Содержание к диссертации
Введение
ГЛАВА I. Анализ и классификация распределенных атак типа «отказ в обслуживании» в компьютерных сетях иметодов их обнаружения
1.1 Распределенные атаки типа «отказ в обслуживании» 11
1.2 Классификация атак типа «отказ в обслуживании»
1.2.1 Атаки на ресурсы системы 13
1.2.2 Атаки на заполнение пропускной способности каналов 16
1.2.3 Атаки на отказ в обслуживании прикладного уровня
1.3 Распределенные атаки типа «отказ в обслуживании» 22
1.4 Применение моделей сетей массового обслуживания для обнаружения атак типа «отказ в обслуживании» 27
1.5 Выводы 31
ГЛАВА II. Разработка методики оценки вероятности потерь заявок в сетях массового обслуживания 32
2.1 Параметры модели сети массового обслуживания 32
2.2 Определение интенсивностей потоков заявок в СеМО с бесконечными очередями 41
2.3 Итерационная процедура аппроксимации СеМО с конечными очередями СеМО Джексона 48
2.4 Методика построения цепи Маркова на основе характеристик СеМО 65
2.5 Выводы 67
ГЛАВА III. Экспериментальные исследования mразработанной методики 69
3.1 Программно-аналитический комплекс для имитационного моделирования и расчета характеристик СеМО
З 2 Имитационное моделирование СеМО с потерями заявок 93
3 3 Программно-аналитический комплекс обнаружения низкоактивных атак типа «отказ в обслуживании» на основе разработанной методики 102
3 4 Экспериментальные исследования разработанного программно аналитического комплекса 108
3.5 Выводы Ш
Заключение 112
Список литературы
- Атаки на заполнение пропускной способности каналов
- Применение моделей сетей массового обслуживания для обнаружения атак типа «отказ в обслуживании»
- Итерационная процедура аппроксимации СеМО с конечными очередями СеМО Джексона
- Программно-аналитический комплекс обнаружения низкоактивных атак типа «отказ в обслуживании» на основе разработанной методики
Введение к работе
Актуальность работы
Одной из основных тенденций последних лет в сфере компьютерных преступлений является рост количества и сложности атак на доступность информации (ресурсов автоматизированной системы), как один из трех основных критериев (наряду с конфиденциальностью и целостностью) информационной безопасности объекта. Данные атаки образуют класс атак типа «отказ в обслуживании» (DoS-атаки). В этот класс попадают атаки на компьютерную систему, цель которых - довести систему до такого состояния, в котором её легитимные пользователи не смогут получить доступ к предоставляемым системой ресурсам (серверам, сервисам), либо этот доступ будет затруднён. Если атака выполняется одновременно с большого числа компьютеров, имеет место DDoS-атака (Distributed Denial of Service, распределенная атака типа «отказ в обслуживании»). За последние несколько лет количество таких атак выросло многократно и на сегодня данный класс атак имеет максимальную долю от общего числа атак. Так, в 2010 году была зафиксирована DDoS-атака с мощностью потока более 100 Гбит/сек., которая является самой мощной атакой за все время наблюдений. А в 2011 году был поставлен абсолютный рекорд по суммарному объему DDoS-трафика, который превысил трафик за все вместе взятые года предыдущих исследований.
В целях минимизации последствий DDoS-атак, их обнаружение и классификация является крайне важной и вместе с тем сложной задачей. Данная проблема широко рассматривается в работах П.Д. Зегжды, Б.Н. Оныкия, А.А. Молдовяна, А.В. Лукацкого, И. Яблонко, K.J. Houle, С. Patrikakis и других исследователей. Основной способ распознавания DDoS-атаки заключается в обнаружении аномалий в структуре трафика. Традиционные механизмы обеспечения безопасности - межсетевые экраны и системы обнаружения вторжений - не являются эффективными средствами для обнаружения DDoS-атак и защиты от них, особенно атак трафиком большого объема. Фундаментальной предпосылкой для обнаружения атак является построение контрольных характеристик трафика при работе сети в штатных условиях с последующим поиском аномалий в структуре трафика (отклонения от контрольных характеристик). Аномалия сетевого трафика - это событие или условие в сети, характеризуемое статистическим отклонением от стандартной структуры трафика, полученной на основе ранее собранных профилей и контрольных характеристик. Любое отличие в структуре трафика, превышающее определенное пороговое значение, вызывает срабатывание сигнала тревоги.
