Содержание к диссертации
Введение
1 Мулбтисервиснбіе сети как объект защиты информации в условиях DDOS-atak 13
1.1 Мультисервисные сети. Типы и особенности построения 13
1.1.1 Типы мультисервисных сетей 14
1.1.2 Особенности мультисервисных сетей 19
1.2 Распределенные атаки типа «отказ в обслуживании» как угроза безопасности мультисервисных сетей 21
1.2.1 Основные механизмы реализации DDoS-атак 22
1.2.2 Основные типы DDoS-атак 30
1.2.3 Классификация механизмов защиты от DDoS-атак 40
1.3 Необходимость развития методологии риск-анализа для мультисервисных сетей как объекта защиты информации 42
1.4 Выводы по первой главе 44
2 Аналитическая оценка ущерба и риска реализации атак типа «отказ в обслуживании» по протоколу http на мультисервисные сети 45
2.1 Определение аналитического вида функции ущерба реализации атак типа «отказ в обслуживании» по протоколу HTTP на компоненты мультисервисных сетей 45
2.2 Обоснование выбора и доказательство гипотезы относительно плотности вероятности наступления ущерба при реализации атак типа «отказ в обслуживании» по протоколу HTTP на компоненты мультисервисных сетей 47
2.3 Определение шага дискретизации переменной функции риска при реализации атак типа «отказ в обслуживании» по протоколу HTTP на компоненты мультисервисных сетей 53
2.4 Оценка параметров риска компонента мультисервисной сети при реализации на него атаки типа «отказ в обслуживании» по протоколу HTTP 57
2.5 Оценка параметров риска компонент мультисервисных сетей при реализации на них атак типа «отказ в обслуживании» по протоколу HTTP с использованием огибающей функции риска 65
2.6 Дискретная оценка риска компонент мультисервисных сетей при реализации на них атак типа «отказ в обслуживании» по протоколу HTTP 69
2.7 Численное моделирование риска мультисервисной сети, включающей несколько web-серверов 72
2.7. Выводы по второй главе 75
3 Управление рисками и оценка эффективности защиты мультисервисных систем, подвергающихся атакам типа «отказ в обслуживании» по протоколу HTTP 76
3.1 Исследование динамических свойств функции риска к изменению ее параметров 76
3.2 Управление риском компонент мультисервисной сети при реализации на них атак типа «отказ в обслуживании» по протоколу HTTP 96
3.3 Алгоритм управления риском мультисервисных сетей подвергающихся атакам типа «отказ в обслуживании» по протоколу HTTP 114
3.4 Оценка эффективности защиты мультисервисных сетей при реализации на них атак типа «отказ в обслуживании» по протоколу HTTP 120
3.5 Выводы по третьей главе 123
Заключение 124
Библиографический список 126
- Особенности мультисервисных сетей
- Классификация механизмов защиты от DDoS-атак
- Определение шага дискретизации переменной функции риска при реализации атак типа «отказ в обслуживании» по протоколу HTTP на компоненты мультисервисных сетей
- Алгоритм управления риском мультисервисных сетей подвергающихся атакам типа «отказ в обслуживании» по протоколу HTTP
Особенности мультисервисных сетей
МСС на базе технологии ISDN (Integrated Services Digital Network) появились в начале 1990 годов и объединили в себе сети передачи данных и телефонные сети, которые до появления данной технологии развивались независимо друг от друга, используя абонентские линии и магистральные каналы. Также данная технология может обеспечить видеоконференции и передачу файлов [73].
В технологии ISDN передача данных, как и во многих других технологиях, предоставляющих мультисервисные услуги, выполняется по принципу временного разделения. Для передачи трафика определенной услуги выделяется конкретная доля полосы пропускания по запросам пользователя, в которой указывается тип услуги и адрес вызываемого пользователя и, если сеть обладает необходимыми для пользователя ресурсами, то вызывающему предоставляется коммутируемый канал, соединяющий его с вызываемым пользователем [73].
Первоначально технология Frame Relay была разработана для использования в сетях ISDN, но, с течением времени, стала использоваться как альтернатива выделенным линиям при построении сетей доступа в Интернет [73].
