Модель и методика обнаружения низкоинтенсивных распределенных атак типа «отказ в обслуживании» в информационно-телекоммуникационных системах тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат наук Тарасов Ярослав Викторович

  • Тарасов Ярослав Викторович
  • кандидат науккандидат наук
  • 2021, ФГАОУ ВО «Национальный исследовательский университет ИТМО»
  • Специальность ВАК РФ05.13.19
  • Количество страниц 254
Тарасов Ярослав Викторович. Модель и методика обнаружения низкоинтенсивных распределенных атак типа «отказ в обслуживании» в информационно-телекоммуникационных системах: дис. кандидат наук: 05.13.19 - Методы и системы защиты информации, информационная безопасность. ФГАОУ ВО «Национальный исследовательский университет ИТМО». 2021. 254 с.

Оглавление диссертации кандидат наук Тарасов Ярослав Викторович

Реферат

Synopsis

Введение

Глава 1. Проблемно-классификационный анализ задач обнаружения атак в информационно-телекоммуникационных системах

1.1. Компьютерные сети как объект защиты от различных сетевых угроз

1.2. Низкоинтенсивные распределенные атаки типа «отказ в обслуживании»

в комплексе угроз нарушения информационной безопасности

1.2.1. Структура и содержание современного комплекса угроз информационно-телекоммуникационным системам

1.2.2. Низкоинтенсивные распределенные DDoS -атаки на информационно-телекоммуникационные системы

1.2.3. Компоненты информационно-телекоммуникационной системы, уязвимые к низкоинтенсивным распределенным атакам типа «отказ в обслуживании»

1.2.4. Сравнительный анализ известных низкоинтенсивных распределенных атак типа «отказ в обслуживании»

1.3. Постановка задачи исследования

1.4. Выводы по главе

Глава 2. Моделирование низкоинтенсивных распределенных атак типа «отказ в обслуживании»

2.1. Экспериментальное моделирование низкоинтенсивной распределенной атаки типа «отказ в обслуживании»

2.2. Искусственные нейронные сети как метод моделирования низкоинтенсивных распределенных атак типа «отказ в обслуживании»

2.3. Разработка модели низкоинтенсивной распределенной атаки типа «отказ в обслуживании»

2.3.1. Сравнение моделей прогнозирования

2.3.1.1. Регрессионные модели

2.3.1.2. Авторегрессионные модели

2.3.1.3. Модели скользящего среднего

2.3.1.4. Комбинированные модели

2.3.1.5. Адаптивные методы краткосрочного прогнозирования

2.3.1.6. Нейросетевые модели

2.3.2. Обзор и анализ путей решения поставленной задачи

2.3.3. Модель низкоинтенсивной распределенной атаки типа «отказ в обслуживании»

2.4. Выводы по главе

Глава 3. Разработка методики обнаружения низкоинтенсивных распределенных атак типа «отказ в обслуживании»

3.1. Обзор существующих способов и средств защиты от низкоинтенсивных распределенных атак типа «отказ в обслуживании»

3.2. Задачи прогнозирования и формирования признакового пространства

3.3. Оптимизация признакового пространства

3.4. Описание разработанной методики обнаружения низкоинтенсивных распределенных атак типа «отказ в обслуживании»

3.5. Выводы по главе

Глава 4. Разработка прототипа системы обнаружения

низкоинтенсивных распределенных атак типа «отказ в обслуживании»

4.1. Описание прототипа системы обнаружения низкоинтенсивных распределенных атак типа «отказ в обслуживании»

4.2. Экспериментальное исследование разработанной методики обнаружения низкоинтенсивных распределенных атак типа «отказ в обслуживании»

4.2.1. Сценарий эксперимента

4.2.2. Анализ результатов проведенного эксперимента

4.2.3. Результаты сравнительного анализа разработанной методики обнаружения сетевых атак с аналогами

4.3. Выводы по главе

Заключение

Словарь терминов

Список литературы

Список рисунков

Список таблиц

Приложение №

Приложение №

Приложение №

Реферат

Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК

Введение диссертации (часть автореферата) на тему «Модель и методика обнаружения низкоинтенсивных распределенных атак типа «отказ в обслуживании» в информационно-телекоммуникационных системах»

Общая характеристика работы

Актуальность темы. Основными тенденциями последних лет являются возрастание числа атак, направленных на затруднение доступа к информации (ресурсам автоматизированных систем, web-сервисам и т.д.), а также сложность реализации механизмов защиты от них в информационно -телекоммуникационных системах (ИТКС). Такие атаки относятся к классу «отказ в обслуживании» (Denial of Service, DoS-атаки). Атака, проводимая одновременно с большого числа хостов, получила название распределённой (Distributed Denial of Service, DDoS-атака). Обнаружение и классификация таких атак является крайне значимой и одновременно сложной задачей, поскольку ущерб от них весьма значителен, особенно в сравнении с затратами на их проведение.

Фундаментальные проблемы обнаружения и классификации атак типа «отказ в обслуживании» рассматривались в работах Зегжды П.Д., Лукацкого А.В., Молдовяна А.А., Оныкия Б.Н., Щерба М.В, Cannady J., Denning D., Houle K.J., Patrikakis C. и других исследователей.

Атаки «отказ в обслуживании» вызывают изменения как во внутренней структуре сетевого трафика, так и в его параметрах, таких как интенсивность, временные характеристики и др. Основной способ распознавания атак типа «отказ в обслуживании» заключается в обнаружении аномалии сетевого трафика, под которой понимается сетевое событие, характеризующееся статистическим отклонением от стандартной структуры или характеристик трафика, полученных ранее при замерах в заведомо «нормальном» режиме работы. «Нормальные» характеристики сводятся в профили поведения, которые затем используются для сравнения с оперативно собираемой информацией о характеристиках трафика. Любое отклонение от профиля, превышающее определенное пороговое значение, является признаком обнаружения аномалии. Традиционно для противодействия аномалиям

сетевого трафика используются межсетевые экраны (МЭ) и системы обнаружения вторжений (СОВ).

В последние годы был выявлен принципиально новый тип высокоэффективных DDoS-атак, отличительной чертой которого считается влияние на пользователя (жертву) некоторыми типами прикладных пакетов, повторяющиеся с конкретной частотой по малой временной шкале.

Проблематике обнаружения распределённых низкоинтенсивных атак посвящен ряд новейших исследований. В работах Damon E., Duravkin I., Aiello M. показан опыт формирования испытательной инфраструктуры для изучения и моделирования Low-Rate атак, представлены результаты выявления параметров, характеризующих атакующий трафик. В работах Moustis D. представлены результаты исследований типовых средств защиты информации и их применения против низкоинтенсивных атак вида «отказ в обслуживании». В работах Абрамова Е.С., Макаревича О.Б., Сидорова И.Д., Тумояна Е.П. описывается опыт использования искусственных нейронных сетей для обнаружения распределённых сетевых сценариев с предварительной кластеризацией событий.