Вместе с тем, существующие методы обнаружения DDoS-атак, позволяющие эффективно распознавать DDoS-атаки транспортного уровня (SYN-флуд, UDP-флуд и другие), малоэффективны для обнаружения
низкоактивных DDoS-атак прикладного уровня («медленный» HTTP GET флуд и «медленный» HTTP POST флуд). Подробное описание этой проблемы приводится в работе W.O. Chee и Т. Brennan. Указанный класс DDoS-атак возник сравнительно недавно и на сегодняшний день представляет основную угрозу доступности информации в распределенных компьютерных сетях. Данные атаки приводят к потерям запросов и ответов, т.е. фактическому отказу веб-серверов на основе Microsoft IIS, Apache и других систем. Кроме того, атака может быть адаптирована для воздействия на SMTP и даже DNS-серверы.
Таким образом, разработка системы обнаружения низкоактивных распределенных атак типа «отказ в обслуживании» является актуальной и практически важной задачей.
Цель работы
В связи с этим цель диссертационной работы заключается в разработке и практической реализации методики обнаружения распределенных атак типа «отказ в обслуживании» транспортного и прикладного уровней в компьютерных сетях. Для достижения поставленной цели были определены и решены следующие задачи:
-
Анализ проблемы обнаружения распределенных атак типа «отказ в обслуживании» и классификация существующих DDoS-атак, методов и средств их обнаружения.
-
Построение математической модели атак типа «отказ в обслуживании» в сетях массового обслуживания и метода их обнаружения.
-
Разработка архитектуры и реализация программно-аналитического комплекса для имитационного моделирования и расчета статистических характеристик сетей массового обслуживания.
-
Разработка архитектуры и реализация программно-аналитического комплекса, предназначенного для обнаружения низкоактивных атак типа «отказ в обслуживании» в распределенных компьютерных сетях на основе разработанной методики.
Объектами исследования являются распределенные компьютерные сети, процессы передачи информации и конкретные реализации атак типа «отказ в обслуживании» на ресурсы информационной системы.
Предметами исследования выступают модели и методы моделирования вычислительных сетей сетями массового обслуживания, а также методы обнаружения распределенных атак типа «отказ в обслуживании».
Методы исследований
В диссертационной работе используются методы математического моделирования, теории вероятностей и математической статистики, теории
систем и сетей массового обслуживания. Полученные теоретические результаты подтверждены экспериментальными исследованиями, выполненными с применением среды программирования Microsoft Visual C++ и библиотек OpenMP, Boost, WinPcap.
Достоверность
Достоверность результатов работы обеспечивается корректной постановкой задач, строгостью применения математических моделей, непротиворечивостью полученных результатов, а также практическим применением разработанных методов.
Научная новизна
В диссертационной работе получены следующие научные результаты:
-
Доказана сходимость разработанной итерационной процедуры аппроксимации сети массового обслуживания с конечными очередями сетью Джексона для вычисления интенсивностей входящих в узлы потоков заявок (для различных топологий исходной сети).
-
Предложена методика построения цепи Маркова на основе характеристик сети массового обслуживания для оценки вероятности потери произвольной заявки в сети.
-
Исследована и экспериментально обоснована адекватность предложенных математических моделей низкоактивных атак типа «отказ в обслуживании» в сетях массового обслуживания.
-
Разработана и исследована методика обнаружения низкоактивных атак типа «отказ в обслуживании» в компьютерных сетях на основе оценки вероятности потерь заявок.
Практическая значимость
Практическая значимость результатов подтверждена внедрением разработанного программно-аналитического комплекса в систему защиты распределенной информационно-телекоммуникационной сети Администрации города Омска. Результаты диссертационного исследования отмечены дипломом Ш-степени на XIX Международной студенческой конференции-школе-семинаре «Новые информационные технологии» (2011г.). Основные результаты работы внедрены и используются при преподавании дисциплин кафедры «Комплексная защита информации» в Омском государственном техническом университете. Представленные в диссертации модели и методы могут быть использованы в качестве базы для дальнейших исследований.
Апробация работы
Результаты работы прошли апробацию в виде выступлений на научных конференциях и семинарах:
-
Региональная молодежная научно-техническая конференция «Омское время - взгляд в будущее» (2010, г. Омск).
