Содержание к диссертации
Введение
Глава 1. Системный анализ проблемы моделирования механизмов защиты от атак «распределенный отказ в обслуживании» на основе многоагентного подхода 13
1.1. Задача моделирования механизмов защиты от атак «распределенный отказ в обслуживании» 13
1.2. Многоагентное моделирование и командная работа агентов 20
1.3. Атаки «распределенный отказ в обслуживании» и механизмы защиты от них 23
1.3.1. Атаки DDoS 24
1.3.2. Механизмы защиты 28
1.4. Подход к моделированию механизмов защиты от атак «распределенный отказ в обслуживании» и требования к методике его проведения 41
1.5. Постановка задачи исследования 56
Выводы по главе 1 60
Глава 2. Модели противоборства команд агентов, реализующих атаки «распределенный отказ в обслуживании» и механизмы защиты от них .63
2.1. Структура основных моделей противоборства команд агентов, реализующих распределенные атаки «отказ в обслуживании» и механизмы защиты от них 63
2.2. Модели команд атаки и защиты 66
2.3. Модели взаимодействия команд 75
2.3.1. Модель антагонистического противоборства 76
2.3.2. Модель кооперативного взаимодействия 77
2.3.3. Модель адаптации 83
2.4. Модель сети Интернет 85
2.4.1. Топология и параметры каналов передачи данных 85
2.4.2. Протоколы 91
2.4.3. Модели и алгоритмы генерации трафика 92
Выводы по главе 2 96
Глава 3. Методика проведения многоагентного моделирования механизмов защиты от атак «распределенный отказ в обслуживании» и оценка ее эффективности 98
3.1. Архитектура и реализация системы моделирования 98
3.2. Методика проведения многоагентного моделирования механизмов защиты от атак «распределенный отказ в обслуживании» 106
3.3. Применение предложенной методики для задач защиты от атак «распределенный отказ в обслуживании» 116
3.3.1. Исследование кооперативных механизмов защиты 117
3.3.2. Исследование адаптивных механизмов защиты 126
3.4. Оценка эффективности предложенной методики 133
Выводы по главе 3 142
Заключение
- Многоагентное моделирование и командная работа агентов
- Подход к моделированию механизмов защиты от атак «распределенный отказ в обслуживании» и требования к методике его проведения
- Модель антагонистического противоборства
- Применение предложенной методики для задач защиты от атак «распределенный отказ в обслуживании»
Введение к работе
Актуальность темы диссертации.
В последнее время наблюдается рост количества распределенных атак на глобальные компьютерные сети. Значительная часть этих атак направлена на нарушение доступности или «распределенный отказ в обслуживании» (Distributed Denial of Service, DDoS). Атака заключается в перегрузке хоста или сетевого ресурса посредством наполнения системы - цели атаки - большим количеством сетевых пакетов. Эти атаки реализуются большим количеством программных агентов («ботов» или «демонов»), размещенными на хостах, которые злоумышленник скомпрометировал ранее. Реализация этих атак может привести не только к выходу из строя отдельных хостов и служб, но и остановить работу корневых DNS-серверов и вызвать частичное или полное прекращение работы Интернета. В связи с критичностью и нетривиальностью данного класса атак, построение эффективных средств защиты от них представляет собой сложную научно-техническую проблему.
На практике достаточно проблематично осуществить проверку и оценку применения того или иного механизма защиты. Исследование на основе реальных сетей трудно реализуемо практически вследствие следующих причин. Необходимо либо располагать большим выделенным фрагментом сети, где можно проводить эксперименты, либо использовать для экспериментов сети реальных Интернет-провайдеров (Internet Service Provider, ISP). Но атаки DDoS создают большую нагрузку на сеть, вплоть до полного отказа в обслуживании, что приводит к выходу эксперимента из под контроля, и даже распространению атак в Интернет. При этом важные условия научного эксперимента, такие как повторяемость и контролируемость, не могут быть соблюдены. Вследствие описанных причин для исследования механизмов защиты от атак DDoS необходимо использовать моделирование.
Для реализации данной цели предлагается использовать многоагентное моделирование, так как оно упрощает сам процесс моделирования, позволяя представить изучаемые процессы в виде совокупности автономных агентов и взаимодействий между ними. В известных в настоящее время работах задача многоагентного моделирования атак DDoS и механизмов защиты от них явным образом не ставилась.
Ввиду критичности данного класса атак, сложности проведения исследований на реальных сетях, многоагентное моделирование механизмов защиты от атак DDoS представляется действительно актуальной задачей.
Целью исследования является повышение эффективности анализа механизмов защиты от распределенных атак «отказ в обслуживании» на основе разработки моделей и методик для многоагентного моделирования.
Для достижения данной цели в диссертационной работе поставлены и решены следующие задачи:
1. Анализ методов многоагентного моделирования и атак «распределенный отказ в обслуживании» и механизмов защиты от них.
2. Разработка моделей команд агентов, реализующих атаки «распределенный отказ в обслуживании» и механизмы защиты от них и моделей их взаимодействия.