В состав МСС на базе Frame Relay, как правило, входят коммутаторы и устройства подключения пользователей. Передача данных в сети производится с использованием виртуальных каналов, представляющими собой логическое соединение между двумя пользователями, и выполняется стандартными блоками переменной длины. Соединения между парами пользователей проходят через один или несколько коммутаторов, которые образуют логическую топологию сети [13].
В МСС на базе технологии ATM (Asynchronus Transfer Mode) использовались и развивались принципы, положенные в основу технологий ISDN и Frame Relay. Данная технология обеспечивала высокую скорость передачи данных (более 2 Мбит/сек), что было невозможным с использованием технологии ISDN, а также гарантированное качество обслуживания конечных пользователей, что отсутствовало в технологии Frame Relay [73].
Сеть на базе технологии ATM структурно состоит из АТМ-коммутаторов, взаимодействующих между собой посредством межсетевых интерфейсов и оборудования пользователя, которое обращается к ATM-коммутаторам с использованием пользовательского интерфейса [73].
Отличается данная технология от ISDN и Frame Relay тем, что блок передачи данных на канальном уровне имеет фиксированную длину, это гарантирует точное время обработки данного блока коммутирующим оборудованием и позволяет строить сети на базе аппаратных АТМ-коммутаторов, тем самым ускоряя передачу информации между конкретными узлами сети [73].
Объекты современных МСС являются куда более гибкими по сравнению с традиционными и легко позволяют расширять количество предоставляемых клиенту услуг либо путем реконфигурации текущего оборудования либо посредством приобретения и настройки нового, а также в них более эффективно реализовано управление доступом пользователей к МСС и уровень качества их обслуживания [13, 26]. Рассмотрим некоторые из них:
Изначально сети широкополосного доступа использовались для трансляции программ кабельного телевидения посредством коаксиальных кабелей, передача информации в которых производилась в фиксированном частотном диапазоне. Но, с увеличением популярности данных сетей и ростом числа их пользователей, поставщики услуг стали использовать волоконно-оптические кабели для построения магистральных сетей и на смену коаксиальным сетям пришли волоконно-оптические и коаксильные сети. Дальнейшее развитие данных сетей позволило интегрировать в них доступ в сеть Интернет и множество других услуг. Для взаимодействия пользователей в сети используется универсальный шлюз DSG (DOCSIS Setop Gateway) [13]. Основными компонентами сети с использованием DSG являются [13]:
Беспроводные сети довольно долгое время использовались лишь для сетей общего пользовался или же для подключения абонентов к ресурсам локальной вычислительной сети [73], однако, новый этап развития данных сетей, связанный с возможностью передачи данных со скоростью несколько десятков мегабит в секунду на десятки метров посредством стандарта IEEE 802.11 совпал с увеличением спроса на мультисервисные услуги. Но реализация МСС на базе стандарта IEEE 802.11 практически невозможна в силу того, что в данном стандарте отсутствуют гарантии обслуживания пользователей и он обладает низкой пропускной способностью [73].
Дальнейшим развитием стандарта IEEE 802.11 стал стандарт IEEE 802.16, более известный как WiMAX, с помощью которого возможно передавать информацию на скорости выше 100 мегабит в секунду на расстояния более 1000 метров, что делает его весьма привлекательным для построения МСС [74].
Схема передачи информации в МСС с использованием сетей на базе стандарта IEEE 802.16 весьма схожа со схемой с использованием сетей широкополосного доступа в силу того, что обе сети ориентированы на функционирование с множественным доступом абонентов за исключением того, что в сетях WiMAX доступ предоставляется беспроводным путем [74].
МСС с использованием сетей беспроводного доступа на базе стандарта IEEE 802.16 включает в себя базовую станцию, к которой подключается определенное количество абонентских станций обеспечивающих доступ клиентов к сети [85].
Для организации процесса взаимодействия пользователей с сетью с использованием стандарта IEEE 802.16 базовая станция, при создании канала передачи информации, выделяет определенные ресурсы, с учетом специфики обслуживания абонентской станции и типа запрашиваемой услуги, учитывает тип передаваемого трафика данной услуги и определяет уровень качества обслуживания клиента [73].