-
Международный информационный конгресс «МИК-20І0» (2010, г. Омск).
-
Ill Всероссийская молодёжная научно-техническая конференция «Россия молодая: передовые технологии - в промышленность!» (2010, г. Омск).
-
III Международная научно-практическая конференция «Перспективы развития информационных технологии» (2011, г. Новосибирск).
-
XIX Международная студенческая конференция-школа-семинар «Новые информационные технологии» (2011, г. Судак, Украина).
Публикации
Результаты диссертации отражены в 9 публикациях, в том числе 2 публикации в изданиях, рекомендованных ВАК для публикации основных научных результатов диссертации.
Структура и объём работы
Диссертационная работа состоит из введения, трех глав, заключения, списка литературы и двух приложений. Общий объем работы составляет 123 страницы, в том числе 20 рисунков и 5 таблиц.
Личный вклад
Все исследования, изложенные в диссертационной работе, проведены автором в процессе научной деятельности. Все результаты, выносимые на защиту, получены автором лично. Из совместных публикаций включен лишь тот материал, который непосредственно принадлежит диссертанту, заимствованный материал обозначен в работе ссылками.
Основные результаты, выносимые на защиту
-
Итерационная процедура аппроксимации сети массового обслуживания с конечными очередями сетью Джексона для вычисления интенсивностей входящих в узлы потоков заявок.
-
Методика обнаружения низкоактивных распределенных атак типа «отказ в обслуживании» в компьютерных сетях на основе оценки вероятности потерь заявок.
-
Программно-аналитический комплекс, предназначенный для:
имитационного моделирования атак типа «отказ в обслуживании» и расчета статистических характеристик сетей массового обслуживания под воздействием атак;
обнаружения низкоактивных распределенных атак типа «отказ в обслуживании» в компьютерных сетях на основе оценки вероятности потерь заявок в сети.
Атаки на заполнение пропускной способности каналов
В целях минимизации последствий DDoS-атак, их обнаружение и классификация является крайне важной и вместе с тем сложной задачей. Традиционные механизмы обеспечения безопасности - межсетевые экраны и системы обнаружения вторжений - не являются эффективными средствами для обнаружения DDoS-атак и защиты от них, особенно атак трафиком большого объема. Основной способ распознавания DDoS-атаки заключается в обнаружении количественных и качественных аномалий в структуре трафика. Фундаментальной предпосылкой для обнаружения атак является построение контрольных характеристик трафика при работе сети в штатных условиях с последующим поиском аномалий в структуре трафика (отклонения от контрольных характеристик). Аномалия сетевого трафика - это событие или условие в сети, характеризуемое статистическим отклонением от стандартной структуры трафика, полученной на основе ранее собранных профилей и контрольных характеристик. Любое отличие в структуре трафика, превышающее определенное пороговое значение, вызывает срабатывание сигнала тревоги. Существует несколько различных подходов к обнаружению распределенных атак типа «отказ в обслуживании» [9]. Некоторые из них предполагают функционирование датчиков по периметру сети и централизованную обработку данных от них, в других используется установка дополнительных программных средств на промежуточных узлах на пути от нарушителя к жертве [48, 56].
Статистические методы обнаружения DDо8-атак основаны на построении профиля активности удаленных станций по отношению к защищаемой станции (сервису) во время обучения и сравнения характеристик трафика с характеристиками профиля в режиме обнаружения. При обнаружении отклонений от профиля генерируется сигнал тревоги. Во многих разработках и исследованиях основным показателем служит среднее количество пакетов, получаемых защищаемой станцией или отдельными сетевыми сервисами. Для обнаружения аномалий могут применяться статистические критерии (среднеквадратичное отклонение, хи-квадрат, отклонение от стандартного нормального распределения, значительное увеличение энтропии и т.д.), кластеризация и др [37, 49]. Использование статистических методов обнаружения DDoS-атак более выгодно там, где в единицу времени проходит большое количество трафика. Таким местом, например, может являться узловой маршрутизатор или шлюз. В случае начинающейся DDoS-атаки будет накоплена необходимая информация об особенностях именно этой атаки (например, какого типа атака и адреса атакующих машин) для дальнейшего ее предотвращения. Методы статистического обнаружения позволяют обнаружить активные DoS и DDoS-атаки. В то же время низкоактивные DDoS-атаки прикладного уровня (например. Slow HTTP POST) не приводят к образованию статистических аномалий, т.к. каналы передачи данных практически не перегружаются, что делает невозможным прямое применение статистических методов обнаружения DDoS-атак.