3. Разработка модели среды взаимодействия (сети Интернет).
4. Построение архитектуры системы многоагентного моделирования.
5. Разработка методики проведения многоагентного моделирования на основе представленных моделей и архитектуры.
6. Реализация системы многоагентного моделирования и проведение экспериментов.
Объектом исследования являются атаки DDoS и механизмы защиты от них. В исследовании особое внимание уделяется подзадаче многоагентного моделирования атак DDoS и механизмов защиты от них. Предметом исследования являются модели и методика многоагентного моделирования механизмов защиты от атак «распределенный отказ в обслуживании».
Научная задача работы - разработка моделыю-методического аппарата для моделирования механизмов защиты от распределенных атак «отказ в обслуживании» с целью исследования этих механизмов защиты.
Методологическую и теоретическую основу исследования составили научные труды отечественных и зарубежных авторов в областях многоагентных систем, многоагентного моделирования, компьютерной безопасности, компьютерных сетей, моделирования сетей и сетевых процессов, динамической адаптации.
Методы исследования, использованные в диссертации, относятся к методам системного анализа, теории вероятности, объектно-ориентированного программирования, сравнения и аналогий, моделирования.
Основными результатами, выносимыми на защиту, являются:
1. Модели команд агентов, реализующих атаки «распределенный отказ в обслуживании» и механизмы защиты от них.
2. Модели взаимодействия команд агентов, реализующих атаки «распределенный отказ в обслуживании» и механизмы защиты от них.
3. Методика проведения многоагентного моделирования механизмов защиты от атак «распределенный отказ в обслуживании».
Научная новизна исследования заключается в следующем:
1. Разработаны модели команд агентов, реализующих атаки «распределенный отказ в обслуживании» и механизмы защиты от них, отличающиеся использованием в качестве базиса методов командной работы агентов. Особенностью моделей является применение процедур обеспечения согласованности действий, мониторинга и восстановления функциональности агентов, а также обеспечения селективности коммуникаций.
2. Разработаны модели взаимодействия команд агентов, реализующих атаки «распределенный отказ в обслуживании» и механизмы защиты от них. Их особенностями являются выделение различных видов взаимодействий команд, которые основываются на антагонистическом противоборстве, кооперации и адаптации, использование различных схем кооперации команд агентов защиты, позволяющих вести обмен данными о трафике между агентами защиты и задействовать разные классы агентов защиты, возможность адаптации команд агентов посредством генерации новых экземпляров атак и механизмов защиты и сценариев их реализации.
3. Разработана методика проведения многоагентного моделирования механизмов защиты от атак «распределенный отказ в обслуживании» в сети Интернет, базирующаяся на представленных в диссертационной работе моделях и алгоритмах и обладающая следующей совокупностью особенностей, подчеркивающей ее новизну: учитываются ключевые параметры исследуемых процессов (параметры сети и ее узлов, параметры команды атаки и реализации атаки, параметры команды защиты и механизмов защиты, параметры взаимодействия команд); основные этапы методики автоматизированы за счет реализованной системы многоагентного моделирования механизмов защиты от атак «распределенный отказ в обслуживании»; на основе выходных параметров производится оценка и сравнение различных механизмов защиты.
Обоснованность и достоверность представленных в диссертационной работе научных положений обеспечивается за счет тщательного анализа состояния исследований в данной области, подтверждается согласованностью теоретических результатов с результатами, полученными при компьютерной реализации, а также апробацией основных теоретических положений в печатных трудах и докладах на научных конференциях.
Практическая значимость исследования. Разработанные модели могут быть обобщены для целей решения достаточно большого класса задач, в частности, задачи информационной борьбы в Интернет, конкуренции в сфере электронного бизнеса и др. Элементы разработанных моделей, в частности предложенные классификации механизмов защиты от атак DDoS, можно использовать для анализа систем защиты такого рода. Предложенную методику можно использовать для исследования эффективности разнообразных механизмов защиты на основе различных выходных параметров, оценки защищенности существующих сетей и выработки рекомендаций для построения перспективных систем защиты.
Реализация результатов работы. Результаты, полученные в диссертационной работе были использованы в рамках следующих научно-исследовательских работ: проекта шестой рамочной программы Европейского сообщества (Research Project of the European Community sixth framework programme) «Policy-based Security Tools and Framework (POSITIF)» (Contract #IST-2002 002314, 2004-2007); проекта «MIND— Machine Learning for Intrusion Detection», поддерживаемого Федеральным Министерством образования и науки Германии (грант 01ISC40A, 2004-2006); Российского фонда фундаментальных исследований (РФФИ) «Моделирование процессов защиты информации в компьютерных сетях в антагонистической среде: формальный подход, математические модели, многоагентная архитектура, программный прототип и экспериментальная оценка» (проект № 04-01-00167, 2004-2006); программы фундаментальных исследований отделения информационных технологий и вычислительных систем (ОИТВС) Российской академии наук «Математические модели активного анализа уязвимостей, обнаружения вторжений и противодействия сетевым атакам в компьютерных сетях, основывающиеся на многоагентных технологиях» (контракт № 3.2/03, 2003-2007); проекта «Разработка научно-методических основ защиты информации в каналах связи системы международной коллективной экологической безопасности» (Государственный контракт с Центром исследования проблем безопасности Российской академии наук, 2006) и др.