Ethernet-сети получили широкое распространение еще в 1990-х годах. Однако, так как изначально первичные версии сетей Ethernet создавались для обеспечения конкурентного доступа абонентов к разделяемой среде передачи данных, достаточно долгое время они не рассматривались в качестве базы для построения МСС, по причине отсутствия пропорционального разделения канала передачи информации. Но, с ростом популярности, технология Ethernet стала более дешевой, скорость передачи данных в сетях существенно увеличилась и достигла 100 гигабит в секунду, а также приобрела необходимые характеристики для построения на базе нее МСС.
Данные в сети Ethernet по магистральным частям передаются по волоконно-оптическим линиям связи, которые обладают широкой полосой пропускания и малым уровнем ослабления сигнала, а также не подвержены электромагнитным помехам.
Сети клиентского доступа строятся с использованием двух возможных схем [26, 74, 85]: 3.1) Схема пассивных оптических кабелей [26]:
При реализации данной схемы сети строятся с использованием пассивных оптических разделителей мощности сигнала, которые позволяют разделять канал от одного магистрального оптического волокна для передачи информации ряду пользователей. Существует несколько вариантов построения данной схемы, которые отличаются местоположением точки, до которой доходит волоконно-оптический кабель (сетевой узел, микрорайон, здание, рабочий хост абонента), а после этой точки происходит подключение конечных пользователей сети посредством выделенных медных линий.
Данная схема предполагает, что волоконно-оптическое соединения напрямую соединяет оптический терминал и каждого абонента данного терминала, что позволяет предоставить конечным пользователям куда более высокую скорость по сравнению со схемой пассивных оптических кабелей, однако стоимость построения данной сети существенно выше [74].
В настоящее время технология Ethernet использует групповой обмен информации в сети по принципу разделения времени, который обеспечивает динамическое изменение задержки распространения сигнала с точностью 16 наносекунд, что позволяет интегрировать множество услуг и строить на базе данной технологии различные МСС [85].
Классификация механизмов защиты от DDoS-атак
Первичным этапом риск-анализа систем различного характера является определение аналитического вида функции риска реализации атак на компонент этой системы [49]. Для этого необходимо получить аналитический вид ущерба, который получает компонент системы при реализации атаки, а также определить, на основании статистических данных, вид закона распределения и шаг дискретизации переменной риска [50]. Ущерб от реализации конкретной атаки задается функцией ущерба, которая должна учитывать специфику анализируемого объекта, и атаки, реализуемой в его отношении [11, 50, 55]. А закон распределения ущерба определяется с помощью одного из критериев проверки гипотезы о принадлежности полученных за определенный период времени статистических данных теоретическому закону распределения [50].
После получения функции риска становится возможным определение параметров и характеристик риска как одного компонента системы, так и многокомпонентных систем [43]. Перейдем к получению аналитического вида функции ущерба. Атаки типа «отказ в обслуживании» по протоколу HTTP направлены на приведение ресурса сети в недоступное состояние, при котором легитимные пользователи не могут получить необходимую им информацию. Сила атаки определяется количеством вредосносных запросов, которые попадают на атакуемый web-сервер МСС, подвергающийся данной атаке, за определенный промежуток времени [61].
Поступающее жертве количество HTTP-запросов зачастую переменно. Оно зависит как от намерений и целей злоумышленника, так и от количества легитимных пользователей, обращающихся к атакуемому ресурсу сети, которое уже зависит от целевой аудитории ресурса [68].
Таким образом, когда в определенный промежуток времени t0, суммарное количество запросов к атакуемому ресурсу МСС превышает его максимум производительность хпр, он переходит в недоступное состояние, так как более не в состоянии обработать поступающий на него наплыв информации [68]. Суммарное количество запросов к ресурсу, при реализации атаки типа «отказ в обслуживании» по протоколу HTTP, возможно определить следующим образом [109]: xb - количество запросов, поступающих от ботнета, подконтрольного злоумышленнику при реализации атаки; f = ( исх 3—-] - коэффициент распространения ботнета, который характеризует степень увеличения или сокращения количества хостов-зомби в подконтрольной злоумышленнику сети с момента начала атаки t0; кисх - количество хостов-зомби в ботнете злоумышленника на момент начала атаки t0; k3 - количество захваченных хостов-зомби в ботнете злоумышленника с момента начала атаки t0; кп - количество потерянных хостов-зомби в ботнете злоумышленника с момента начала атаки t0; Xi - переменная, характеризующая количество запросов к атакуемому ресурсу, поступающих от легитимных пользователей в промежуток времени реализации атаки; хпр - переменная, характеризующая количество запросов, которое может обрабатывать атакуемый ресурс МСС.