Поскольку для обнаружения низкоинтенсивных DDoS-атак прикладного уровня основанные на статистическом анализе методы обнаружения атак оказываются малоэффективными, актуальной научной задачей становится задача применения методов машинного обучения для разработки новых средств обнаружения низкоинтенсивных распределенных атак типа «отказ в обслуживании» (НРАТ ОвО).

Объект исследования: ИТКС.

Предмет исследования: модели, методики обнаружения и параметры НРАТ ОвО в ИТКС.

Цель исследования: снижение уровня ложных срабатываний и количества необнаруженных событий в задаче обнаружения НРАТ ОвО.

Для достижения поставленной цели в диссертации решены следующие задачи.

1. Проведён проблемно-классификационный анализ НРАТ ОвО в ИТКС, методов и средств их обнаружения.

2. Разработаны математическая модель и методика обнаружения НРАТ ОвО.

3. Предложен прототип программно-аппаратного комплекса обнаружения НРАТ ОвО в ИТКС.

4. Осуществлена экспериментальная проверка разработанной методики обнаружения НРАТ ОвО.

Методы исследования. Для решения поставленных задач был использован научно-методический инструментарий теорий эффективности, вероятности, общей теории связи, методы статистического анализа, оптимизации, аппарат искусственных нейронных сетей, математическое и компьютерное моделирование. Общей методологической основой исследования являлся системный подход.

Научную новизну работы определяют следующие полученные автором результаты:

1) математическая модель НРАТ ОвО, отличающаяся учетом совокупного воздействия сценария атаки и сетевой среды на эффект от проведения атаки и позволяющая оценить близость характеристик сетевого трафика к нормальному или аномальному процессам [1, 3, 7, 8];

2) методика обнаружения НРАТ ОвО, отличающаяся применением самоорганизующейся сети Кохонена для понижения размерности элементов классифицируемого временного ряда событий и многослойного персептрона -для классификации событий на нормальные и атакующие сценарии, обеспечивающая повышение эффективности обнаружения атак по сравнению с другими средствами аналогичного назначения [2, 4-6].

Достоверность и обоснованность результатов подтверждается применением апробированного математического аппарата, корректностью математических выводов, используемых показателей и критериев

обнаружения, сходимостью результатов эксперимента с известными теоретическими данными.

Соответствие паспорту специальности. Содержание диссертации соответствует пунктам 3 «Методы, модели и средства выявления, идентификации и классификации угроз нарушения информационной безопасности объектов различного вида и класса» и 13 «Принципы и решения (технические, математические, организационные и др.) по созданию новых и совершенствованию существующих средств защиты информации и обеспечения информационной безопасности» паспорта специальности 05.13.19 «Методы и системы защиты информации, информационная безопасность».

Теоретическая значимость заключается в применении методов машинного обучения и искусственных нейронных сетей для решения задач обнаружения НРАТ ОвО.

Практическая значимость заключается в разработке прототипа программного комплекса обнаружения НРАТ ОвО на основе разработанных программных модулей [9-12].

Внедрение научных результатов:

в прикладные научные исследования и экспериментальные разработки компании «Инфосистемы Джет» (г. Москва) в рамках ОКР «Хамелеон», ОКР «Обсуждение-М», ОКР «Генезис», ОКР «Скань-АМ», НИР «Тропарь»;

в деятельность АО НПО «Эшелон» (г. Москва), АО «Воентелеком» (г. Москва), ФГУП НИИ «Квант» (г. Москва);

в образовательный процесс Военной академии связи им. Маршала Советского Союза С.М. Буденного (г. Санкт-Петербург), Краснодарского высшего военного училища им. генерала армии С.М. Штеменко, Южного федерального университета (г. Ростов-на-Дону), что подтверждается соответствующими актами внедрения (использования).

Положения, выносимые на защиту.

1. Математическая модель НРАТ ОвО, позволяющая оценить совокупное воздействие сценария атаки и параметров сетевой среды на эффект от проведения атаки и показывающая высокую точность и скорость классификации атак [1, 3, 7, 8].

2. Методика обнаружения НРАТ ОвО, позволяющая повысить точность обнаружения атак за счёт снижения числа необнаруженных атак при сохранении заданной скорости работы системы обнаружения [2, 4-6].

3. Прототип программно-аппаратного комплекса обнаружения НРАТ ОвО в ИТКС [1, 9-12].

Апробация работы. Основные положения и результаты диссертационной работы докладывались и обсуждались на VII Всероссийской научно-технической конференции «Безопасные информационные технологии» (г. Москва, 2016 г.), Международной IEEE Сибирской конференции по управлению и связи (г. Астана, 2017 г.), 12-й Международной конференции по информационной безопасности и сетям (г. Сочи, 2019 г.).

Публикации. По теме диссертации опубликовано 8 работ, в том числе: 2 - в зарубежных изданиях, входящих в системы Web of Science/Scopus; 4 - в ведущих рецензируемых научных изданиях, входящих в перечень ВАК при Минобрнауки России; получено 4 свидетельства о государственной регистрации программы для ЭВМ.

Личный вклад автора. В публикациях [7, 8] проведен анализ предметной области исследования, выявлены основные тенденции совершенствования и развития методов обнаружения НРАТ ОвО, установлены основные недостатки применяемых средств и систем обнаружения. В [1, 3] представлен подход к моделированию НРАТ ОвО. В [4, 5] предложена методика обнаружения НРАТ ОвО. В [2, 6] показано применение комбинированного нейросетевого метода для обнаружения НРАТ ОвО на web-сервисы ИТКС. В [9-12] представлено разработанное

программное обеспечение, реализующее отдельные модули системы обнаружения НРАТ ОвО на web-сервисы ИТКС.

Структура и объем работы. Работа состоит из введения, четырех глав, заключения, списка терминов, списка литературы, включающего 83 наименования. Общий объем диссертации составляет 252 страницы машинописного текста, включая 153 страниц основного текста, содержит 24 рисунка, 2 таблицы и 3 приложения.

Содержание работы

Во введении обоснованы актуальность темы диссертации, определен её научно-методический аппарат, приведены сведения о публикациях, апробации и реализации полученных результатов.

В первой главе проведён анализ структуры и содержания современного комплекса угроз информационной безопасности в ИТКС, показаны роль и место в нём НРАТ ОвО, проанализированы современные подходы к выявлению таких атак.

Показано, что наиболее опасным (в виду сложности обнаружения) видом распределенных атак типа «отказ в обслуживании» являются низкоинтенсивные атаки. При этом наиболее уязвимыми компонентами ИТКС являются серверы приложений, а рабочие станции могут использоваться как «зомби»-машины, также являясь жертвами НРАТ ОвО. Их характерными представителями являются атаки RUDY, SlowLoris и HTTP-flood.

Сформирован в общем виде набор признаков, описывающий аномальную активность, и перечень потенциально опасных сетевых данных. Задача обнаружения НРАТ ОвО сформулирована как частный случай задачи распознавания образов, для решения которой обоснован выбор искусственных нейронных сетей.

Во второй главе представлена математическая модель обнаружения НРАТ ОвО на ИТКС.