Апробация результатов работы. Основные положения и результаты диссертационной работы докладывались на следующих научных конференциях: «International Conference on Security and Cryptography (SECRYPT-2007)» (Барселона, Испания, 2007); «Autonomous Intelligent Systems: Agent and Data Mining-2007 (AIS-ADM 07)» (Санкт-Петербург, 2007); «9th Information Security Conference (ISC 2006)» (Самос, Греция, 2006); XIII, XIV, XV общероссийские научно-технические конференции «Методы и технические средства обеспечения безопасности информации (МТСОБИ)» (Санкт-Петербург, 2004-2006); Международная научная школа «Моделирование и анализ безопасности и риска в сложных системах (МАБР-2006)» (Санкт-Петербург, 2006); «X Национальная конференция по искусственному интеллекту с международным участием (КИИ-2006)» (Обнинск, 2006); Международные научно-технические конференции «Интеллектуальные системы» (AIS) и «Интеллектуальные САПР» (CAD) (Дивноморское, 2005-2007); «Четвертая и пятая общероссийские конференции «Математика и безопасность информационных технологий (МаБИТ, 2005, 2006)» (Москва, 2005, 2006); Вторая всероссийская научно-практическая конференция по имитационному моделированию и его применению в науке и промышленности «Имитационное моделирование. Теория и практика. ИММОД-2005» (Санкт-Петербург, 2005); IV Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России (ИБРР)» (Санкт-Петербург, 2005); «Second International Workshop on Safety and Security in Multiagent Systems (SASEMAS 05). (Утрехт, Голландия, 2005) и др. По итогам научной работы автор дважды побеждал в конкурсе «Лучшие аспиранты РАН» (2006, 2007 гг.) и был награжден медалью РАН для молодых учёных РАН (2007 г.).
Публикации. По материалам диссертационной работы опубликовано 42 статьи, в том числе две статьи из перечня ВАК на соискание ученой степени доктора и кандидата наук [15] («Известия высших учебных заведений. Приборостроение», «Известия РАН. Теория и системы управления»). На конференции «9th Information Security Conference» (2006) статья автора была награждена грамотой «Best Student-Authored Paper» как лучшая, написанная аспирантом.
Структура и объем диссертационной работы. Диссертационная работа объемом 165 машинописных страниц, содержит введение, три главы и заключение, список литературы, содержащий 129 наименований, 3 таблицы, 31 рисунок.
Краткое содержание работы. В первой главе диссертации рассмотрена задача моделирования, представлено современное состояние проблемы многоагентного моделирования и области атак DDoS и механизмов защиты от них, приведен общий подход к исследуемой проблеме моделирования. В конце главы ставится задача исследования, ее цели и требования к ее реализации.
Описываются вопросы моделирования обеспечения информационной безопасности и связанные с этим сложности. Предлагается рассмотреть данную проблему на примере исследования и реализации механизмов защиты от атак «распределенный отказ в обслуживании». Дается краткий обзор положения в области DDoS атак и механизмов защиты от них. Для исследования данной проблемы предлагается применить многоагентное моделирование, ввиду того, что рассматриваемые процессы распределены и взаимодействуют кооперативно.
Основным базисом для проведенного исследования является теория командной работы агентов. Описаны классические подходы: теория общих планов, теория общих намерений и гибридный подход, а также подходы, реализованные в различных программных многоагентных системах: GRATE , ОАА, CAST, RETSINA-MAS, COGNET/BATON, Robocup Soccer, Team-Soar.
Проанализированы существующие классификации механизмов защиты от DDoS атак. Предлагается новая классификация, в рамках которой затем рассматриваются различные механизмы защиты. Особое внимание уделяется кооперативной защите.
На основе рассмотренных работ в области многоагентного моделирования и анализа атак DDoS и защиты от них, предлагается общий подход к многоагентому моделированию такого класса задач. Он предполагает, что кибернетическое противоборство представляется в виде взаимодействия как минимум двух команд программных агентов: команды агентов-злоумышленников по реализации атак DDoS и команды агентов защиты.
В конце главы представлены задача исследования, ее цели и требования к ее реализации.
Во второй главе представлены модели противоборства команд агентов, реализующих атаки «распределенный отказ в обслуживании» и механизмы защиты от них. Это: модели команды атаки, модели команды защиты, модель взаимодействия команд и модель сети Интернет.
Рассмотрено представление модели команд агентов с помощью следующих компонентов: частная онтология команды; базовые функции агентов; классы агентов; протоколы взаимодействия агентов; сценарии поведения агентов. В соответствии с этим представлением описываются предложенные команды атаки DDoS и защиты от DDoS атак. В первую вошли следующие классы агентов: «демон», «мастер». Во вторую - «детектор», «сэмплер», «фильтр», «ограничитель», агент «расследования».