Следовательно, функция ущерба для ресурса МСС, подвергающегося атаке, принимает В результате получено аналитическое выражение ущерба, что является первым этапом определения аналитического вида функции риска.
Обоснование выбора и доказательство гипотезы относительно плотности вероятности наступления ущерба при реализации атак типа «отказ в обслуживании» по протоколу HTTP на компоненты мультисервисных сетей
Для проведения риск-анализа мультисервисной сети необходимо знать по какому закону, согласно полученной статистике, распределены случайные величины, включенные в модель [89].
Для проверки соответствия эмпирического ряда распределения заданному теоретическому закону чаще всего используют один из наиболее мощных и универсальных статистических критериев проверки вида распределения -критерий/2, также получивший название критерия согласия Пирсона [7, 10, 14]. Он основан на сравнении эмпирических частот интервалов группировки с теоретическими частотами, которые можно ожидать при принятии определенной нулевой гипотезы.
Если окажется, что вычисленные теоретические частоты nj некоторых интервалов группировки меньше 3, то соседние интервалы объединяются так, чтобы сумма их теоретических частот была больше или равна 3. Соответственно складываются и эмпирические частоты объединяемых интервалов.
На основании статистики ущербов от 505 инцидентов реализации DDoS-атак зафиксированных в период с декабря 2013 года по декабрь 2014 года, предоставленной организацией «Symantec Corporation» [71], на рисунке 2.1 изображено распределение ущерба по количеству реализаций атак.
Определение шага дискретизации переменной функции риска при реализации атак типа «отказ в обслуживании» по протоколу HTTP на компоненты мультисервисных сетей
На основании результатов, полученных в главе 2 и в пункте 3.1, можно заключить, что функция риска более чувствительна к изменению параметра Я, характеризующего продолжительность реализации атаки типа «отказ в обслуживании» по протоколу HTTP, и при его уменьшении область возможных значений огибающей функции риска существенно возрастают. Параметр с , определяющий интенсивность реализации атаки, при увеличении также приводит к увеличению возможных значений огибающей функции риска и ее пика.
В свою очередь, изменение параметров хъ, характеризующего количество запросов от ботнета злоумышленника, хг, описывающего количество запросов от легитимных пользователей, и f, коэффициента распространения ботнета, также приводит к увеличению пика функции и диапазона значений огибающей функции риска.
Однако, параметры с и Я являются параметрами плотности вероятности, повлиять на которые представляется затруднительным, так как они зависят от большого количества факторов, являющимися внешними для конкретно взятой мультисервисной сети.
В рамках процесса управления риском мультисервисной сети, подвергающейся атакам типа «отказ в обслуживании» по протоколу HTTP, возможны управляющие воздействия на параметры web-серверов, входящих в состав данной сети, то есть хг, хъ и хпр. Параметр f является коэффициентом изменения количества поступающих запросов от ботнета злоумышленника и тоже является внешним фактором для сети, влияющим на конечное значение количества запросов от подконтрольного злоумышленнику ботнета хъ.
Таким образом, при реализации атак типа «отказ в обслуживании» по протоколу HTTP на web-серверы МСС, возможно управление количеством запросов, которые может обрабатывать сервер хпр, и количеством поступающих на сервер вредоносных запросов от ботнета злоумышленника хъ, так как данные параметры являются внутренними для МСС. Количеством запросов, поступающих от легитимных пользователей хг управлять не имеет смысла, так как основной задачей web-сервера является предоставление необходимой информации легитимным пользователям МСС [74, 85].
Параметр хпр отвечает за количество запросов, которое может обрабатывать атакуемый ресурс МСС, то есть он характеризует объем обрабатываемого сетевого трафика сервером. хпр зависит от физических возможностей устройств хранения данных атакуемого сервера и связанных с сервером сетевых устройств МСС, а также от того, какой или какие сайты поддерживает сервер, объема информации одной страницы сайтов, количества посетителей и среднего количества просмотренных страниц.