Модель рассматриваемого типа атаки формализована в виде упорядоченной по времени последовательности (временного ряда) событий

3 =(xj: j = 0...V-1, (1)

где V- количество рассматриваемых атрибутов, к которым отнесены: порядок поступления пакетов на атакуемую ЭВМ; поля заголовков уровня IP, TCP, HTTP различных уровней ЭМВОС; полезная нагрузка (данные, тело запроса) протокола HTTP; последовательность и количество пакетов в единицу времени, поступающих на атакуемый сервер-жертву;

объем информационных данных (в битах) в единицу времени, поступающих на целевой узел;

временные промежутки между поступлением сетевых пакетов. Для учёта легитимной сетевой активности (возможно, на тот же сетевой узел и порт), на фоне которой проходит НРАТ ОвО, её модель модифицирована следующим образом (рисунок 1):

Рисунок 1. Схема источника событий

или в виде:

3 = F (' )• -1 + (1 - F (' ))• di

-Y 'j

(2)

3 = 1

Y jF (j ) -Y jF (j)

i: F ( ') = 1,

d„ : F (') = 0,

где е ] = 0,...,Ь — 1, £ - временной ряд событий, относящихся к атаке и созданных атакующим(и); ^ е В, к = 0,...,М — 1 , В - временной ряд событий, созданных вследствие нормального технологического процесса функционирования информационно-вычислительных сетей; Г() - функция-переключатель (атака/легитимная сетевая активность).

На взаимное расположение в Е элементов 5 и В могут влиять факторы, приведённые в таблице 1. Характер влияния факторов - композиция, поскольку наблюдается следование влияния факторов друг за другом, за исключением фактора 3, который носит аддитивный характер:

Г » Г (Г (Г4 (Г ( ) + Г2 (Г1 ( ))))). (3)

Следовательно, функцию Р необходимо считать стохастической и не имеющей определенного распределения плотности вероятности, поскольку как минимум один компонент ^ в общем случае не имеет достоверной оценки распределения, а по распределениям Р3 и Р6 данные отсутствуют.

Таблица 1. Факторы, влияющие на задержки доставки пакетов 5

№ Название Характеристика

Г1 Задержки канала между атакующей ПЭВМ и пограничным маршрутизатором Логнормальное и пуассоновское распределение

Г2 Задержка обработки пакетов на пограничном маршрутизаторе (исключая приоритизацию для трафика определенного типа) Распределение Парето, распределение Вейбулла, логнормальное и пуассоновское распределение

Г3 Задержки, обусловленные приемом легальных данных Генерация данных легальными приложениями. По распределению информации нет

Г4 Задержки каналов внутри сети Комплексная мультифрактальная структура без достоверно определенного распределения

Г5 Задержки внутренних маршрутизаторов (исключая приоритизацию для трафика определенного типа) Распределение Парето, распределение Вейбулла, логнормальное и пуассоновское распределение

Г6 Специфичные механизмы приема пакетов физического и канального уровней, реализуемые целевой ПЭВМ. По распределению информации нет

Наиболее целесообразным видится представление функции F с точки зрения задержек регистрации событий из ряда 5 на целевой ЭВМ по сравнению с событиями из ряда О (рисунок 2).

Атакующие ПЭВМ

Целевая ПЭВМ

Задержка канала 4

Маршрутизаторы

Задержка канала

Пограничный маршрутизатор

Внутренняя сеть

Т

Задержка канала 4

Задержка канала 4

Рисунок 2. Схема формирования задержек

Приведенный подход (2) к определению F позволяет выявить ряд полезных свойств:

1) начало атаки может быть зафиксировано в момент времени tn, такой

что:

F (il) = 1 и F ('1)> F (j): Vj < '1; (4)

2) конец атаки может быть зафиксирован в момент времени ti2ti2, такой

что:

F ('2) = 0 и F ('2-1)> F (j): Vj > '2; (5)

3) функцию F можно рассматривать как цифровой фазовый фильтр (Allpass filter) со стохастическим сдвигом фазы, тогда выражение (2) может быть представлено в следующем виде:

S = H1(S), S={JJ:' = 0...n-1,

D= H2(D), D={d\):' = 0...n-1, ^

E = S x+D x,

где H1 - фазовый фильтр для S, H2- фазовый фильтр для D.

Необходимо отметить, что продолжительность временного ряда D имеет гораздо большее значение, чем ряда S. Данное обстоятельство обусловлено

признаковой особенностью НРАТ ОвО, а именно, их несущественной составляющей в общем объеме сетевой нагрузки. С точки зрения понятийного аппарата в области знаний цифровой обработки сигналов существующую проблематику в отношении обнаружения НРАТ ОвО целесообразно сформулировать следующим образом: представляя атакующее воздействие 5 как искомый полезный сигнал, а временной прогнозируемый ряд сетевой нагрузки В со стороны законных пользователей как шум, можно анализируемую модель в виде временного ряда Е считать как сигнал, характеризующийся высоким уровнем шума (или низким соотношением сигнал/шум). К тому же, расчет точного значения отношения сигнал/шум является сложной задачей, поскольку разработанные на сегодняшний день базовые модели шума являются недостаточно адекватными для выполнения процесса оценивания временных рядов данного типа. Таким образом, на основе вышеописанных статистических данных можно заключить, что уровень шума во множество раз превосходит уровень сигнала.

В заключении можно:

- определить, что модель атаки представляется в виде аддитивного наложения двух сигналов - атакующего и легального воздействий;

- оперировать терминами и определениями математического аппарата теории обработки сигналов, в том числе, методологией теории распознавания образов.

В третьей главе представлена методика обнаружения НРАТ ОвО, представленная в виде последовательности двух фаз.

Обучающая фаза включает в себя следующие этапы.

1. Обучение параметров метода (способа, алгоритма) сокращения размерности данных Я ( ) признакового пространства. Обучающий этап самоорганизующейся карты Кохонена состоит в формировании обучающей и тестовой выборок из перехваченных сетевых пакетов. Затем происходит разделение пространства признаков на отрезки (кортежи, окна), каждый отрезок анализируется на наличие в нем признаков атаки, соответствующая

информация записывается в буферную память и используется на следующем этапе. При этом размерность отрезка вычисляется согласно следующего выражения:

w = u^ w = u*^- (3.7)

8P 8*Pmin V '

min

где - скорость передачи данных (байт/с); - наименьший размер

сетевого пакета; u - коэффициент утилизации канала связи (загруженности сети). Полученные в результате разделения общего пространства признаков отрезки (окна) в результате экспертного анализа помечаются как нормальные или аномальные по таким критериям как:

а) в пределах рассматриваемого отрезка выявлены однотипные сетевые пакетов, следующие друг за другом через равные интервалы времени, значения которых не превышают величины таймаута (чтобы не закрывать открытых сессии).

б) количество таковых сетевых пакетов сигнализирует о наличии атакующего воздействия.

В качестве ограничения можно вынести величину (объем) обучающей выборки. При этом максимальное ее значение зависти от таких параметров как память и время, значения которых заранее уточняются пользователем как рекомендуемые для обучения самоорганизующейся карты Кохонена.

2. Сокращение размерности обучающей выборки TЛ= R(T) . При этом

обучение самоорганизующейся карты Кохонена выполняется на сетевых пакетах, где каждому из них присваиваются номера кластеров.