Описаны разработанные модели взаимодействия команд: антагонистическое противоборство, кооперативная защита, адаптивная схема. Рассматривается противоборство команд защиты и атаки DDoS. Кооперативное взаимодействие происходит между командами, преследующими общую цель по защите сети: команды защиты обмениваются информацией для повышения эффективности противодействия атаке. Описываются модели кооперативных механизмов для команд, преследующих общую цель по защите сети: DefCOM и COSSACK, а также предлагается пять новых моделей кооперации («без кооперации», «на уровне фильтров», «на уровне сэмплеров», «слабая», «полная»). Рассматривается механизм и критерии адаптации команд агентов к действиям друг друга.
Анализируются компоненты модели сети: топология сети; протоколы; трафик.
Третья глава посвящена разработанной архитектуре системы моделирования и ее реализации, предложенной методике проведения многоагентного моделирования механизмов защиты от атак «распределенный отказ в обслуживании», применению методики и оценке ее эффективности.
Рассматриваются компоненты предложенной архитектуры: базовая система имитационного моделирования, система имитации сети Интернет, система многоагентного моделирования, библиотека предметной области. Описываются детали реализации данной архитектуры для многоагентного моделирования механизмов защиты от DDoS атак, которая была произведена с использованием OMNeT++ INET Framework и программных моделей, разработанных на C++.
Представлены основные этапы разработанной методики: подготовительный этап; этап задания параметров; этап моделирования функционирования системы; этап анализа выходных параметров. Третий этап выполняется реализованной программной системой моделирования.
В качестве примеров применения предложенной методики исследуются кооперативные механизмы защиты и схемы адаптации команд. Описываются входные и выходные данные экспериментов, по их результатам делаются выводы.
Приводится оценка эффективности применения предложенной методики на основе свойств своевременности, обоснованности и ресурсопотребления; она позволяет признать методику соответствующей предъявляемым требованиям.
Многоагентное моделирование и командная работа агентов
В качестве начального фундамента для исследований в области моделирования противоборства злоумышленников и систем защиты в сети Интернет используются работы в следующих областях: агентно-ориентированное моделирование; командная работа агентов; системы вывода, основанные на предсказании намерений и планов оппонента; моделирование атак на компьютерные сети; моделирование процессов защиты информации; адаптивные системы.
Методы агентно-ориентированного моделирования являются сравнительно молодой областью применения теории многоагентных систем, поэтому решение поставленной проблемы должно привести, в том числе, и к обогащению этого направления. Основной базис для исследования составляет теория командной работы агентов. Существует три широко известных подхода к формализации командной работы агентов: теория общих намерений [36], теория общих планов [49] и гибридный подход, базирующийся на комбинировании теорий общих намерений и общих планов [112]. Многие подходы к организации командной работы агентов воплощены в программных реализациях различных многоагентных систем, например, в системах GRATE , ОАА, CAST, RETSINA-MAS, COGNET/BATON, Team-Soar и др. Важным полигоном для исследования командной работы агентов является «виртуальный футбол» (футбол роботов) и моделирование спасательных действий команд агентов в различных критических ситуациях (при стихийных бедствиях, террористических актах и т.п.).
В теории общих намерений [36] команда агентов имеет общую долговременную цель. Все члены команды хотят, чтобы эта цель была достигнута. Агенты имеют индивидуальные обязательства, которые являются их долговременной целью. Индивидуальные намерения агентов заключаются в выполнении этой цели. Аналогично, команда агентов имеет общие обязательства и намерения, причем команда агентов имеет общее намерение выполнить некоторое действие, если все члены команды имеют общую долговременную цель выполнить это действие. О том, достигнута ли цель, агенты должны прийти к соглашению. При выполнении командой последовательности действий, каждый агент должен иметь индивидуальное намерение исполнить его как часть более общего намерения. Во время командных действий план может многократно меняться.
В теории общих планов [49] под групповым планом понимается план совместного выполнения некоторого множества действий группой агентов. Групповой план действий требует, чтобы команда агентов пришла к соглашению по выполнению предписаний, которым они будут следовать в групповых действиях. Агенты должны принять на себя обязательства по отношению не только к своим индивидуальным действиям, но также и по отношению к действиям группы в целом. Аналогично, каждый агент должен принять на себя обязательства по отношению к действиям других агентов. План групповой деятельности может иметь в качестве компонент как планы индивидуальных агентов для назначенных действий, так и планы подгрупп.
Модель командной работы агентов (гибридный подход), предложенная в работе [112] основана на комбинировании обеих теорий и пытается использовать преимущества каждой. Эта модель реализована в системе STEAM. Общие намерения агентов отображены в иерархическом реактивном плане, в котором описываются как действия команды в целом, так и отдельных агентов. Согласованные задачи выполняются благодаря установке ограничений на роли агентов (на их поведение). Теория общих планов дает необходимые механизмы решения этой задачи. Кроме того, процесс достижения цели отслеживается агентами.