В отдельных случаях хорошие результаты можно получить с помощью специализированных статистических методов. Достаточно часто для обнаружения DDoS-атак используется метод CUSUM, основанный на обнаружении «точки перехода» (change-point) [33, 50, 51, 54]. В данном методе анализируемый трафик обычно сначала разделяется на основе ІР-адреса назначения, порта или протокола. Далее значения определенного наблюдаемого параметра трафика (количество новых станций, обратившихся к сервису, разница в количестве пакетов с установленным флагом SYN и пакетов с установленными флагами SYN-ACK, разница в количестве устанавливаемых и закрываемых соединений и т.п.) преобразуются в элементы некоторой последовательности. При наличии атаки значение текущего элемента
последовательности будет существенно отличаться от предыдущих членов последовательности. Данный метод имеет несколько существенных преимуществ по сравнению с другими методами. Во-первых, плюсом метода является высокая скорость работы, что позволяет применять его в режиме реального времени. Второе преимущество метода состоит в том, что метод адаптируется к различным нагрузкам в сети при условии их постоянства. Вместе с тем, данный метод характеризуется относительно невысоким уровнем обнаружения атак при минимизации ошибок первого рода и может применяться только для высокоактивных атак.
Сигнатурные методы обнаружения DDoS-атак основаны на качественном анализе трафика и более выгодны на уровне отдельно взятой машины или приложения. В этом случае нет такого обилия входящего и исходящего трафика, поэтому можно проанализировать пакеты при непосредственном приеме на наличие различного рода «вредных» модификаций. Также возможно отследить запуск ненужных или потенциально опасных сторонних приложений, на которые ссылается запускаемое приложение.
Некоторые DDo8-атаки имеют ярко выраженную структуру трафика. Например, в течение всей атаки используются одни и те же адреса отправителя и получателя. Методы сигнатурного обнаружения DDoS-атак применяют список предопределенных сигнатур, описывающих известные атаки. Весь входящий в систему трафик подлежит проверке на соответствие сигнатурам перечня. Основным преимуществом данного метода обнаружения можно считать то, что когда атака уже хорошо изучена, её обнаружение происходит максимально эффективным образом по отношению к скорости проверки и затрачиваемым на это ресурсам. Однако данный метод обнаружения абсолютно неэффективен по отношению к новым атакам. Также, атаки могут иметь большое количество различных вариаций, что усложняет поддержку листа сигнатур в актуальном состоянии и постоянно увеличивает время проверки, что негативно влияет на производительность системы. Кроме того, трафик, генерируемый в ходе DDoS-атак прикладного уровня (например, HTTP flood) отличить от легального HTTP-трафика достаточно сложно, поскольку для передачи данных используются легальные TCP (либо UDP) соединения, что делает практически невозможным применение сигнатурного метода обнаружения атак.
Например, для обнаружения атак типа Slow HTTP flood, системой обнаружения атак Snort используются два правила из стандартного набора сигнатур (ddos.rules): 1. Поиск строки "User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0" в запросе HTTP GET. 2. Поиск строки "Referer3Al http3A 2F 2Fcode.google.com2Fp2Fl slowhttptest" в запросах HTTP GET и HTTP POST. Следует заметить, что данные правила способны детектировать только две наиболее популярные реализации Slow HTTP flood атак (утилиты; slowloris, slowhttptest). Осуществление данной атаки с помощью модификации указанных УТИЛИТ либо собственной программной реализации не детектируется стандартными правилами Snort.