Проанализируем влияние увеличения параметра хпр на дифференциальную чувствительность огибающей функции риска к изменению ее параметров.
На рисунке 3.13 изображены поверхности дифференциальной чувствительности риска к изменению параметра с, определяющего интенсивность реализации атаки. Исходные данные расчета для рисунка а) заданы следующим образом: f = 1,1, t0 = 5, xb = 5000, хг = 2000, хпр = 4000, Я = 0,4. Исходные данные расчета для рисунка б) заданы следующим образом: f = 1,1, t0 = 5, xb = 5000, xt = 2000, x = 5000, Я = 0,4. Как видно из рисунка 3.13, при увеличении количества запросов, обрабатываемых сервером хпр, значения дифференциальной чувствительности огибающей функции риска к изменению параметра с снижаются.
Далее рассмотрим влияние изменения параметра хпр на дифференциальную чувствительность огибающей функции риска к изменению параметра Я, определяющего продолжительность реализации атаки типа «отказ в обслуживании» по протоколу HTTP.
На рисунке 3.14 изображены поверхности дифференциальной чувствительности риска к изменению параметра Я. Исходные данные расчета для рисунка а) заданы следующим образом: f = 1,1, t0 = 5, xb = 5000, хг = 2000, хпр = 4000, с = 9. Исходные данные расчета для рисунка б) заданы следующим образом: f = 1,1, t0 = 5, xb = 5000, хг = 2000, хпр = 5000, с = 9.
Поверхности дифференциальной чувствительности огибающей функции риска к изменению параметра Я при различных значениях параметра хпр
Согласно графику, представленному на рисунке 3.14, при увеличении количества запросов, обрабатываемых сервером, дифференциальная чувствительность огибающей функции риска к изменению параметра Я изменяется несущественно в связи с малым вкладом хпр в значения данного коэффициента дифференциальной чувствительности. Коэффициенты дифференциальной чувствительности к изменению параметров хъ, характеризующему количество запросов, поступающих от ботнета, подконтрольного злоумышленнику при реализации атаки, f, характеризующему степень увеличения или сокращения количества хостов-зомби в подконтрольной злоумышленнику сети с момента начала атаки, и хг, характеризующему количество запросов к атакуемому ресурсу, поступающих от легитимных пользователей, согласно полученным в пункте 3.1 результатам, не зависят от хпр.
В результате проведенного анализа влияния увеличения количества запросов, обрабатываемых сервером хпр, на значения дифференциальной чувствительности огибающей функции риска к изменению ее параметров можно заключить, что увеличение значений хпр приводит к снижению абсолютных значений функции риска.
Алгоритм управления риском мультисервисных сетей подвергающихся атакам типа «отказ в обслуживании» по протоколу HTTP
Из графиков, представленных на рисунках 3.20 и 3.22 очевидно, что использование более производительных устройств хранения данных и сетевых устройств позволяет снизить значения функции риска на всем интервале времени деструктивного воздействия и повысить защищенность жертвы от атак типа «отказ в обслуживании» по протоколу HTTP.
Далее рассмотрим параметр хъ, характеризующий количество запросов, которое может обрабатывать атакуемый ресурс МСС.
Как уже было отмечено выше, функция риска более существенно изменяется при изменении данного параметра по сравнению с параметром хг.
Параметром хъ для повышения защищенности атакуемого web-сервера МСС от атак типа «отказ в обслуживании» по протоколу HTTP возможно управлять следующими способами [69]:
1) Использование удаленных анализаторов сетевого потока, расположенных в сети Интернет, для обнаружения и нейтрализации атак в отношении защищаемого клиента. Удаленные анализаторы сетевого потока получают информацию, поступающую к клиенту, которая оправляется в подсистему анализа трафика и подсистему очистки трафика организации, предоставляющей услуги защиты информации. На основании базы данных сигнатур, выносится решение о блокировке или допуске информации к клиенту. Преимуществом данного способа регулирования параметра хъ является то, что организация, предоставляющая услуги по защите информации, имеет достаточную и регулярно актуализируемую базу сигнатур вредоносной информации.