Система GRATE [53] является реализацией модели командной работы с общей ответственностью (Joint Responsibility). Она включает в себя понятия общих целей (из теории общих намерений) и общих предписаний. Индивидуальными обязательствами по предписанию (Individual recipe commitment) определяется, как агент должен действовать для решения задачи в контексте совместной работы. Общие обязательства по предписанию заставляют агента в случае невыполнения им обязательств пытаться сообщить об этом всем агентам команды. Общая ответственность подразумевает, что агенты имеют общую долговременную цель, выполняют общие обязательства по предписанию и им известно о действиях друг друга.
В основу ОАА [76] положены понятия: «доска объявлений» (blackboard) и ассистента (facilitator). «Доска объявлений» является глобальным хранилищем. Агенты могут общаться через это хранилище: считывать, записывать, запрашивать данные. Ассистенты гарантируют прозрачность выполнения запросов, управляют составными целями и заведуют размещениями данных и триггеров. Триггеры - это механизмы, которые должны сработать, если достигнуты заданные условия. С их помощью организуется скоординированная работа агентов.
Основная идея системы CAST [128] заключается в использовании общей ментальной модели агентов для проактивного обмена информацией в целях эффективного командного поведения. Общая ментальная модель состоит из общих знаний, убеждений о мире и убеждений о взаимной ответственности членов команды (записаны в виде сети предикатов). Для принятия решения о том, какие действия должен выполнить агент на следующем шаге используются специальные алгоритмы. Исходя из ограничений, указанных в плане, выбираются агенты, необходимые для выполнения поставленной задачи. С этой же целью затем определяется наилучшие моменты для проактивной передачи информации.
В модели командной работы RETSINA-MAS [45] предполагается, что у всех агентов есть своя собственная копия частичного плана для выполнения цели. Каждый агент оценивает свои возможности по выполнению условий задачи и составляет набор ролей. Агенты сопоставляют возможные роли, пока они не покроют все требования без возникновения конфликтов. После этого они приступают к выполнению командного плана. Координация агентов осуществляется на основе их ролей с помощью определения их возможностей.
В «Robocup Soccer» [129] агенты имеют общие правила и знания, которые управляют их кооперативным поведением. Агенты действуют, ориентируясь на собственную модель мира, куда входят в том числе и убеждения о действиях других агентов.
COGNET/BATON [41] - система для симуляции и моделирования командной работы людей с использованием интеллектуальных агентов. Для осуществления командной работы используется «доска объявлений» (blackboard), которая есть у каждого агента. На ней он отображает состояние других членов команды и отношение его локальных действий к долговременным целям команды. Эффективные командные действия обеспечиваются тем, что агенты периодически составляют вместе свои «доски объявлений». Для описания деятельности команды используются деревья целей.
Подход к моделированию механизмов защиты от атак «распределенный отказ в обслуживании» и требования к методике его проведения
Предлагаемый подход основан на многоагентных технологиях моделирования процессов обеспечения информационной безопасности в сети Интернет. Он предполагает, что кибернетическое противоборство представляется в виде взаимодействия различных команд программных агентов [7]. Агрегированное поведение системы проявляется посредством локальных взаимодействий отдельных агентов в динамической среде, задаваемой с помощью модели компьютерной сети.
Выделяются две команды агентов, воздействующих на компьютерную сеть, а также друг на друга: команда агентов-злоумышленников по реализации атак DDoS и команда агентов защиты.
Цель команды агентов-злоумышленников заключается в определении уязвимостей компьютерной сети и системы защиты и реализации заданного перечня угроз информационной безопасности посредством выполнения распределенных скоординированных атак. Цель команды агентов защиты состоит в защите сети и собственных компонентов от атак.
Агенты различных команд соперничают для достижения противоположных намерений. Агенты одной команды сотрудничают для осуществления общего намерения (по реализации угрозы или по защите компьютерной сети).
Предполагается, что соперничающие агенты осуществляют сбор информации из различных источников, оперируют нечеткими (вероятностными) знаниями, прогнозируют намерения и действия оппонента, оценивают возможные риски, пытаются обмануть друг друга, реагируют на действия оппонента [9].
Выбор сценария поведения каждой из команд зависит, прежде всего, от выбранной цели функционирования, а конкретная реализация сценария определяется, в первую очередь, непосредственной реакцией противоположной команды. Поэтому выбор каждого очередного шага поведения каждой из команд должен определяться динамически в зависимости от действий противоположной команды и состояния среды.
Каждая команда действует в условиях ограниченной информации, а каждый член команды может обладать различной информацией о действиях других членов команды. Поэтому модель поведения агентов должна быть в состоянии отображать неполноту информации и возможность возникновения случайных факторов. Кроме того, само поведение агентов должно зависеть от информации, которой владеет команда, и от ее распределения на множестве отдельных агентов, входящих в состав команды.
Модели функционирования агентов должны предусматривать, что каждый агент «знает», какие задачи он должен решать сам и к какому агенту он должен адресовать свой запрос на информацию или на решение подзадачи с целью получения такой информации, если это вне его компетенции. Сообщения одних агентов представляются в форме и терминах, понятных другим агентам.