3. Сборка генеральной совокупности признакового пространства в виде обучающего и тестового множеств. Данные в виде кортежа на выходе самоорганизующейся карты Кохонена поступают на вход многослойного персептрона (MLP) также в виде вектора, причем, в нормированном виде в диапазоне [0, 1], что соответствует номерам кластеров, в которые ранее

распределились сетевые пакеты. Мощность множества данных, образующих входной кортеж, зависит от количества активных выходов самоорганизующейся карты Кохонена (другими словами, от величины отдельного окна). В свою очередь, выходная совокупность данных содержит размерность, равную двум.

4. Обучение классификатора argminN(T,W) на основе нейронных

сетей:

если в рабочем (текущем) отрезке (окне) отсутствуют признаки наличия сетевой атаки, то такой кортеж имеет метку «норма»;

если в рабочем (текущем) отрезке (окне) присутствует атакующее воздействие, то такой кортеж имеет метку «атака».

Совокупность выходных данных представлена в виде кортежа {уп,уа),

кортежи легальных данных обучаются на выход <1, 0>, кортежи с атакующими параметрами - на <0, 1>.

5. Верификация разработанного классификатора E = Error (N (T ,W),?) на множестве данных из тестовой совокупности.

6. Если полученная погрешность в результате классификации принимает приемлемое значение - переход к следующему этапу, в противном случае - возврат к этапу 2.

7. Запись в буферную зону соответствующих параметров алгоритма уменьшения размерности признакового пространства R и классификатора W, реализованного на основе нейронных сетей. Переход к классифицирующей фазе, включающей в себя аналогичные этапы.

1. Уменьшение размерности признакового пространства обучающей выборки TЛ= R (T) . Обучение самоорганизующейся карты Кохонена

осуществляется на отдельных сетевых пакетах, каждому из которых ставится в соответствие номер определенного кластера.

Целью НРАТ ОвО обычно являются наиболее популярные сетевые сервисы, каждый из которых имеет соответствующее значение порта

(destination port). В этой связи в настоящей работе поставлен акцент на мониторинге в отдельности каждого порта. Это означает, что для каждого случая необходимо применять конкретный кластеризатор R и классификатор W. При этом экспериментальным путем выявлено, что классификация входящих сетевых пакетов в соответствии с адресом источника является нецелесообразным, так как результат данного процесса не оказывает влияния на порядок следования сетевых пакетов и их содержимое.

2. Экспериментальные исследования осуществляются на основе заранее сформированных кортежей двух видов: первый тип соответствует параметрам легитимного («чистого») сетевого трафика, второй тип получен в результате мониторинга сетевого трафика в период проведения НРАТ ОвО.

Отрезок (окно) «дискретно скользит» по трафику на заранее определенном интервале, при этом пересекаясь со следующим окном. Размер дискретного шага (сдвига) напрямую связан с имеющимися аппаратными возможностями и заранее вычисляется эмпирическим путем на одном из этапов обучающей фазы. Данный параметр (величина сдвига) является критически важным с точки зрения максимизации точности классификатора, целью которого является выявление факта начала НРАТ ОвО.

3. В результате скольжения окна по сетевому трафику очередной сетевой пакет, попавший в интервал мониторинга, трансформируется в формат, подходящий к анализу для самоорганизующейся карты Кохонена. Такой входной кортеж включает в себя события, однозначно характеризующие факт НРАТ ОвО (табл. 1 приложения 1).

4. Применяется самоорганизующая карта Кохонена для кластеризации событий в узлы двумерной матрицы, благодаря которым будут осуществляться сбор сетевых пакетов.

На этом этапе на вход самоорганизующейся карты Кохонена поступают кортежи с событиями из текущего окна. Следовательно определенный выход (событие) каждого кортежа SOM соответствует входящему сетевому пакету.

При этом выходной кортеж SOM можно представить в виде выражения (N,N,•••,N) , где i вычисляется на этапе обучения и представляет собой

размер окна, а N соответствует номеру кластера сети Кохонена, т.е. является меткой класса сетевого пакета.

5. Выходной кортеж самоорганизующейся карты Кохонена, в свою очередь, играет роль входных данных для многослойного персептрона. Последний осуществляет отнесение последовательностей сетевых атакующих пакетов к определенной группе-сценарию конкретной НРАТ ОвО.

Классифицирующий этап накладывает на многослойный персептрон функции анализа сетевых пакетов в пределах очередного окна и отнесения их к одному из двух классов: легитимная или аномальная сетевая нагрузка. Решения многослойного персептрона выдаются в следующем виде:

если Уп >0,7 и Уа <0,3 , то последовательность сетевых пакетов помечается классом «норма»;

если Уп <0,3 и Уа >0,7 , то последовательность сетевых пакетов помечается классом «атака»;

в противном случае разработанная в настоящей работе модель не состоянии распознать сетевой пакет.

Результаты мониторинга создаются для каждого отрезка (окна). В четвертой главе представлены архитектура (рисунок 3) и программная реализация прототипа системы обнаружения НРАТ ОвО на ИТКС, а также результаты его экспериментального исследования.

Прототип системы обнаружения НРАТ ОвО реализует последовательность действий, включающую в себя: получение первоначальных, пробных данных; предобработку информации, ее обработку SOM, формирование вектора MLP и его классификацию с выводом результатов; сдвиг окна на заданную величину и повторение описанных процедур.

Для обеспечения эластичности конфигурирования и развёртывания, а также кроссплатформенности применения созданная программная реализация прототипа разделена на соответствующие программные модули.

Рисунок 3. Архитектура прототипа системы обнаружения НРАТ ОвО

Прототип системы обнаружения НРАТ ОвО способен располагаться как на защищаемом сетевом ресурсе, так и на различных сегментах сети. В случае использования сегментов сети для размещения, программная реализация будет создавать маленькую нагрузку на ресурсы сервера, что очень важно, потому что DDOS-атаки приводят к перегрузке и, следовательно, к нехватке свободных аппаратных ресурсов. Также необходимо обратить внимание на место размещения модуля обработки и данных, которые отвечают за контроль трафика, потому что они могут находиться в сегментах, которые невозможно атаковать из внешней сети, что очень важно для функционирования и грамотного обнаружения атак при отказе защищаемого ресурса.

Обучение самоорганизующейся карты Кохонена производилось на отдельных пакетах, последовательно выбираемых из окна, вычисляемого согласно выражению (8) и зависящего от ограничений технологии Ethernet и загруженности канала. Сетевой поток со скоростью передачи 100 Мбит/с генерировал 148 810 пакетов/с, что соответствовало размеру окна в 1 500 последовательных сетевых пакетов при стандартном значении коэффициента утилизации канала связи в 1%. В качестве дополнительных параметров выступали:

окно величиной в 30 последовательных сетевых пакетов, - наименьший размер, встречающийся в правилах системы IDS Snort для выявления НРАТ ОвО;

окно величиной в 180 последовательных сетевых пакетов, соответствующее интенсивности поступления одного пакета в секунду.