2) Применение программно-аппаратных маршрутизаторов, установленных в защищаемой сети, имеющих в своем составе базу данных сигнатур, на основании которой составляется список контроля доступа. Они блокируют вредоносный трафик в атакуемой сети по результатам его анализа. Минусом данных устройств является то, что они требуют настройки и обязательного участия человека для составления базы данных сигнатур.
3) Включение в состав сети системы предотвращения вторжений и смягчения их последствий, представляющей собой интеллектуальную систему обнаружения вредоносной сетевой активности, расположенную в защищаемой сети, для автоматического отслеживания и блокировки подозрительных потоков данных.
4) Перенаправление потока вредоносных запросов либо смена доменного имени или IP-адреса атакуемого сервера, что позволяет существенно снизить значения, принимаемые параметром хъ, сохраняя доступность необходимых ресурсов МСС для ее конечных пользователей.
В качестве примера, рассмотрим МСС с web-сервером и установленным и настроенным программно-аппаратным маршрутизатором [119], который блокирует 40% вредоносного трафика хъ (рисунок 3.23). Пусть исходные данные расчета функции риска данного сервера без использования межсетевого экрана имеют следующие значения: f = 1,1, t = 14, t0 = 40 , xb = 5000, xx = 2000, xnp = 4000, с = 9 , A = 0,2 . А так как межсетевой экран блокирует 40% вредоносного трафика, то с его использованием параметр, определяющий количество запросов от ботнета принимает значение хъ = 3750.
Как видно из результатов, полученных на рисунке 3.23, при снижении параметра хъ даже на 40% наблюдается снижение пика функции риска на 17% и заметное снижение значений функции риска, что говорит о высокой эффективности технических средств для регулирования параметра хъ при защите от реализации атак данного типа.
Таким образом, с помощью проведенного анализа влияния различных средств защиты информации на функцию риска ресурса МСС, подвергающегося атакам типа «отказ в обслуживании» по протоколу HTTP, можно заключить, что установка более производительных сетевых устройств и устройств хранения данных позволяет снизить значения функции риска посредством изменения количества запросов, которое может обрабатывать атакуемый web-сервер МСС хпр. Однако наиболее эффективным средством защиты являются программные и программно-аппаратные средства, которые, при правильной их настройке, могут существенно снизить количество вредоносных пакетов, поступающих на атакуемый ресурс хъ и уровень риска жертвы.
На основании полученных выше результатов рассмотрим вопрос управления значением риска web-сервера, функционирующего в составе МСС, во временном интервале от tx = 25 с до t2 = 35 с (рисунок 3.24), функционирующего в составе МСС, исходные данные расчета функции риска которого заданы следующим образом: f = 0,9, t0 = 4, xb = 4000, хг = 1500, хпр = 1700, Я = 0,3, с = 9.
Таким образом, управленческая задача решена путем снижения количества запросов, поступающих от ботнета хъ и увеличения количества запросов, обрабатываемых web-сервером МСС хпр что говорит о практической применимости описанных выше методов для повышения защищенности мультисервисных сетей от атак типа «отказ в обслуживании» по протоколу HTTP.
На основании результатов, полученных в пунктах 3.1 и 3.2, становится возможным построение алгоритма управления риском мультисервисных сетей, подверженных угрозе реализации атак типа «отказ в обслуживании» по протоколу HTTP на их компоненты.
Процесс управления риском должен включать в себя анализ риска, оценку величины риска и мероприятия по снижению и контролю риска [31- 33, 39, 44, 115].
При реализации атак типа «отказ в обслуживании» по протоколу HTTP на web-серверы в составе МСС, их успешность характеризует превышение максимально возможного количества поступающих запросов обрабатываемых сервером. Аналитические выражения для оценки риска были получены во второй главе настоящей работы. А методы управления риском обоснованы и описаны в пунктах 3.1 и 3.2.
На рисунке 3.26 изображена структурная схема процесса управления риском мультисервисных сетей, имеющих в своем составе один или более web-серверов и подвергающихся атакам типа «отказ в обслуживании» по протоколу HTTP. На рисунке 3.27 представлена структурная схема использования методического обеспечения для управления рисками web-серверов, функционирующих в составе МСС.