Одним из наиболее перспективных подходов к структуризации распределенных баз знаний такого типа, является использование онтологии, характеризующих предметные знания сами по себе, вне связи с конкретными структурами их представления, алгоритмами вывода в них или эвристиками [48]. Как и для любой другой предметной области, онтология области атак DDoS и механизмов защиты от них представляет собой описание частично упорядоченного множества понятий, которые должны использоваться соответствующими агентами. Кроме отношения частичного порядка, на узлы этой структуры накладываются и другие отношения, свойственные предметной области. Это различного рода ограничения, правила, количественные и качественные отношения, связывающие понятия рассматриваемой предметной области. Данная онтология определяет подмножество понятий, которые используют различные агенты для кооперативного решения поставленных задач. Каждый агент использует определенный фрагмент общей онтологии предметной области.
Специализация каждого агента отражается подмножеством узлов онтологии [5,13]. Некоторые узлы онтологии могут быть общими для пары или большего количества агентов. Обычно только один из этих агентов обладает детально структурированным описанием этого узла. Именно этот агент является обладателем соответствующего фрагмента базы знаний. В то же время, некоторая часть онтологических баз знаний является общей для всех агентов, и именно эта часть знаний является тем фрагментом, который должен играть роль общего контекста (общих знаний). Предполагается, что агенты могут реализовать механизмы самоадаптации и эволюционировать в процессе функционирования [5]. Команда агентов-злоумышленников эволюционирует посредством генерации новых экземпляров и типов атак, а также сценариев их реализации с целью преодоления подсистемы защиты. Команда агентов защиты адаптируется к действиям злоумышленников путем изменения исполняемой политики безопасности, формирования новых экземпляров механизмов и профилей защиты.
Предлагаемая концептуальная модель кибернетического противоборства включает в себя [2,5]: (1) онтологию приложения в области защиты информации, содержащую множество понятий приложения и отношений между ними; (2) протоколы командной работы агентов различных команд (команд злоумышленников и команд (компонентов) системы защиты информации); (3) модели сценарного индивидуального, группового и общекомандного поведения агентов в рамках конкретных намерений, реализуемых сценариями; (4) коммуникационную компоненту, предназначенную для обмена сообщениями между агентами; (5) модели среды функционирования — компьютерной сети, включающие топологический и функциональные компоненты.
Предлагаемая технология создания команды агентов основывается на [13] и заключается в реализации следующей цепочки этапов: (1) формирование онтологии предметной области; (2) определение структуры команды агентов и механизмов их взаимодействия и координации (в том числе задание ролей и сценариев обмена ролями между агентами); (3) спецификация иерархии планов действий (генерации атак); (4) назначение ролей и распределение планов между агентами.
Предлагаемый в работе подход к организации командной работы агентов базируется на совместном использовании элементов теории общих намерений, теории разделяемых планов и комбинированных подходов и учитывает опыт программной реализации ряда многоагентных систем, рассмотренных в параграфе 1.2 [45,53,76,112,128,129] и др. Механизмы взаимодействия и координации агентов базируются на трех группах процедур [112]: (1) обеспечение согласованности действий; (2) мониторинг и восстановление функциональности агентов; и (3) обеспечение селективности коммуникаций.
Процедуры обеспечения согласованности действий агентов необходимы для поддержки скоординированной деятельности агентов по некоторому сценарию. Эти процедуры реализуются путем обмена агентами информацией о результатах деятельности, которые непосредственно влияют на выполнение поставленной задачи. До начала реализации атаки DDoS происходит формирование агентов, до их сведения доводятся их роли. Далее агенты сообщают о своей готовности и начинают активные действия в соответствии с заданной ролью. При достижении поставленной цели, обнаружении невозможности выполнить цель или выявлении нерелевантности цели, агент обязан сообщить этот факт оставшимся членам команды. При этих условиях выполняемый сценарий завершается, и должен быть активизирован другой сценарий.
Модель антагонистического противоборства
Модель антагонистического противоборства команд лежит в основе взаимодействия команд защиты и атаки. Команда атаки имеет цель реализовать DDoS атаку, а команда защиты - защитить сеть и себя от атаки. Для реализации атаки требуется достаточное наличие агентов-демонов в команде атаки. Агент-мастер отсылает им директивы с параметрами атаки: когда начать атаку; тип цели атаки (сеть или хост); адрес и порт цели атаки; интенсивность атаки; способ подмены адреса отправителя (подробнее об этом в параграфе «2.2.Команды атаки и защиты»). Модель антагонистического взаимодействия задается в виде: 1АМ ={(TAJDIA } где ТА и TD - модели команд атаки и защиты соответственно, Ant -антагонистическое противоборство между командами атаки и защиты.
Таким образом, команда атаки воздействует на сеть и цель атаки, и через сеть это воздействие передается команде защиты. Команда защиты, обнаруживая атаку, на основе заданных методов защиты пытается применить определенные контрмеры. В том числе это применение правил фильтрации на различных узлах, где установлены агенты-фильтры и отслеживание и обезвреживание агентов атаки при помощи агентов расследования.
