4. Управление рисками атакуемых мультисерверных систем
Управление рисками являются важной частью процесса определения мер и средств, обеспечивающих необходимый уровень информационной безопасности ИТКС [16, 17, 23].
В связи с этим проведены исследования и получена методика управления общим риском системы, как при асинхронных атаках, так и при синхронных DDoS-атаках на ее компоненты. Для нахождения вариаций параметров функций рисков компонент, обеспечивающих заданное изменение значений общей функции риска, получены системы линейных уравнений с постоянными коэффициентами относительно этих приращений. Коэффициентами этих систем являются значения функций чувствительности общей функции риска, найденные в точках, при которых она имеет экстремумы. Таким образом, через значения максимально допустимого числа открытых соединений и предельного значения коэффициента загрузки центрального процессора для каждого сервера и , соответственно, найдены аналитические выражения, позволяющие управлять ее общим риском на основе заданного движения в точках экстремумов.
Методика опробована как при асинхронных, так и при синхронных атаках на компоненты системы, когда ущербы, возникающие в результате этих атак, описываются распределением Вейбулла. Однако она может быть использована и при описании ущербов любыми двухпараметрическими функциями распределения.
Полученные оценки для максимально допустимого числа открытых соединений и предельного значения коэффициента загрузки центрального процессора для каждого сервера позволят заранее оценивать риски и ущербы от нахождения системы в режиме отказа в обслуживании и принимать эффективные управленческие решения по оптимизации риска МСС.
Для обеспечения защищенности системы требуется, чтобы она обладала малой чувствительностью по отношению к изменению ее параметров [26, 49, 87, 98, 41], причем важно исследование движения состояния систем во времени при изменении их параметров, т.е. воздействии дестабилизирующих факторов [26, 43, 44].
Такая задача наиболее полно осуществима на основе положений теории чувствительности, так как данный подход учитывает и динамику информационных процессов, и структурное построение системы, а также позволяет получить наиболее точную оценку степени защищенности на основе исследования движения ее параметров при воздействии угроз.
Основные задачи, рассматриваемые в теории чувствительности:
– анализ влияния малых изменений конструктивных параметров и внешних условий работы на динамику системы;
– синтез систем, малочувствительных к этим малым изменениям.
4.1. Управление рисками мультисерверных систем в случае ddos-атак на их компоненты
В основе разнообразных методов теории чувствительности лежит использование функций чувствительности, которые по своей сути являются градиентами показателей качества системы по некоторым совокупностям параметров, характеризующих как саму систему, так и внешнюю среду.
Получим аналитические выражения функций чувствительности общего риска [8,49], когда функции рисков компонент МСС задаются с помощью функций плотности распределения вероятностей Вейбулла при условии малой вероятности синхронных атак.
Так как функции
плотности распределения Вейбулла
являются непрерывными по параметру
,
и по параметру
при
,
то для функции риска всей системы можно
найти дополнительное движение.
Первое приближение для дополнительного движения риска может быть оценено следующим образом [49,87]:
,
(4.1)
,
(4.2)
где
,
, i
=1 (1) m
– коэффициенты дифференциальной
чувствительности по параметру формы
и параметру масштаба
соответственно;
,
.
Случай асинхронных атак на систему
Рассмотрим сначала случай асинхронных атак на МСС. Получим аналитические выражения для чувствительности, выражающие частные производные по параметрам всей системы через параметры функций риска компонент [48,60,87,98].
Учитывая
формулу (4.1), для коэффициентов
дифференциальной чувствительности
общего риска по предельно допустимому
значению коэффициента загрузки
центрального процессора
(
)
получим следующие выражения:
,
(4.3)
так как остальные функции рисков от не зависят.
Аналогичное
выражение получим и для коэффициентов
дифференциальной чувствительности
по максимально допустимому числу
открытых соединений
:
,
i
=1 (1) m,
(4.4)
так как остальные функции рисков от параметра не зависят.
В этом случае для дополнительного движения получаем формулу:
.
Преобразуем выражения (4.3) и (4.4), найдя соответствующие частные производные. Для удобства вычислений будем считать логарифмическую производную. Для этого прологарифмируем обе части аналитических выражений для функций рисков [23-26, 36]:
.
В результате получим:
.
Используя свойство логарифмов, преобразуем последнее выражение и получим:
.
(4.5)
Найдем частные производные по от обеих частей равенства (4.5).
В результате получим следующее выражение:
.
Тогда
по правилам дифференцирования сложных
функций получим следующие выражения
для коэффициентов дифференциальной
чувствительности по
:
.
Теперь найдем частные производные по параметру от обеих частей равенства (4.5). В результате получим выражения для коэффициентов дифференциальной чувствительности по :
;
.
Проведя преобразования в последнем равенстве, окончательно получим выражение для коэффициентов дифференциальной чувствительности по максимально допустимому количеству открытых соединений каждого сервера:
.
Найдем теперь коэффициенты относительной чувствительности по предельно допустимому значению коэффициента загрузки центрального процессора :
.
Аналогично получим коэффициенты относительной чувствительности по :
.
Таким образом, для первого приближения дополнительного движения получаем следующую формулу:
.