Применение моделей сетей массового обслуживания для обнаружения атак типа «отказ в обслуживании»
Таким образом, получаем, что поток успешно обработанных заявок является пуассоновским с параметром: AR=MV-PQ)- (2-8) Далее необходимо рассмотреть поток, образованный потерянными заявками (которые пришли, когда очередь узла была полностью заполнена). Покажем, что этот поток также является пуассоновским. Будем считать, что задана не только вероятность рд того, что очередь пуста, но и вероятности pF и pw - соответственно вероятности того, что очередь полна и что очередь не пуста и не полна. Выполняется соотношение:
Далее используем введенное ранее событие L (как и его дополнение), события S и S изменяем - вводим промежуточное событие W (означающее, что очередь не пуста и не полна), событие Е (означающее, что очередь пуста) и событие М (означающее, что очередь полностью заполнена). Также вводим событие F - «За время г будет потеряна одна заявка», и событие - «За время т не будет потеряно ни одной заявки». Тогда условные вероятности событий F и F будут равны: \F\ELR) =0;р{рй}=0; р\ {F\WLR}=0;P\FWLR=0; р\ {F\MLR}=0;P{F\MLR}=1; P\FELR}=0;P\FEIR}=0; Р ]f\WLR\=о;p\F\wL R\=о; P\F\MLR}=о;P\F\MLR}=о; P{F\ELR}=1;P ELI\=\; pf\WLR — 1;P{F\WLR=1; pf\MLR\ = UPFMLR\=O l;p\F\ELR]=\ 1;P \WIR}=1; pf\ELR, p WlR P MIR)=1;P \MLR\=\. Используя формулу полной вероятности, получаем вероятности событий F и F (используя независимость рассматриваемых событий): p{F} = p{F\ML\p{M}p{L}, P{F\WL}P{W}P{L}+P{F\EL}P{E}P{L} Подставляем значения для вероятностей: + рЩ= pFe lTe- +{l-p0-pF )e ATe MT + р0е-Лте т +(1-Яо-pF )(l - е-Лт У р0(\-е-ЯтУ _е т +1 Раскрываем скобки: P{F} = pFe- -PFe- +A , p{F}=l-pFe- +PFe- . Заменяем экспоненты первыми двумя слагаемыми ряда Тейлора: P{F} = pF(l- /ЛТ + О(Т))- pF(l- /ЛТ - AT + О(Т)) = ррЯт + O(T), рЩ=\- РЛ + O{T))- PF{\- -Хг + о{т)) = 1- PFXT + O{T)/ Таким образом, получаем, что поток потерянных заявок пуассоновский с параметром: Лр=ррЛ. (2.9) Л Подставим в выражение (2.9) значения для AFИ ЛЛ(обозначая —через р): Лк = ц{\-ръ) = ц 1 m к (2.10) Яр=ррЯ = Я / т (2.11) Покажем теперь, что Яр + Яя = Я: Делим обе частина : ]и{1-ръ) + рРЛ = Я, М(1-р0) + р0ртЯ = Я l-Po=p{l-PoPm) Выражаем р: (!-Л)) Р {l-PoPm) Заменяем /?0на его выражение: 1 E J Р = 1Гк рк 1 = \+р+р2+--+Рт -і т ZIOP -P" 1 + р + р2+- + р""1+р "-р " \-р рж к Р Lk=oP р(\ + р + р2 +--- + рт 1)_ 1 + р + р2+--- + рт-} Таким образом, суммарная интенсивность исходящего из узла потока обработанных заявок и потерянных заявок равна интенсивности входящего потока.
Рассмотрим теперь сеть массового обслуживания (сеть Джексона), состоящую из J узлов. Каждый узел содержит одно устройство для обработки заявок, время обработки одной заявки в узле j имеет экспоненциальное распределение с параметром JUJ . Значения //у положительны. М = Mi KMJJ Очередь для поступающих в узел заявок не ограничена по длине. Также известна субстохастическая (сумма элементов по строке меньше или равна единице) матрица Р. Её элементptj аадает вероятность, что заявка, которая успешно завершила обслуживание в узле номер /, отправится в узел j. Матрица Р неприводима. Величина: к=\Уік A =l-jfc=i/ . задает вероятность, что после обработке в узле заявка покинет сеть. На вход узла сети у поступает пуассоновский поток заявок с параметром Д , значения параметров X . неотрицательны: Рассмотрим теперь векторнозначную цепь Маркова [5] с непрерывным временем: жо= ж2(t) в качестве состояний которой будут выступать длины очередей в узлах. Состояние сети будем обозначать:
Матрица интенсивностей переходов N, соответствующая этой цепи, будет полубесконечной (так как не ограничен набор возможных значений ). Будем обозначать St вектор длины J, у которого отличен от 0 (т.е. равен 1) один компонент под номером і. Интенсивности скачков цепи из состояния в состояние: 1. Приход заявки в систему извне в узел іг n- n + Sj, характеризуется интенсивностью /L,-. 2. Переход заявки из узла і в узел j : nn-Si+S... характеризуется интенсивностью: МІРЦЩ 1). 3. Уход заявки из системы в узле /г п-+п-6ц характеризуется интенсивностью: Мір Щ 1). Здесь 1(A) - индикатор события, он равен 1, если событие произошло и О в противном случае. Необходимо найти стационарное распределение рассматриваемой цепи. Для этого требуется решить уравнение для инвариантного распределения: Это бесконечная система уравнений, для любого n ZJ+ уравнение выглядит следующим образом[4]: J W ЕуЛ-яЛ +Zj=i u+SjMjP jKnj 1) + Yi Tj n+Si-SjMiPijKni 1) (2.12) Первая сумма в этом уравнении соответствует слагаемым уравнения, отвечающим за прибытие заявок извне в узел (они умножаются жп_5. а не на жп+3. потому, что вектор умножается на матрицу справа). Вторая сумма соответствует слагаемым, отвечающим за успешное завершение обработки заявок. Третья сумма содержит слагаемые, которые отвечают за переход заявок из узла в узел. Последняя сумма соответствует диагональному члену матрицы N. Далее предполагаем, что щ 1, У і. Введем в рассмотрение вектор р: Р = Pi Pj) Необходимо найти стационарное распределение в виде произведения геометрических вероятностей:
Итерационная процедура аппроксимации СеМО с конечными очередями СеМО Джексона
Таким образом, получаем, что поток успешно обработанных заявок является пуассоновским с параметром: AR=MV-PQ)- (2-8) Далее необходимо рассмотреть поток, образованный потерянными заявками (которые пришли, когда очередь узла была полностью заполнена). Покажем, что этот поток также является пуассоновским. Будем считать, что задана не только вероятность рд того, что очередь пуста, но и вероятности pF и pw - соответственно вероятности того, что очередь полна и что очередь не пуста и не полна. Выполняется соотношение:
Далее используем введенное ранее событие L (как и его дополнение), события S и S изменяем - вводим промежуточное событие W (означающее, что очередь не пуста и не полна), событие Е (означающее, что очередь пуста) и событие М (означающее, что очередь полностью заполнена).
Рассмотрим теперь сеть массового обслуживания (сеть Джексона), состоящую из J узлов. Каждый узел содержит одно устройство для обработки заявок, время обработки одной заявки в узле j имеет экспоненциальное распределение с параметром JUJ . Значения //у положительны. М = Mi KMJJ Очередь для поступающих в узел заявок не ограничена по длине. Также известна субстохастическая (сумма элементов по строке меньше или равна единице) матрица Р. Её элементptj аадает вероятность, что заявка, которая успешно завершила обслуживание в узле номер /, отправится в узел j. Матрица Р неприводима. Величина: к=\Уік A =l-jfc=i/ . задает вероятность, что после обработке в узле заявка покинет сеть. На вход узла сети у поступает пуассоновский поток заявок с параметром Д , значения параметров X . неотрицательны: Рассмотрим теперь векторнозначную цепь Маркова [5] с непрерывным временем: жо= ж2(t) в качестве состояний которой будут выступать длины очередей в узлах. Состояние сети будем обозначать:
Матрица интенсивностей переходов N, соответствующая этой цепи, будет полубесконечной (так как не ограничен набор возможных значений ). Будем обозначать St вектор длины J, у которого отличен от 0 (т.е. равен 1) один компонент под номером і. Интенсивности скачков цепи из состояния в состояние: 1. Приход заявки в систему извне в узел іг n- n + Sj, характеризуется интенсивностью /L,-. 2. Переход заявки из узла і в узел j : nn-Si+S... характеризуется интенсивностью: МІРЦЩ 1). 3. Уход заявки из системы в узле /г п-+п-6ц характеризуется интенсивностью: Мір Щ 1). Здесь 1(A) - индикатор события, он равен 1, если событие произошло и О в противном случае. Необходимо найти стационарное распределение рассматриваемой цепи. Для этого требуется решить уравнение для инвариантного распределения: Это бесконечная система уравнений, для любого n ZJ+ уравнение выглядит следующим образом[4]: J W ЕуЛ-яЛ +Zj=i u+SjMjP jKnj 1) + Yi Tj n+Si-SjMiPijKni 1) (2.12) Первая сумма в этом уравнении соответствует слагаемым уравнения, отвечающим за прибытие заявок извне в узел (они умножаются жп_5. а не на жп+3. потому, что вектор умножается на матрицу справа). Вторая сумма соответствует слагаемым, отвечающим за успешное завершение обработки заявок. Третья сумма содержит слагаемые, которые отвечают за переход заявок из узла в узел. Последняя сумма соответствует диагональному члену матрицы N. Далее предполагаем, что щ 1, У і. Введем в рассмотрение вектор р: Р = Pi Pj) Необходимо найти стационарное распределение в виде произведения геометрических вероятностей:
Программно-аналитический комплекс обнаружения низкоактивных атак типа «отказ в обслуживании» на основе разработанной методики
Если истек таймаут ts, то запускается процедура оценки вероятности потери заявок, описанная во второй главе (параметры интенсивностей входных потоков и распределений времени обработки в узлах предполагаются заданными, вопрос их экспериментального определения заслуживает отдельного исследования). Если оцененная вероятность потери заявок больше заданного администратором порога, происходит вывод предупреждения администратору системы об осуществляемой DDoS-атаке.
