Имитационное моделирование является одним из способов предварительной оценки эффективности защитных мер при распределенных атаках отказа в обслуживании. В условиях реальной эксплуатации администратор не всегда может проверить новое правило фильтрации непосредственно на боевом контуре, поскольку ошибочная блокировка способна нарушить доступ пользователей к сервису. Модель позволяет воспроизвести поток запросов, задать параметры атаки и оценить последствия выбора конкретного набора правил [1].

При DDoS-атаке нагрузка формируется большим числом источников, поэтому простое сравнение текущего трафика со средним значением не всегда дает достаточный результат. Необходимо учитывать распределение запросов во времени, долю повторяющихся соединений, тип протокола, частоту обращений к ресурсоемким функциям и реакцию серверной инфраструктуры. Имитационная модель удобна тем, что позволяет изменять эти параметры независимо и наблюдать, как меняется вероятность пропуска вредоносного трафика.

Основная задача моделирования состоит не только в том, чтобы подтвердить факт атаки, но и в том, чтобы выбрать такие правила фильтрации, которые снижают нагрузку без чрезмерного ущерба для легитимных пользователей. Для этого в модель включаются сведения о допустимой пропускной способности канала, производительности средств защиты, времени обработки запроса, количестве отказов и количестве ошибочных блокировок.

В рамках такой постановки каждое правило можно рассматривать как отдельный элемент системы защиты. Одно правило может ограничивать число соединений с одного адреса, другое — запрещать пакеты с некорректными флагами, третье — направлять подозрительные HTTP-запросы на дополнительную проверку. Совокупность правил образует набор, который должен применяться с учетом ограничений по ресурсам и допустимого уровня риска.

Таблица 1

Параметры имитационной модели для оценки правил фильтрации

При построении модели важно отделять признаки атаки от признаков обычного увеличения посещаемости. Например, резкий рост числа запросов может быть связан не только с вредоносной активностью, но и с рекламной кампанией или публикацией новости. Поэтому критерии фильтрации должны оцениваться в связке: адрес источника, частота обращений, тип запроса, повторяемость маршрута и нагрузка на сервер.

Для формальной оценки можно использовать показатель вероятности пропуска атаки. Он отражает долю вредоносных запросов, которые прошли через систему защиты и достигли защищаемого ресурса. Чем меньше этот показатель, тем выше эффективность фильтрации. Одновременно требуется учитывать вероятность ложной блокировки, так как чрезмерно строгие правила могут быть опасны для доступности сервиса не меньше, чем сама атака [2].

Имитационное моделирование должно быть циклическим процессом. Сначала задается профиль нормальной нагрузки, затем формируются сценарии атаки, после чего модель рассчитывает последствия применения правил. Полученные метрики используются для корректировки порогов и повторного запуска эксперимента. Такой подход позволяет не ограничиваться одним набором настроек, а последовательно искать более устойчивое решение.

Важным преимуществом моделирования является возможность безопасно проверять недопустимые и пограничные ситуации. Например, можно оценить, что произойдет при резком увеличении числа SYN-запросов, при появлении большого числа HTTP-запросов к одной странице или при сочетании нескольких видов атаки. В реальной сети такие эксперименты были бы рискованными, а в модели они позволяют заранее определить слабые места.

Особое значение имеет учет ресурсов системы защиты. Если правило требует глубокого анализа каждого пакета, оно может оказаться полезным при малой нагрузке, но неприемлемым при массовой атаке. Поэтому в модели необходимо фиксировать стоимость проверки и сравнивать ее с выигрышем в снижении вероятности пропуска атаки. На практике сначала целесообразно применять дешевые сетевые проверки, а затем направлять спорный трафик на более сложный анализ.

Модель также помогает выстроить порядок включения правил. При обнаружении слабой аномалии достаточно ограничить частоту запросов или включить серый список. При росте нагрузки можно добавить фильтрацию по протоколам и источникам, а при критическом состоянии — временно отключить отдельные ресурсоемкие функции. Такой сценарный подход согласуется с принципом многоуровневой защиты, при котором меры применяются постепенно и с учетом текущей ситуации [3].

Практическим результатом моделирования становится не абстрактная оценка защищенности, а набор рекомендаций для настройки средств фильтрации. В него входят пороговые значения, допустимое число соединений, порядок проверки запросов, условия перехода к более строгому режиму и критерии возврата к нормальной работе. Эти рекомендации могут быть использованы при подготовке регламентов реагирования и при настройке средств мониторинга.

Следовательно, имитационная модель является важным инструментом выбора правил фильтрации при защите от DDoS-атак. Она позволяет учитывать особенности конкретной информационной системы, заранее оценивать последствия включения правил и снижать риск ошибочной блокировки легитимных пользователей. Наиболее эффективным является применение модели совместно с мониторингом, журналированием событий и регулярным пересмотром параметров защиты.

Литература:

1. Олифер В. Г., Олифер Н. А. Компьютерные сети. Принципы, технологии, протоколы. — СПб.: Питер, 2021.
2. Мельников В. П., Клейменов С. А., Петраков А. М. Информационная безопасность и защита информации. — М.: Академия, 2020.
3. Баранова Е. К., Бабаш А. В. Информационная безопасность и защита информации. — М.: РИОР, 2019.
4. ГОСТ Р 57580.1–2017. Безопасность финансовых операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. — М.: Стандартинформ, 2017.
5. ФСТЭК России. Методический документ. Меры защиты информации в государственных информационных системах. — М., 2014.