Самоорганизующаяся карта Кохонена содержала 500 кластеров.

Для обучения искусственной нейронной сети моделировались два типа сетевого трафика - нормальный (размер набора 459 565 пакетов) и аномальный (размер набора 428 890 пакетов). Первый набор содержал пакеты, появляющиеся в сети при обычной работе, второй имитировал распределённую атаку. Использовались сценарии HTTP-flood, RUDY, SlowLoris.

Архитектура экспериментального макета, на котором проводились опыты по имитации и обнаружению сетевых атак, и топология виртуальной сети представлены на рисунке 4.

Результаты экспериментального исследования разработанного прототипа системы представлены в таблице 2 приложения 1 .

Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК

Список литературы диссертационного исследования кандидат наук Тарасов Ярослав Викторович, 2021 год

Литература

1. Басараб М.А., Вельц С.В. Иерархическое представление компьютерной сети на основе нейронной сети Хопфилда // Наука и образование: научное издание МГТУ им. Н.Э. Баумана. 2013. № 9. С. 335-348.

2. Булдакова Т.И., Миков Д.А. Оценка информационных рисков в автоматизированных системах с помощью нейро-нечёткой модели // Наука и образование: научное издание МГТУ им. Н.Э. Баумана. 2013. № 11. С. 295-310.

3. Качайкин Е.И., Иванов А.И. Идентификация авторства рукописных образов с использованием нейросетевого эмулятора квадратичных форм высокой размерности // Вопросы кибербезопасности. 2015. № 4 (12). С. 42-47.

4. Качайкин Е.И., Иванов А.И., Безяев А.В., Перфилов К.А. Оценка достоверности нейросетевой автоматизированной экспертизы авторства рукописного почерка // Вопросы кибербезопасности. 2015. № 2 (10). С. 43-48.

5. Марков Г.А. Эксперимент по использованию нейросетевых технологий для проведения испытаний открытого программного обеспечения // Вопросы кибербезопасности. 2013. № 2. С. 47-52. 0

6. Рыжков А.П., Катков О.Н., Морозов С.В. Нейросетевые технологии при решении задач разграничения доступа // Вопросы кибербезопасности. 2016. № 3 (16). С. 69-76.

7. Тарасов Я.В. Метод обнаружения низкоинтенсивных DDoS-атак на основе гибридной нейронной сети // Известия ЮФУ. Технические науки. - 2014. - № 8. - С. 47-58.

8. Тарасов Я.В., Макаревич О.Б. Моделирование и исследование низкоинтенсивных dos-атак на bgp-инфраструктуру // Известия ЮФУ. Технические науки. 2013. № 12 (149). С. 101-111.

9. James Cannady, The Application of Artificial Neural Networks to Misuse Detection. 2001.

10. Абрамов Е.С., Сидоров И.Д. Метод обнаружения распределенных информационных воздействий на основе гибридной нейронной сети // Изв. ЮФУ. Технические науки. - 2009. - № 11. - С. 154164.

11. Осовский С. Нейронные сети для обработки информации / Пер. с польского И.Д. Рудинского. М.: Финансы и статистика, 2002. 44 с.

12. Тихомиров А.С. О быстрых вариантах алгоритма отжига. (http://www.math.spbu.ru/user/gran/soi5/Tikhomirov5.pdf).

13. Лопатин А. С. Метод отжига // Стохастическая оптимизация в информатике. СПб.:Изд-во СПбГУ, 2005. Вып. 1. С. 133-149.

Научный руководитель: Марков Алексей Сергеевич, доктор технических наук, профессор МГТУ им.Н. Э.Баумана, a. markov@bmstu. ru

Using Artificial Neural Networks to Detect Low-Intensity DDoS-Attacks

Tarasov Y.221

The prototype intrusion detection systems, methods of forming training sample, training mechanism, the course of experiments and experimental stand topology is presented. The results of the experiment are Shown.

Keywords: intrusion detection, hybrid neural network

УДК 004.056

Исследование алгоритма дешифрования полностью гомоморфных шифров

Султанов Д.Р.222

Обоснована невозможность использования алгоритма дешифрования, предложенного А. Малинским в 2013 году, на любой полностью гомоморфной криптосистеме. Рассмотрены существующие алгоритмы гомоморфного шифрования. Разработана программа дешифрования методом А. Малинского. Результаты исследования опровергают возможность дешифрования полностью гомоморфной криптосистемы за полиномиальное время. В области криптографии данное исследование опровергает способ дешифровки криптографически преобразованного текста за полиномиальное время.

Ключевые слова: криптография, гомоморфное шифрование, дешифровка, оценка алгоритма.

Введение

В 2009 году в мире криптографии был сделан первый шаг в сторону создания практически применимой полностью гомоморфной криптосистемы. В кандидатской диссертация Крейга Джентри [1] была предложена первая гомоморфная криптосистема, поддерживающая неограниченное количество операций сложения и умножения над зашифрованными данными.

Вслед за публикацией диссертации Крейга последовало множество публикаций, улучшающих схему [2]. Несмотря на растущий интерес в данной области криптографии, на текущий момент не было предложено эффективной системы полностью гомоморфного шифрования (ПГШ). Некоторые системы ПГШ рассмотрены в статье [3-6].

Ученые изучали не только достоинства данного вида шифрования, но и недостатки, анализировали криптостойкость, искали уязвимости к разного рода атакам [7-8]. До 2013 года не существовало алгоритма, доказывающего слабую криптостойкость полностью гомоморфных шифров.

В 2013 году студентом МГТУ им. Баумана в научной статье [9] был предложен метод дешифрования любого полностью гомоморфного шифра без знания ключа в лучшем случае за полиномиальное время. Если данный метод даст возможность быстрой дешифровки сообщений, то про алгоритмы полностью гомоморфного шифрования можно забыть, и использовать только ограниченные схемы гомоморфного шифрования.

Определение полностью и ограниченно гомоморфных криптосистем

В статье Малинского А.Е. «Оценка криптостойкости полностью гомоморфных систем» дается определение.

Пусть Х(х1, X2, . . . , Xi) — произвольная функция от i переменных, где Xi ЕХ, Х(х1, X2, . . . , Xi) ЕХ. Тогда полностью гомоморфное шифрование (ПГШ) — это пара отображений

221 Tarasov Yaroslav, Jet Infosystems Moscow, Russia, info@jet.msk.su

222 Султанов Денис Радикович, МГТУ им. Н.Э. Баумана, г. Москва, sultanov-57@mail.ru

(ИССЛЕДОВАНИЕ ПРИМЕНЕНИЯ НЕЙРОННЫХ СЕТЕЙ ДЛЯ ОБНАРУЖЕНИЯ НИЗКОИНТЕНСИВНЫХ DDоS-АТАК ПРИКЛАДНОГО УРОВНЯ

Тарасов Я.В.1

В статье рассматривается опыт применения искусственных нейронных сетей для обнаружения низкоинтенсивных (малой мощности) распределённых компьютерных атак на отказ в обслуживании, реализуемых на прикладном уровне. Рассмотрены особенности популярных компьютерных атак на отказ в обслуживании, в частности RUDY, SlowLoris и вариации HTTP-flood. Отмечен актуальность атак, имитирующих действий легитимных пользователей на веб-порталах. Показано, что применение традиционных средств обнаружения и противодействия крупномасштабным кибератак на отказ в обслуживании неэффективно либо экономически невыгодно. Даны рекомендации по снижению уровня ложных срабатываний. Рассмотрены различные сценарии низкоинтенсивных распределённых компьютерных атак. Предложена гибридная нейронная сеть для выявления распределенных компьютерных атак на отказ обслуживании. Разработаны концептуальные модели компонента источника событий и компонента формирования задержек. Разработан способ и общая методика выявления низкоинтенсивных компьютерных атак на отказ в обслуживании. Приведено экспериментальное исследования по применению нейросетевых подходов.

