Модельный прогноз для числа сетевых вторжений на ближайшие годы

Ю.Н.Гуркин, Ю.А.Семенов, В.В.Шишов


Для компаний и администраторов сетей, ответственных за безопасность, важно представлять, какое число атак можно ожидать в ближайшем и отдаленном будущем. От этого будут зависеть инвестиции в безопасность.

Серьезных попыток прогнозирования роста потока сетевых атак, если не считать простой экстраполяции, не предпринималось. Проблема эта не проста, так как число атак зависит от очень большого числа частично коррелированных параметров. Абсолютное число существенно зависит также оттого, что считать атакой. Некоторую классификацию атак можно найти по адресу book.itep.ru/6/intrusion.htm.

Европейская организация CERT (Computer Emergency Response Team) уже многие годы собирает статистику по официально зарегистрированным сетевым атакам см. www.cert.org/stats. Рост числа атак до настоящего времени имеет экспоненциальный характер. Этот рост функционально идентичен росту числа пользователей Интернет (доля хакеров - величина инвариантная). Понятно, что реальное число атак в несколько раз, а возможно и на порядок больше регистрируемого числа. Число сигнатур (разновидностей) атак в прошлом 2004-ом году перевалило за 2000. Временную зависимость числа атак трудно параметризовать (также как и рост населения Земли). С одной стороны в развитых странах число персональных ЭВМ выходит на равновесный уровень и почти все они подключены к сети Интернет. С другой стороны нарастает число машин в очень многих развивающихся странах, увеличивается численность процессоров, выполняющих вспомогательные функции, например, процессор электрической печи, считывающий рецепты приготовления определенного блюда из сети. Интуитивно ясно, что рано или поздно число атак в единицу времени должно стабилизироваться, хотя в это трудно поверить, глядя на данные CERT. На рис. 1 показаны статистические данные CERT по зарегистрированным успешным атакам (вторжениям) за период до 2005 года. Понятно, что число зарегистрированных атак составляет ничтожную долю от общего объема атак. В Москве полное число атак составляет более 20/сутки на одну ЭВМ. Эта зависимость имеет экспоненциальный характер. Тенденция роста числа вторжений с хорошей точностью отслеживает изменение числа ЭВМ, подключенных к Интернет.


Рис. 1. Распределение числа официально зарегистрированных сетевых вторжений по годам


Понятно, что беспредельно этот рост продолжаться не может. Но когда произойдет смена знака производной, и когда число атак в единицу времени стабилизируется?.


Рост числа ЭВМ в разных регионах мира отличается значительно. В Европе и США намечается тенденция к насыщению, в Китае, Индии, России, Бразилии и некоторых других странах до насыщения еще достаточно далеко.

На число атак влияет и уровень спроса на квалифицированных программистов. Там где он велик, число хакеров относительно невелико.

Основная масса атак создается "сетевыми хулиганами", имеется значительный слой молодых людей, которые находят в этом способ для самоутверждения.

К сожалению, растет спрос на криминальные атаки, хотя они пока и не составляют существенной доли. Хакеры стали предлагать взломанные ими ЭВМ для рассылки спама и для DDoS-атак конкурентов.

Если рассматривать проблему прогнозирования потоков атак глобально, то в ней много общего с прогнозом народонаселения на Земле. Здесь также характерной особенностью является многопараметричность и существенная вариация от региона к региону. Заметная корреляция между ростом народонаселения и числа ЭВМ очевидна, хотя уровень ковариации варьируется для разных стран. Число параметров, от которых зависит поток атак, настолько велико, что модель зависимости становится статистически устойчивой.

Масштаб ущерба от атак становится огромным, зарегистрирован даже случай убийства через Интернет (пациент был подключен к системе жизнеобеспечения, которая в свою очередь была связана с Интернет). Для того чтобы планировать работы в сфере сетевой безопасности, надо научиться прогнозировать динамику роста сетевых атак. До сих пор для этого использовались экстраполяционные методы, которые не пригодны для долгосрочных прогнозов.

Интересную модель для прогноза роста народонаселения Земли предложил Капица С.П. (см. Капица С.П., Сколько людей жило, живёт и будет жить на Земле. Очерк теории роста человечества. - М.: Международная программа образования, 1999. - 240 с. ).

Нами были проанализированы данные по числу зарегистрированных вторжений CERT и данная зависимость была параметризована с использованием модели Капицы.


Рис. 2.


Результат представлен на рис. 2. Из этих данных видно, что экспоненциальный рост числа вторжений завершится уже в ближайшие годы и далее будет стремиться к равновесному значению на уровне 500000 зарегистрированных вторжений в год. Реальное число сетевых вторжений будет как минимум на порядок больше, так как регистрируется лишь малая их часть. Предлагаемая модель, возможно, дает заниженный прогноз из-за того, что доля регистрируемых атак будет расти из-за повышения эффективности регистрации.