параметров позволяют отследить всю полноту движения показателей качества системы, определить скорость и другие динамические величины при изменение параметров исследуемого распределения (атаки).
С учетом полученных уравнений движения риска и его параметров перейдем к моделированию движения риска при различных вариантах изменения параметров распределения.
Согласно представленному графику, функция R(UmX) монотонно возрастает по параметру и» и монотонно убывает по параметру X. Для заданного Х=4 функция принимает положительные значения в интервале Une(4,co). Для заданного ожидаемого значения риска и= 3 функция становится положительной при є(0,3). Таким образом, область эффективного управления рисками в рассмотренном примере определяется 2 условиями: Une(4,co) и Хє(0,3). При этих условиях R(U„,X) всегда положительна.
Рассмотрим также пример расчета функции чувствительности при DDoS-атаке со следующими параметрами: -количество одновременно атакующих хостоц s=16; -ущерб принимает дискретные значения, ипє[0,16]; -ожидаемый уровень ущерба 7=3; -параметр распределения Пуассона А,=4.
Практический пример подтверждает ранее сделанные предположения и выводы, а также может служить методической основой для риск-анализа атакуемых компьютерных систем в условиях изменяющихся параметров атаки.
В результате исследований, проведенных в третьей части работы, получены следующие результаты: -найдены аналитические выражения коэффициентов чувствительности и функций чувствительности риска к изменению параметров безопасности сервера, подвергающегося SYNflood-атаке, направленной на отказ в обслуживании, как для единичной DoS-атаки, так и для DDoS-атак; -приведены примеры расчета функций чувствительности риска для заданных параметров.
Введение ограничений на процесс управления и постановка задачи оптимального управления рисками
Применение математического аппарата теории оптимального управления к рискам, описанным с помощью уравнений чувствительности, позволяет вскрыть математическую сущность процесса управления рисками.
Фазовыми координатами называют такие действительные числа, которые в каждый момент времени характеризуют состояние исследуемой динамической системы. Допустим, что имеется система, к которой приложено в общем случае несколько внешних, воздействий (управляющие воздействия llj ,-, Щ и возмущающие воздействия (дестабилизирующие факторьі)іі...іп). Под управляющими воздействиями для построенной в главе 2 модели будем понимать воздействия со стороны межсетевого экрана воздействующего на параметр X - интенсивность атаки. В качестве дестабилизирующих факторов будем рассматривать DoS-атаку типа flood.
Введение понятия о фазовых координатах позволяет дать геометрический, образ динамических процессов, протекающих в исследуемой системе. В самом деле, примем величины Si ,S2, S3 в качестве прямоугольных координат некоторой точки М, находящейся в трехмерном пространстве. Тогда положение точки М полностью описывает состояние системы в данный момент времени, а движение М определяет переходы между состояниями системы. Траектория движения точки М называется фазовой траекторией. По начальным условиям, т. е. значениям координат Si ,S2, S3 при t = О, можно определить положение начальной точки MQ фазовой траектории. Система (4.2) дает значения скорости изменения каждой из координат, иными словами, значения проекций скорости» движения изображающей точки на оси координат. Следовательно, по этим уравнениям можно судить о направлении движения изображающей точки в любой момент времени.
В общем случае имеется два вида ограничений на выбор способа управления. Ограничением первого вида являются сами законы природы, в соответствии с которыми происходит движение управляемой системы. При математической формулировки задачи управления эти ограничения представляются обычно алгебраическими дифференциальными или разностными уравнениями связи. Второй вид ограничений вызван, ограниченностью ресурсов, используемых при управлении, или иных величин, которые в силу физических особенностей той или иной системы не могут или не должны превосходить некоторых пределов. Математические ограничения этого вида выражаются обычно в виде системы алгебраических уравнений или неравенств, связывающих переменные, описывающие состояние системы.
Управление исследуемой системой будет полностью определено, если удастся каждое из управляющих воздействий представить в виде функции времени Uj = Uj(t). Задача отыскания управления, которое является оптимальным ставится следующим образом.
Эффективность управления щ описывается функционалом /. Управление считается наиболее выгодным, если функционал / имеет минимальное значение. В нашем случае функционал /задаётся в виде интеграла:
Таким образом, задачу оптимального управления можно считать сформулированной математически, если: сформулирована цель управления, определены ограничения первого вида (законы, в соответствии с которыми происходит движение управляемой системы), представляющие собой системы дифференциальных или разностных уравнений, сковывающих возможные способы движения системы, определены ограничения второго вида (ограничения вызванные ограниченностью ресурсов, используемых при» управлении, или иных величин, которые в силу физических особенностей той или иной системы не могут или не должны превосходить некоторых пределов), представляющие собой систему алгебраических уравнений или неравенств, выражающих ограниченность ресурсов или иных величин используемых при управлении. Способ управления, который удовлетворяет всем поставленным ограничениям и обращает в минимум (максимум) критерий качества управления, называют оптимальным управлением.