Выразив величину первого приближения дополнительного движения через ущербы, получим следующую формулу:
Аналитическое выражение для матрицы чувствительности [26] общего риска МСС, которая подвергается DDoS-атакам, (считая синхронные атаки маловероятными), ущербы от которых имеют распределение Вейбулла, принимает следующий вид:
.
Ранее был получен алгоритм, позволяющий найти предельно допустимые значения коэффициентов загрузки центральных процессоров и максимально допустимые значения для числа открытых соединений всех серверов, входящих в МСС, таким образом, чтобы суммарный риск при маловероятных синхронных атаках находился заданной полосе неравномерности. Далее, эти значения примем за базовые. Кроме того, с помощью полученного алгоритма нахождения матрицы поправок уточнены значения ущербов, при которых суммарный риск принимает экстремальные значения.
Так
как функции риска системы, ущербы которых
определяются функциями плотности
вероятности Вейбула, являются гладкими,
то особенно важным представляется
изучение
чувствительности общего риска системы
в окрестностях значений ущербов
и
,
при которых общий риск принимает
максимальные и минимальные значения.
Проверим, обеспечивают ли найденные предельно допустимые значения коэффициентов загрузки центральных процессоров и максимально допустимые значения для числа открытых соединений всех серверов устойчивою работу МСС в случае асинхронных атак на ее компоненты.
Оценку
чувствительности общего риска рассмотрим
на примере, приведенном в пункте 3.3.
Рассматривалась система, состоящая из
четырех компонентов, найдены значения
базовых параметров компонентов системы,
обеспечивающих колебание общего риска
в заданной полосе неравномерности:
,
,
,
,
,
,
.
Получена матрица поправок, и, значит,
уточнены значения ущербов, при которых
общий риск системы достигает максимального
значения. Рассмотрим для этого примера
чувствительность функции риска в
окрестности точек экстремумов:
,
,
,
,
,
,
.
Рассмотрим
чувствительность рисков компонентов
системы, в движении около найденных
базовых значений параметров этих
компонентов. Воспользуемся полученными
функциями чувствительности риска.
Дифференциальные функции чувствительности
представляют собой частные производные
риска по его параметрам
,
,
.
Тогда уравнение движения риска всей
системы при отклонении его параметров
на
,
,
соответственно [49] имеет вид:
.
(4.6)
Из последнего уравнения (4.6) находим
.
Геометрическая
интерпретация движения системы при
базовых значениях предельно допустимых
коэффициентов загрузки центральных
процессоров серверов
,
,
,
и предельно допустимого количества
открытых соединений
,
,
,
и их вариациях
,
,
показана на рис.
4.1.
Как видно из рис. 4.1, чувствительность общего риска системы незначительна, следовательно, найденные базовые значения параметров задают устойчиво работающую систему. Причем, общий риск системы и после движения находится в заданной полосе неравномерности.
Рис. 4.1. Общий риск системы при базовых значениях параметров
и риск после движения наложены на риски компонентов
Случай синхронных атак на мультисерверные системы
Рассмотрим теперь случай синхронных DDoS-атак на серверы МСС. Риск системы в случае синхронных атак на ее компоненты можно оценить с помощью следующей формулы:
,
(4.7)
где
– усредненное значение ущерба,
возникающего в i-й компоненте
системы при переходе в режим «отказ
обслуживания» (
);
– функция плотности вероятности
наступления ущерба в момент времени t;
– шаг дискретизации;
– количество компонент системы.
Тогда формула (4.7) общего риска системы примет вид [23, 24, 26]:
,
где
,
.
Пусть ранее были найдены параметры функций рисков компонент системы. Для определения вариаций параметров, позволяющих нужным образом скорректировать поведение общей функции риска системы, воспользуемся функциями чувствительности [49, 87]. Дифференциальные функции чувствительности представляют собой частные производные риска по его максимально допустимому значению числа открытых соединений и предельно допустимому коэффициенту загрузки центрального процессора , . Тогда уравнение движения риска всей системы при отклонении этих значений, соответственно, на , , соответственно [26,87], имеет следующий вид:
.
Прежде всего, найдем аналитические выражения для частных производных от общей функции риска по параметрам:
;
.
Тогда частные производные от функции общего риска по параметрам примут следующий вид:
,
где
.
После
преобразований получим следующее
выражение для частной производной по
предельно допустимому значению числа
открытых соединений
:
.Найдем
теперь выражение для частной производной
по предельно допустимому коэффициенту
загрузки центрального процессора
:
.
После
преобразований получим следующее
выражение для частной производной по
(
):
.
Применим теперь рассмотренную выше методику регулирования общего риска системы. Для решения задачи управления риском системы остается найти значения переменной t, при которых общая функция риска достигает своих экстремальных значений. Для этого найдем производную первого порядка от общей функции риска по t, и приравняем ее к нулю:
.
В частном случае,
например, при
,
получим уравнение следующего вида:
.
Остается найти производные от функций плотности вероятности по t:
.
Таким образом, через предельно допустимые значения числа открытых соединений и предельно допустимым значениям загрузки центрального процессора всех серверов, входящих в МСС, получены аналитические выражения для управления ее общим риском на основе заданного движения в точках экстремумов в случае синхронных атак на компоненты.