Оценка эффективности разработанной методики обнаружения DDoS-атак в компьютерных сетях и её сравнительный анализ с другими подходами, методами и системами представляет сложную задачу. Основные трудности оценки и анализа заключаются в следующем: - Эффективность обнаружения атак типа «отказ в обслуживании» напрямую зависит от параметров работы сети в штатном режиме (загрузка сети, среднее значение потерь пакетов/запросов), при этом воспроизведение параметров работы для двух различных экспериментов не всегда является возможным. - Разрабатываемые методы и системы обладают рядом настраиваемых индивидуальных параметров (точность вычислений, значение порога принятия решения об обнаружении атаки), существенно влияющих на эффективность обнаружения атак и количество ложных срабатываний. - Кроме того, для каждой разновидности DDoS-атаки существует множество различных модификаций и параметров (интенсивность атаки, уникальные идентификаторы), которые также непосредственно влияют на эффективность обнаружения атаки. - Все вышеперечисленные факторы обуславливают отсутствие единого стандарта экспериментальных условий для оценки эффективности систем и методов обнаружения атак типа «отказ в обслуживании».
В диссертационной работе для экспериментальной оценки эффективности разрабатываемой системы был использован подход, предложенный в работе исследователей Fang-Yie Leu и I-Long Lin [59], посвященной разработке системы обнаружения DDoS-атак на основе статистического критерия %2.
В ходе поставленного эксперимента ботнет, образованный группой из 4 узлов нарущителей в одной подсети, производит атаки типа «отказ в обслуживании» (SYN flood, ICMP flood, UDF flood) на узел-жертву в другой подсети (рис. 3.12). В задачи эксперимента входила оценка точности обнаружения атак типа «отказ в обелуживании» с помощью разработанной методики. Узлы-нарушители Узел-жертва
Для решения поставленной задачи ровно 1000 раз в течение заданного временного интервала (10 сек.) происходило накопление передаваемых пакетов в штатном режиме работы сети, после чего ровно 1000 раз происходило накопление передаваемых пакетов на узле под воздействием различных атак типа «отказ в обслуживании». Интенсивность атак варьировалась случайным образом в интервале от 500 пакетов/сек. до 15000 пакетов/сек. По завершении каждого временного интервала на основе накопленных пакетов разработанный программно-аналитический комплекс производил построение моделирующей СеМО и детектирование атаки типа «отказ в обслуживании».
В результате обозначенного эксперимента для разработанной методики обнаружения DDoS-атак были получены следующие результаты для ошибок первого рода (количество ложных срабатываний, 11,6%) и ошибок второго рода (количество необнаруженных атак, 3,4%).
Данные результаты позволяют сравнить разработанную методику с исследованными ранее в указанной работе [59] системами обнаружения: Система Ошибка первого рода, % Ошибка второго рода, % Kaspersky Anti-Hacker 1.8.180 10, 8nort 4,8 10, AID8 Таким образом, разработанная методика демонстрирует более высокий процент обнаружения атак типа «отказ в обслуживании» по сравнению с уже исследованными системами, что представляет наибольшую практическую важность. Вместе с тем процент ложных срабатываний для разрабатываемой методики также максимален, что в определенной степени является её недостатком.
