Популярное

Мифы о звукоизоляции



Как построить дом из пеноблоков



Как построить лестницы на садовом участке



Подбираем краску для ремонта



Каркасные дома из дерева


Главная » Модельный прогноз для

Модельный прогноз для числа сетевых вторжений на

ближайшие годы

Гуркин Ю.Н. (1), Ю.А.Семенов (semenov@itep.ru )(2), В.В.Шишов (1)

(1) МФТИ, (2) ИТЭФ

Для компаний и администраторов сетей, ответственных за безопасность, важно представлять, какое число атак можно ожидать в ближайшем и отдаленном будущем. От этого будут зависеть инвестиции в безопасность [1].

Серьезных попыток прогнозирования роста потока сетевых атак, если не считать простой экстраполяции, не предпринималось. Проблема эта не проста, так как число атак зависит от очень большого числа частично коррелированных параметров. Абсолютное число существенно зависит также оттого, что считать атакой. Некоторую классификацию атак можно найти по адресу http: book.itep.ru/6/intrusion.htm.

Европейская организация CERT (Computer Emergency Response Team) уже многие годы собирает статистику по официально зарегистрированным сетевым атакам см. http: www.cert.org/stats/ [2,3]. Рост числа атак до настоящего времени имеет экспоненциальный характер. Этот рост функционально идентичен росту числа пользователей Интернет (доля хакеров - величина инвариантная). Понятно, что реальное число атак в несколько раз, а возможно и на порядок больше регистрируемого числа. Число сигнатур (разновидностей) атак в прошлом 2004-ом году перевалило за 2000. Временную зависимость числа атак трудно параметризовать (также как и рост населения Земли). С одной стороны в развитых странах число персональных ЭВМ выходит на равновесный уровень и почти все они подключены к сети Интернет. С другой стороны нарастает число машин в очень многих развивающихся странах, увеличивается численность процессоров, выполняющих вспомогательные функции, например, процессор электрической печи, считывающий рецепты приготовления определенного блюда из сети. Интуитивно ясно, что рано или поздно число атак в единицу времени должно стабилизироваться, хотя в это трудно поверить, глядя на данные CERT.

На рис. 1 показаны статистические данные CERT по зарегистрированным успешным атакам (вторжениям) за период до 2005 года. Понятно, что число зарегистрированных атак составляет ничтожную долю от общего объема атак. В Москве полное число атак составляет более 20/сутки на одну ЭВМ. Эта зависимость имеет экспоненциальный характер. Тенденция роста числа вторжений с хорошей точностью отслеживает изменение числа ЭВМ, подключенных к Интернет.



130-101

1988 89 90 91 92 93 94 95 96 97 98 99 2000 01 02 03

Рис. 1. Распределение числа официально зарегистрированных сетевых

вторжений по годам.

Понятно, что беспредельно этот рост продолжаться не может. Но когда произойдет смена знака производной, и когда число атак в единицу времени стабилизируется?

Рост числа ЭВМ в разных регионах мира отличается значительно. В Европе и США намечается тенденция к насыщению, в Китае, Индии, России, Бразилии и некоторых других странах до насыщения еще достаточно далеко.

На число атак влияет и уровень спроса на квалифицированных программистов. Там где он велик, число хакеров относительно невелико.

Основная масса атак создается сетевыми хулиганами , имеется значительный слой молодых людей, которые находят в этом способ для самоутверждения.

К сожалению, растет спрос на криминальные атаки, хотя они пока и не составляют существенной доли. Хакеры стали предлагать взломанные ими ЭВМ для рассылки спама и для DDoS-атак конкурентов.

Если рассматривать проблему прогнозирования потоков атак глобально, то в ней много общего с прогнозом народонаселения на Земле. Здесь также характерной особенностью является многопараметричность и существенная вариация от региона к региону. Заметная корреляция между ростом народонаселения и числа ЭВМ очевидна, хотя уровень ковариации варьируется для разных стран. Число параметров, от которых зависит поток атак, настолько велико, что модель зависимости становится статистически устойчивой.

Масштаб ущерба от атак становится огромным, зарегистрирован даже случай убийства через Интернет (пациент был подключен к системе жизнеобеспечения, которая в свою очередь была связана с Интернет). Для того чтобы планировать работы в сфере сетевой безопасности, надо научиться




прогнозировать динамику роста сетевых атак. До сих пор для этого использовались экстраполяционные методы, которые не пригодны для долгосрочных прогнозов.

Интересную модель для прогноза роста народонаселения Земли предложил Капица С. П. (см. Капица С.П., Сколько людей жило, живёт и будет жить на Земле. Очерк теории роста человечества. - М.: Международная программа образования, 1999. - 240 с. [4,5]).

Нами были проанализированы данные по числу зарегистрированных вторжений CERT и данная зависимость была параметризована с использованием модели Капицы.

400000

зооооо 4

I 200000 4

100000 4

о

---f2=30000/(2004-t)

ОцСНВД рэннсй СЩДИН

--f3=120000* arcctg(t-2004)+180000

Данное по beicoiA* втайм!

..... №Т) -!---

1995

2340

199G

2412

1997

2573

1998

2134

1999

3734

2000

9859

2001

21755

2002

55100

2003

82094

2004

200000


1994 1996 1998 2000

2002 ГОДИ

2004 2006 2008 2010

Рис. 2

Результат представлен на рис. 2. Из этих данных видно, что экспоненциальный рост числа вторжений завершится уже в ближайшие годы и далее будет стремиться к равновесному значению на уровне 500000 зарегистрированных вторжений в год. Реальное число сетевых вторжений будет как минимум на порядок больше, так как регистрируется лишь малая их часть. Предлагаемая модель, возможно, дает заниженный прогноз из-за того, что доля регистрируемых атак будет расти из-за повышения эффективности регистрации.



1.Security of the Internet. Marcel Dekker Published in The Froehlich/Kent Encyclopedia of Telecommunications vol. 15. New York, 1997, pp. 231-255.

2. An Analysis Of Security Incidents On The Internet 1989 - 1995. John D. Howard CERT publication. April 7, 1997,URL:http www.cert.org/research/JHThesis/Start.html 3.CERT/CC Statistics 1988-2005. Yearly CERT publication. URL:http www.cert.org

4. A FORECASTING MODEL FOR INTERNET SECURITY ATTACKS. Alexander D.

Korzyk Publication of National Institute of Standards and Technology, Computer Security Division. URL:http: csrc.nist.gov/nissc/1998/proceedings/paperD5.pdf publication.

5. Феноменологическая теория роста населения Земли. С. П. Капица Журн. Усп. Физ. Наук, 1996. № I. c. 63-79.



© 2017 РубинГудс.
Копирование запрещено.