5.2.2. Расчет интенсивности возникновения атак
Для оценки интенсивности атак целесообразно исходить из сложности их реализации и необходимых навыков и инструментария. Поскольку в общем случае определить уровень каждого потенциального нарушителя не представляется возможным, положим соотношения между интенсивностями рассматриваемых атак постоянными, причем сами значения интенсивностей обратно пропорциональными сложности их реализации, и присвоим им соответствующие значения:
00.1 — непосредственный доступ путем сброса пароля,
00.2 — непосредственный доступ путем хищения файла паролей,
01.1 — сниффинг пакетов в сети без коммутаторов,
01.2, 02.2 — сканирование портов,
01.3, 02.3 — SYN-flood,
01.4, 02.4 — внедрение ложного объекта на основе недостатков алгоритма удаленного поиска,
01.5, 02.5 — внедрение ложного объекта путем навязывания ложного маршрута,
01.6, 02.6 — подмена доверенного объекта,
01.7 — подмена доверенного объекта (перехват сессии),
01.8, 02.8 — внедрение ложного DNS-сервера.
Также необходимо отметить тот факт, что активность злоумышленников относительно разных ИТКС может варьироваться в достаточно широких пределах и может зависеть от назначения и масштаба атакуемой системы, степени ее открытости, а также психологических и иных факторов. Таким образом, необходимо ввести такой параметр как коэффициент активности злоумышленника, который характеризует среднее число атак на ИТКС за единицу времени вне зависимости от их сложности. В рассматриваемой задаче этот коэффициент представляет собой множитель для всех приведенных выше начальных значений интенсивности
iKа0i. (5.5)
Для адекватной оценки интенсивности атак, а также исходя из особенностей применения возможных мер противодействия, целесообразно разделить злоумышленников по признаку их местоположения на внешних и внутренних. Внешний злоумышленник способен осуществлять только межсегментные удаленные атаки, поскольку не имеет физического доступа ни к атакуемым хостам, ни к любым другим объектам атакуемой подсети. Внутренний же злоумышленник имеет возможность получать доступ к таким объектам и, следовательно, способен реализовать как внутрисегментные удаленные атаки, так и атаки, связанные с непосредственным доступом.
Таким образом введем два различных коэффициента активности злоумышленника для внешнего Kex и внутреннего Kin, таких, что Kex характеризует внешнюю по отношении к ИТКС агрессивную среду и является коэффициентом для интенсивностей межсегментных атак 02.2, 02.3, 02.4, 02.5, 02.6, 02.7, 02.8, а Kin — внутреннюю, и является коэффициентом для непосредственных и внутрисегментных атак 00.1, 00.2, 01.1, 01.2, 01.3, 01.4, 01.5, 01.6, 01.7, 01.8.
Рассчитаем вероятности реализации злоумышленником каждой из рассматриваемых атак с учетом их сложности и взаимозависимости. Отметим, что интенсивность возникновения каждой из атак является суммой интенсивностей ее проведения в качестве самостоятельной атаки и в качестве этапа более сложной атаки, т.е.
(5.6)
Для каждой из атак получим следующие исходные значения интенсивности:
— для атаки «сниффинг сети», являющейся также этапом атаки «подмена доверенного объекта на основе перехвата сессии»:
1.11.11.7; (5.7)
— для атаки «сканирование портов», не имеющей самостоятельного значения, но являющейся этапом всех удаленных атак внутрисегментная и межсегментная соответственно:
1.21.31.41.51.61.7, (5.8)
2.22.32.42.52.6; (5.9)
— для атаки «отказ в обслуживании», являющейся также возможным этапом атаки «подмена доверенного объекта» внутрисегментная и межсегментная соответственно:
1.31.31.6, (5.10)
2.32.32.6. (5.11)
Для остальных атак значение фактической интенсивности совпадает со значением интенсивности появления в качестве самостоятельной атаки.
Таким образом, полученные интенсивности принимаются в качестве параметра для распределения вероятностей атак каждого типа. Однако эти распределения показывают вероятность возникновения атак, т.е. распределение вероятностей числа попыток злоумышленника провести атаку и не имеют отношения к их эффективной реализации.