4.2.2 Расчет интенсивности возникновения атак
Для оценки интенсивности атак целесообразно исходить из сложности их реализации и необходимых навыков и инструментария. Поскольку в общем случае определить уровень каждого потенциального нарушителя не представляется возможным, положим соотношения между интенсивностями рассматриваемых атак постоянными, причем сами значения интенсивностей обратно пропорциональными сложности их реализации, и присвоим им соответствующие значения.
непосредственный доступ путем сброса
пароля —
,
непосредственный доступ путем хищения
файла паролей —
,
сниффинг пакетов в сети без коммутаторов
—
,
сканирование портов —
,
;
SYN-flood —
,
;
внедрение ложного объекта на основе
недостатков алгоритма удаленного поиска
—
,
;
внедрение ложного объекта путем
навязывания ложного маршрута —
,
;
подмена доверенного объекта —
,
;
подмена доверенного объекта (перехват
сессии) —
;
Также необходимо отметить тот факт, что активность злоумышленников относительно разных ИТКС может варьироваться в достаточно широких пределах и может зависеть от назначения и масштаба атакуемой системы, степени ее открытости, а также психологических и иных факторов. Таким образом, необходимо ввести такой параметр как коэффициент активности злоумышленника, который характеризует среднее число атак на ИТКС за единицу времени вне зависимости от их сложности. В рассматриваемой задаче этот коэффициент представляет собой множитель для всех приведенных выше начальных значений интенсивности
(4.3)
Для адекватной оценки интенсивности атак, а также исходя из особенностей применения возможных мер противодействия, целесообразно разделить злоумышленников по признаку их местоположения на внешних и внутренних. Внешний злоумышленник способен осуществлять только межсегментные удаленные атаки, поскольку не имеет физического доступа ни к атакуемым хостам, ни к любым другим объектам атакуемой подсети. Внутренний же злоумышленник имеет возможность получать доступ к таким объектам и, следовательно, способен реализовать как внутрисегментные удаленные атаки, так и атаки, связанные с непосредственным доступом.
Таким образом введем два различных
коэффициента активности злоумышленника
для внешнего Kex
и внутреннего Kin,
таких, что Kex
характеризует внешнюю по отношении к
ИТКС агрессивную среду и является
коэффициентом для интенсивностей
межсегментных атак
,
,
,
,
,
,
а Kin
— внутреннюю — и является коэффициентом
для непосредственных и внутрисегментных
атак
,
,
,
,
,
,
,
,
.
Рассчитаем вероятности реализации злоумышленником каждой из рассматриваемых атак с учетом их сложности и взаимозависимости. Отметим, что интенсивность возникновения каждой из атак является суммой интенсивностей ее проведения в качестве самостоятельной атаки и в качестве этапа более сложной атаки, т.е.
.
(4.4)
Для каждой из атак получим следующие исходные значения интенсивности.
— для атаки «сниффинг сети», являющейся также этапом атаки «подмена доверенного объекта на основе перехвата сессии»
;
(4.5)
— для атаки «сканирование портов», не имеющей самостоятельного значения, но являющейся этапом всех удаленных атак
внутрисегментная и межсегментная соответственно:
, (4.6)
; (4.7)
— для атаки «отказ в обслуживании», являющейся также возможным этапом атаки «подмена доверенного объекта»
внутрисегментная и межсегментная соответственно:
, (4.8)
; (4.9)
Для остальных атак значение фактической интенсивности совпадает со значением интенсивности появления в качестве самостоятельной атаки.
Таким образом, полученные интенсивности принимаются в качестве параметра для распределения вероятностей атак каждого типа. Однако эти распределения показывают вероятность возникновения атак, т.е. распределение вероятностей числа попыток злоумышленника провести атаку и не имеют отношения к их эффективной реализации.