Правила фильтрации, примененные в исходной (атакующей) подсети могут нанести непосредственный вред команде атаки. Трафик от агентов атаки будет отбрасываться, и они не смогут получить директивы от агента-мастера. Таким образом, они теряют работоспособность в рамках команды атаки, так как не могут отослать сообщение о своей работоспособности.
Агент расследования пытается проследить агентов атаки на основе данных, принятых от агента-детектора. Если агенты атаки не используют подмену адреса отправителя в пакетах атаки, то можно однозначно отследить хост с установленным агентом атаки. После этого агент обезвреживается агентом расследования. Для упрощения модели задается вероятность обезвреживания агента атаки, равная 30%.
В параграфе 1.3 представлен обзор механизмов защиты от атак DDoS, а в параграфе 1.4 предложена классификация этих механизмов (также в работе [18]). В соответствии с предложенной классификацией к распределенным кооперативным механизмам защиты от атак DDoS относятся механизмы, реализующие защиту с помощью переноса ресурсов, изменения количества ресурсов, разграничения ресурсов, аутентификации, а также механизмы, выполняющие отслеживание с разметкой пакетов и хранением их сигнатур, в том числе осуществляющие «отталкивание», генерацию служебных пакетов и др.
Один из ключевых и часто используемых методов защиты от DDoS атак -различные варианты ограничения трафика. Они применяются, чтобы снизить нагрузку на систему защиты или цель атаки, чтобы более эффективно применить контрмеры, а также как результат работы методов отслеживания источников атаки.
Существует различные варианты защиты с разграничением ресурсов, использующих rate-limiting. Они заключаются в выделении различного объема трафика для различных протоколов. Агенты-ограничители распределены в защищаемой сети или в сети провайдера и осуществляют ограничение трафика по заданным протоколам. Наиболее сильно методы ограничения представлены в кооперативных механизмах защиты.
MbSQD [75] представляет собой систему, где вход в подсеть ограничивается на основе ценностной схемы ресурсов, используются приоритеты и наказания для клиентов. Механизм Transport-aware IP router architecture (tIP) [119] построен на базе методики разграничения сервисов на основе учета качества обслуживания (Quality of Service - QoS). Ресурсы для разных сервисов, в зависимости от приоритета, установленного потребителем, предоставляются ISP в разном количестве. При реализации метода Gateway based [125] проходящий трафик делится на потоки на основе величины «поражающего воздействия» и «геометрической близости». Затем, в наиболее «вредных» потоках начинают отбрасываться пакеты с вычисленной по предложенной методике вероятностью. В методе АСС Pushback [51] при превышении заданного порога пакеты начинают отбрасываться из выходной очереди маршрутизатора. Среди «отброшенных» пакетов производится сортировка на основе ІР-адреса, полученная сигнатура заносится в таблицу фильтрации. В методах Perimeter-based DDoS defense [33] и DefCOM [84] используются агенты-ограничители трафика, действующие на основе предписаний других агентов.
Поэтому, для реализации большинства кооперативных методов необходим компонент-ограничитель трафика, который может отбрасывать пакеты для снижения трафика до заданного уровня, использовать базовые правила фильтрации и, в случае необходимости, иметь платформу для реализации более сложных методов ограничения. Рассмотрим модели кооперативных механизмов защиты DefCOM и COSSACK, использующие ограничение трафика.
Агент «Classifier» представляет собой агента «фильтр», получающего данные по фильтрации от детектора. Этот агент может осуществлять фильтрацию выявленных пакетов атаки. Он также помечает легитимные пакеты, чтобы их затем пропустил ограничитель. В системе DefCOM классификатор получает данные от системы обнаружения DDoS атак в исходной сети D-Ward [82]. В модели предлагается использовать методы обнаружения BPS, SIPM и HCF.
При обнаружении атаки, агент «Alert generator» посылает сообщения об атаке другим агентам. Агенты «Rate limiter» начнут ограничивать трафик, направленный цели атаки. При этом агенты «Classifier» будут классифицировать и отбрасывать пакеты атаки, а легитимные - помечать.
Подход к моделированию, базирующийся на использовании системы COSSACK. Выделяется команда атаки и агенты, реализующие COSSACK, имеющие возможность кооперации. Система COSSACK состоит из следующих классов агентов: «snort» [107] - составляет статистику по количеству переданных пакетов для различных потоков трафика; потоки группируются по префиксам адреса. Если для какого-то потока происходит превышение заданного порога, то его сигнатура передается к «watchdog». «watchdog» - получает данные по трафику от агента «snort» и применяет правила фильтрации на маршрутизаторах. Агент «snort» строится на базе агента «сэмплер». Он обрабатывает информацию о сетевых пакетах и на ее основе составляет модель нормального для данной сети трафика (в режиме обучения). Затем, в нормальном режиме, он анализирует сетевой трафик на соответствие модельному и выделяет ІР-адреса нарушителей, которые затем отсылает агенту «watchdog». Агент «watchdog» строится на базе агента «детектор». На основе данных от «snort» он принимает решение о наступлении атаки. Для имитации фильтра на маршрутизаторе используется агент «фильтр». Он устанавливается на маршрутизатор и выполняет фильтрацию трафика на основе данных от детектора.