Ключевые слова: обнаружение атак; низкоинтенсивная атака; DDoS-атака; персептрон, самоорганизующаяся карта; сетевая безопасность; распознавание образов; атака малой мощности.

Введение

В настоящее время защита веб-ресурсов информационных сетей от распределённых атак на отказ в обслуживании (ОРоБ-атак) является наиболее проблемной среди большинства задач по обеспечению безопасности киберпространства [1, 2]. По материалам ряда источников, касающихся безопасности 1п1егпе1-ресурсов, в последние годы наблюдается постоянное увеличение и количества ОРоБ-атак, и убытков от них [3-7]. Новым в этой статистике являются сразу два аспекта:

- целями ОРоБ-атак стали чаще становится 1п1егпе1:-ресурсы малого и среднего размера;

- инструментами воздействия становятся ОРоБ-атаки малой мощности, иначе называемые низкоинтенсивными.

Следствием первого пункта является экономическая нецелесообразность для жертвы атаки в использовании средств провайдеров для обнаружения и предотвращения атак, т.к. эти средства изначально предназначены для борьбы с атаками большой мощности, заполняющими полосы канала связи и использующими бот-сети большого размера.

С другой стороны, для проведения низкоинтенсивных атак не используют бот-сетей большой мощности, и их проведение не сопровождается

DOI: 10.21681/2311-3456-2017-5-23-29

появлением заметных аномалий в использовании полосы пропускания канала связи [6]. Трафик, возникающий при такой атаке может вообще не отличаться от нормального сеанса работы с ресурсом-жертвой, так как клиенты бот-сети используют техники имитации поведения легитимных пользователей.

Сценарии DDOS-атак малой мощности Характерными представителями рассматриваемого класса DoS-атак являются атаки RUDY, SlowLoris и вариации HTTP-flood.

Атака типа RUDY заключается в бесконечной отправке WEB-формы приложению (рис. 1). Для этого атакующий отправляет POST-запрос на определенный URI с содержимым небольшого размера - в пределе 1 байт. Далее следует задержка передачи на время меньшее чем, время ожидания окончания соединения (time-out) в протоколе TCP. В результате потоки приложения, занятые обработкой данных POST-запросов зависают на время необходимое атакующему.

Атака типа SlowLoris заключается в отправке незавершенных HTTP-запросов, чтобы занять стек приложения и держать соединения открытыми (рис. 2). WEB-сервер быстро достигает максимальной емкости стека и становится недоступным для новых подключений легитимных пользователей.

1 Тарасов Ярослав Викторович, ЗАО «Инфосистемы Джет», Москва, Россия. E-mail: info@jet.msk.su

Рис. 1 - Сценарий атаки RUDY

Рис. 2 - Сценарий атаки SlowLoris

Различают два типа основных типа HTTP-flood - GET и POST. GET HTTP-flood заключается в посылке большого числа GET-запросов, инициирующих скачивание больших объёмов данных с атакуемого web-сервера (рис. 3). Это приводит к истощению аппаратных ресурсов сервера.

При проведении POST HTTP-flood атакующий отправляет большое число данных в формы web-сайта, маскируясь под легитимную отправку дан-

ных пользователями (рис. 4). Использование разных параметров запросов позволяет избежать обнаружения и блокирования сценария при помощи средств защиты на основе статических сигнатур трафика.

Для рассмотренных сценариев атак характерны следующие признаки:

- генерация периодического трафика малого объёма;

Рис. 3 - Сценарий атаки GET HTTP-flood

Рис. 4 - Сценарий атаки POST HTTP-flood

атакующее воздействие составляют однотипные элементы трафика;

- отдельный запрос или сетевой пакет нельзя определить как аномалию.

Во всех сценариях временной интервал между отдельными пакетами значительно меньше тайма-ута окончания соединения (connection time out). Но так как значение connection time out практически для всех приложений является реконфигури-руемым параметром, нельзя заранее установить точное значение временного интервала между отправкой пакетов.

Самым популярным сценарием продолжает оставаться HTTP-flood, однако, как сказано выше, отмечается эволюция данного типа атак в сторону имитации действий легитимных пользователей на сайте.

Метод обнаружения низкоинтенсивных DDoS-атак

Предлагаемая модель представляет собой упорядоченную по времени последовательность событий, т.е. временной ряд [11].

В число наблюдаемых свойств атаки включено:

1) Порядок поступления пакетов на атакуемую ЭВМ;

2) Поля заголовка уровня IP;

3) Поля заголовка уровня TCP;

4) Поля заголовка протокола HTTP;

5) Полезная нагрузка протокола HTTP;

6) Порядок следования пакетов, поступающих на сетевой узел;

7) Число пакетов в единицу времени, поступающее на целевой узел;

8) Количество бит информации в единицу времени, поступающее на целевой узел;

9) Промежутки времени между поступлением пакетов.

На рисунке 5 приведена логическая схема источника событий атаки, где S,D,E - соответственно временные ряды событий атаки, событий не относящихся к атаке и результирующий ряд событий на целевой машине, линии задержки выполняют задержку на заданное количество событий, переключатель F допускает передачу на выход (Е) только события из одного ряда.

Рассмотрим схему канала связи от атакующей (или атакующих) до целевой ЭВМ с точки зрения относительных задержек (для элементов S по сравнению с элементами D). Такая схема представлена на рисунке 6.

Представим низкоинтенсивную атаку в виде наложения нормальных сетевых событий и аномального трафика. Тогда метод обнаружения заключается в последовательном выделении однородных групп временного ряда (поступающих сетевых пакетов) при помощи моделей распознавания образов и построения для каждой выделенной группы модели прогнозирования для обнаружения сценария атаки.

Необходимо отметить, что длительность ряда О значительно больше, чем длительность ряда Б, поскольку выбранный класс атак по определению является низкоинтенсивным и вносит незначительный вклад в объем трафика. Переходя к понятиям цифровой обработки сигнала можно сформулировать следующее положение: если рассматривать вредоносное воздействие Б как искомый сигнал, а временной ряд, представляющий легитимный трафик О как шум, затрудняющий обнаружение искомого сигнала, то рассматриваемый временной ряд Е имеет высокий уровень шума (или низкое соотношение сигнал/шум). Указать точное соотношение сигнал/шум возможным не представляется возможным, поскольку существу-

Е

-1— I-I I I

Управление

,-*-1

| Линия задержки

| Линия задержки~Ц-

Рис. 5 - Схема источника событий

Атакующие ПЭВМ

Целевая ПЭВМ

Задержка канала

Маршрутизаторы

Задержка канала

V

Внутренняя сеть

Пограничный маршрутизатор

Задержка канала

Задержка канала

Рис. 6 - Схема формирования задержек

ющие модели шума не вполне подходят для оценки данного типа ряда (уровень шумна в десятки раз превосходит уровень сигнала).

Это приводит нас к модели атаки в виде аддитивного наложения двух сигналов - атакующего воздействия и легального воздействия .

Подрлено разработка аодели низкаинтанинв-ной сетевой атаки рассматривается в [12].

Длк и любой метод машиннаго обучения, описываемый метод обнаружения низкоинтеисвтеых атак может быть представлен в виде двух после-доватнлтиых фаз - фазы обучения в фазы классификации.

Фазд обучения подчиняется общтм принципам построения моделей данных, и конкретиз-ауется только используемым методом обучения [13].

а фазе обучения строится классификатор. Эта происходит путём наерационной настройки параметров классификатора на обучающвм множестве. Далее в этой фаве происходит оиенки (верификация) получнаной модели прочнозирования временных рядов на тестовом множестве, состоящем из прдверочных примеров. Как мннжество обучающ их примеров, так и множество проверочных примеров должны быть предвнритвльно, хотя бы чвстично, классифицириваны экспертом.

а случае совпадения результата проверки обученного классификеиора па тестовом множестве с ожидаемым результатом, и если, при этом, результат достаточен для классификации, переходят к следующей фазе. В результате фазы обучиаия мы

получаем классификатор с настроенными параметрами, достаточными для успешной классификации.

Целью этапа классификации является вычисление меток классов для ранее неизвестных наборов данных к применением! обученного классификатора. Резукьтат этапа илаксификации - набор меток клсссоадля ранее неизвестных наборов данных.

Можн о сформул ировать шаги метада.

1. Построить отдельную искусственную нейронную сеть для каждого контролируемого серреса (портт). Сети функционируют ана-лосично друг другу,. Далки будет рассматри-вкться выявление акак на един сервис.

2. Для выбранного сервиса принять от источника данных некоторое множество сетевых пакнтов, число которых определяетси выбранным з начением величины окна.

3. На шаге снижения размерсости форми-руютоя вектора дея самоорганизующейся карты.

4. Снизить размерность входных данных. Для разработанного метода - кластеризация векторов самоорганизующейся картой.

5. Сформировать вектооа для многослойного пирсептронр (MLP), гдс каждый компонент вектора будет соответствовать номеру кластера, в который расиределился па кет. Таким образом, входной вектор представляет собой набор кластеризованных сетевых пакетов, который сохраняит иеформа цию

<

о последовательности (порядке) поступления внутри окна. Для этих пакетов уже будет установлена их принадлежность к определённому типу.

6. Вектора анализируются на MLP, выявленные в трафике на шаге 4 наборы классифицируются. В результате осуществляется разделение на два класса - атака или норма.

Шаги метода подробно описаны в [13].

Экспериментальное исследование разработанного метода

Самоорганизующаяся сеть имеет размеры 25 на 20 и использует гексагональную структуру связей нейронов. Обучение сети Кохонена происходит на отдельных пакетах, последовательно выбираемых из окна.

Используется многослойный персептрон со следующей структурой - два скрытых слоя с числом нейронов 21 и 7 (подобрано в ходе экспериментов), выходной слой. Активационная функция в скрытый слоях - гиперболический тангенс, в выходном слое - линейная. Метод обучения - trainlm.

При проведении экспериментального исследования использовались следующие значения:

- размер окна 1500 пакетов - для утилизации канала передачи в 1% при скорости сети 100 Мбит/с [14, 15];

- размер окна 30 пакетов - минимальное значение числа пакетов в сценарии, применяемое в правилах системы обнаружения атак Snort для низкоинтенсивных атак.

- размер окна 180 - соответствует скорости поступления 1 пакет в секунду.

Для обучения искусственной нейронной сети моделировались два типа сетевого трафика - нормальный и атакующий, с имитацией распределённой низконтенсивной атаки с 10 адресов. В качестве цели атак использовался web-сайт с одноуровневой структурой.

При генерации нормального трафика генератор производит случайное количество запросов с случайным тайм-аутом без генерации случайных путей (только к корню).

При генерации трафика Slowloris и Rudy сценарий производит множество запросов к веб серверу с случайными URI и в дальнейшем поддерживает их, передавая запросы с заголовком поддержания соединения (keep-alive). Генерируется минимальное количество трафика. При моделировании GET HTTP-flood генерировалось около 10000 запросов в минуту размером 20 Кбайт.

Время обучения при выборке из 20000 векторов составляет 300 секунд (Intel Core i7, 16 Gb, SSD).

При тестировании результативности распознавания на нейронную сеть подавались оба типа трафика (атака-норма). В ходе экспериментов исследовалось влияние различных значений длины вектора, размера обучающей выборки и величины окна на точность распознавания. Ошибка первого рода (ложное срабатывание) в худшем случае не превышает 0,12%. Ошибка второго рода в наихудшем случае составляет 0,84%.

Более подробно процесс проведения экспериментального исследования рассматривается в [16].

Заключение

Результаты сравнительного анализа применяемых методов обнаружения показывают, что методы защиты, основанные на изменении конфигурации сервера или применении правил межсетевых экранов и СОВ на основе статических сигнатур не позволяют эффективно защищаться от низкоинтенсивных DDoS-атак. Для всех этих методов характерен высокий уровень ложных срабатываний (ошибок первого рода).

Для снижения указанного недостатка (как показал эксперимент) целесообразно использовать гибридные искусственные нейронные сети.

Рецензент: Цирлов Валентин Леонидович, кандидат технических наук, доцент МГТУ им.Н.Э.Баумана, г. Москва, Россия. E-mail: v.tsirlov@bmstu.ru

Литература

1. Марков А.С., Цирлов В.Л. Руководящие указания по кибербезопасности в контексте ISO 27032 // Вопросы кибербезопасности. 2014. № 1 (2). С. 28-35.

2. Петренко С.А., Ступин Д.Д. Национальная система раннего предупреждения о компьютерном нападении./Под общей редакцией С.Ф.Боева; вводные слова А.И.Смирнова и А.Г.Тормасова; вводная статья И.А.Каляева. -Иннополис: Издательский Дом «Афина», 2017. 440 с.

3. Гнеушев В.А., Кравец А.Г., Козунова С.С., Бабенко А.А. Моделирование сетевых атак злоумышленников в корпоративной информационной системе // Промышленные АСУ и контроллеры. 2017. № 6. С. 51-60.

4. Гречишников Е.В., Добрышин М.М., Закалкин П.В. Модель узла доступа VPN как объекта сетевой и потоковой компьютерных разведок и DDoS-атак // Вопросы кибербезопасности. 2016. № 3 (16). С. 4-12.