Применение предложенной методики для задач защиты от атак «распределенный отказ в обслуживании»
Рассмотрим примеры применения предложенной методики при помощи разработанной системы моделирования. В примерах реализуются предложенные модели команд атаки и защиты, модели их взаимодействия и модель среды взаимодействия - сети Интернет. Далее рассмотрены конфигурации с различным набором команд агентов предложенных классов, а также моделями кооперативного и адаптивного взаимодействия команд.
Для исследования кооперативных механизмов защиты используется разработанная система моделирования. Исследуется эффективность методов, их работа в различных схемах кооперации, на различных сетях, подверженных различным атакам.
При моделировании делаются следующие допущения. Каждый кооперативный метод защиты (COSSACK [90] или DefCOM [84]) использует свой метод обнаружения атаки. В работе для исследования различных кооперативных методов защиты предлагается использовать одинаковые методы обнаружения атаки, например, Hop counts Filtering (HCF) [54], Source IP address monitoring (SIPM) [97], Bit Per Second (BPS) [22] и др. HCF заключается в применении сформированных в режиме обучения таблиц подсетей и количества скачков до них. В SIPM используется предположение, что во время атаки появляется большое количество новых адресов клиентов. BPS позволяет обнаружить атакующих по превышению порога нормального трафика.
Использование одних и тех же методов обнаружения позволит исследовать различные кооперативные механизмы в одинаковых условиях. Сравниваемые методы реализуются на одинаковых сетях с учетом требований к расположению их компонентов.
Рассмотрим значения основных параметров, задающих исследуемые модели компьютерной сети, атак и механизмов защиты, использованных для экспериментов по исследованию эффективности различных схем кооперации команд защиты.
Для моделирования используется генератор топологий сетей, максимально приближенных к реально существующим в Интернет. Задаются следующие параметры топологии опорной сети: минимальное количество связей у каждого узла - 2, количество узлов - 10, параметр степенного вероятностного распределения у = 2.25 [72]. Маршрутизаторы соединены между собой волоконно-оптическими каналами связи (ОС-48) со следующими параметрами: delay=lus (задержка распространения сигнала - 1 мс); datarate=2488 1000000 (скорость передачи данных - 2488 Мбит). Остальные узлы соединены Ethernet каналами связи с параметрами: delay=0.1us (задержка распространения сигнала - 0.1 мс); datarate=l 00 1000000 (скорость передачи данных - 100 Мбит).
Параметры сети. 10 клиентов подключены случайным образом к маршрутизаторам опорной сети. Защищаемый сервер - d_srv. Базовые параметры клиентов сети: connectAddress="d_srv" (адрес сервера); connectPort=80 (порт сервера); startTime=exponential(5) (время начала работы является случайной величиной с экспоненциальной функцией распределения и средним значением 5 сек); numRequestsPerSession=l (количество запросов за соединение к серверу); requestLength=truncnormal(350,20) (размер запроса является случайной величиной с нормальной функцией распределения и средним значением 350±20 бит); replyLength=exponential(2000) (размер запроса является случайной величиной с экспоненциальной функцией распределения и средним значением 2000 бит); thinkTime=truncnormal(2,3) (время обработки является случайной величиной с нормальной функцией распределения и средним значением 2±3 сек, округляется до положительной величины); idleInterval=truncnormal(36,12) (время простоя является случайной величиной с нормальной функцией распределения и средним значением 36±12 сек); reconnectlnterval=30 (интервал соединения с сервером 30 сек).
Параметры команд атаки. Команды атаки в целом включают 10 демонов, установленных на стандартные узлы сети, которые подключены случайным образом к маршрутизаторам опорной сети, а также агентов-мастеров, расположенных на узлах a_srv[0], a_srv[l] и a_srv[2]. Начальные параметры команд атаки: а_п=10 (количество демонов - 10); master_ip="a_srv[0]" (адрес мастера для общекомандного взаимодействия); port=2000 (порт для командного взаимодействия); ad_udpapp.port=2001 (порт демонов для посылки пакетов атаки); target_ip="d_srv" (цель атаки - сервер d_srv); target_port="200 Г (порт цели атаки); t_ddos=300 (время начала атаки). Агенты реализуют атаку UDP Flood.
Проведенные эксперименты показали эффективность различных схем кооперативной защиты от DDoS атак. Лучшая кооперативная схема - с полной кооперацией. Решающую роль в защите от атаки сыграла кооперация сэмплеров, благодаря чему осуществлялся постоянный обмен данными по трафику в различных командах защиты. Схема DefCOM показывает стабильное сдерживание трафика атаки за счет ограничителя на входе в защищаемую подсеть и классификаторов в исходной подсети. Схема COSSACK характеризуется схожим уровнем трафика в защищаемой подсети, однако во внешней ее части трафик атаки остается достаточно высок.