5. Ковалева И.В., Баженов Р.И. Исследование мультиагентной модели в системе Netlogo (модель DDoS атаки) // Постулат. 2017. № 5-1 (19). С. 104.

6. Косенко М.Ю., Мельников А.В. Вопросы обеспечения защиты информационных систем от ботнет атак // Вопросы кибербезопасности. 2016. № 4 (17). С. 20-28.

7. Оладько В.С. Программный комплекс для определения закона распределения атак злоумышленников // Вопросы кибербезопасности. 2015. № 1 (9). С. 55-59.

8. Пальчевский Е.В., Халиков А.Р. Применение нейронной сети в защите от DDOS-атак // В сборнике: Инновации в науке и практике. Сборник статей по материалам I международной научно-практической конференции. 2017. С. 37-42.

9. Петренко А.С., Петренко С.А. Первые межгосударственные киберучения стран СНГ: «Кибер-антитеррор-2016» // Защита информации. Инсайд. 2016. № 5 (71). С. 57-63.

10. Ревенков П.В., Бердюгин А.А. Расширение профиля операционного риска в банках при возрастании DDoS-угроз // Вопросы кибербезопасности. 2017. № 3 (21). С. 16-23.

11. Барсегян А.А., Куприянов М.С., Холод И.И., Тесс М.Д., Елизаров С.И. Анализ данных и процессов 3-е изд. СПб.: БХВ-Петербург, 2009. — 512 с. — ISBN: 978-5-9775-0368-6.

12. Тарасов Я.В. Опыт использования технологий нейронных сетей для обнаружения низкоинтенсивных DDoS-атак // В сборнике: Безопасные информационные технологии (БИТ-2016) Сборник трудов Седьмой Всероссийской научно-технической конференции. Под редакцией В.А. Матвеева. 2016. МГТУ им. Н.Э.Баумана, С. 270-274.

13. Абрамов Е.С., Тарасов Я.В., Тумоян Е.П., Нейросетевой метод обнаружения низкоинтенсивных атак типа «отказ в обслуживании» // Известия ЮФУ. Технические науки, № 9 (182), 2016.

14. Robert Graham, «What's the max speed on Ethernet?» // URL: blog.erratasec.com/2013/10/whats-max-speed-on-ethernet.html#. UlbwuNK8Dp8

15. Stephen Northcutt, Judy Novak (2002) "Network Intrusion Detection An Analyst's Handbook". Sams Publishing, 346 pp.

16. Абрамов Е.С., Тарасов Я.В. Применение комбинированного нейросетевого метода для обнаружения низкоинтенсивных DDoS-атак на web-сервисы // Инженерный вестник Дона. 2017. № 3.

INVESTIGATION OF THE USE OF NEURAL NETWORKS FOR DETECTING LOW-INTENSIVE DDoS-ATAK

OF APPLIED LEVEL

Tarasov Ya.V.2

The article deals with the experience of using artificial neural networks to detect low-intensity (low power) distributed computer attacks on denial of service, implemented at the application level. Features of popular computer attacks on denial of service, in particular RUDY, SlowLoris and variations of HTTP-flood are considered. The relevance of attacks simulating the actions of legitimate users on web portals was noted. It is shown that the use of traditional means of detection and counteraction of large-scale cyberattacks on denial of service is inefficient or economically unprofitable. Recommendations are given to reduce the level of false positives. Various scenarios of low-level distributed computer attacks are considered. A hybrid neural network is proposed for detecting distributed computer attacks on failure of maintenance. Conceptual models of the source component of events and the component of delay formation are developed. A method and a general method for identifying low-intensity computer attacks on denial of service are developed. Experimental research on the application of neural network approaches is presented.

Keywords: detection of attacks; low-intensity attack; DDoS; perceptron, self-organizing map; network security; pattern recognition; low power attack.

References

1. Markov A.S., Tsirlov V.L. Rukovodyashchie ukazaniya po kiberbezopasnosti v kontekste ISO 27032, Voprosy kiberbezopasnosti. 2014, No 1 (2), pp. 28-35.

2. Petrenko S.A., Stupin D.D. Nacional'naya sistema rannego preduprezhdeniya o komp'yuternom napadenii./Pod obshchej redakciej S.F.Boeva; vvodnye slova A.I.Smirnova i A.G.Tormasova; vvodnaya stat'ya I.A.Kalyaeva. -Innopolis: Izdatel'skij Dom «Afina», 2017. 440 p.

3. Gneushev V.A., Kravec A.G., Kozunova S.S., Babenko A.A. Modelirovanie setevyh atak zloumyshlennikov v korporativnoj informacionnoj sisteme, Promyshlennye ASU i kontrollery. 2017, No 6, pp. 51-60.

2 Tarasov Yaroslav, CJSC Jet Infosystems, Moscow, Russia. E-mail: info@jet.msk.su

4. Grechishnikov E.V., Dobryshin M.M., Zakalkin P.V. Model' uzla dostupa VPN kak ob»ekta setevoj i potokovoj komp'yuternyh razvedok i DDoS-atak, Voprosy kiberbezopasnosti. 2016, No 3 (16), pp. 4-12.

5. Kovaleva I.V., Bazhenov R.I. Issledovanie mul'tiagentnoj modeli v sisteme Netlogo (model' DDoS ataki), Postulat. 2017, No 5-1 (19), pp. 104.

6. Kosenko M.YU., Mel'nikov A.V. Voprosy obespecheniya zashchity informacionnyh sistem ot botnet atak, Voprosy kiberbezopasnosti. 2016, No 4 (17), pp. 20-28.

7. Olad'ko V.S. Programmnyj kompleks dlya opredeleniya zakona raspredeleniya atak zloumyshlennikov, Voprosy kiberbezopasnosti. 2015, No 1 (9), pp. 55-59.

8. Pal'chevskij E.V., Halikov A.R. Primenenie nejronnoj seti v zashchite ot DDOS-atak, V sbornike: Innovacii v nauke i praktike. Sbornik statej po materialam I mezhdunarodnoj nauchno-prakticheskoj konferencii. 2017, pp. 37-42.

9. Petrenko A.S., Petrenko S.A. Pervye mezhgosudarstvennye kiberucheniya stran SNG: «Kiber-antiterror-2016», Zashchita informacii. Insajd. 2016, No 5 (71), pp. 57-63.

10. Revenkov P.V., Berdyugin A.A. Rasshirenie profilya operacionnogo riska v bankah pri vozrastanii DDoS-ugroz, Voprosy kiberbezopasnosti. 2017, No 3 (21), pp. 16-23.

11. Barsegyan A.A., Kupriyanov M.S., Holod I.I., Tess M.D., Elizarov S.I. Analiz dannyh i processov 3-e izd. SPb.: BHV-Peterburg, 2009. — 512 s. — ISBN: 978-5-9775-0368-6.

12. Tarasov YA.V. Opyt ispol'zovaniya tekhnologij nejronnyh setej dlya obnaruzheniya nizkointensivnyh DDoS-atak, V sbornike: Bezopasnye informacionnye tekhnologii (BIT-2016) Sbornik trudov Sed'moj Vserossijskoj nauchno-tekhnicheskoj konferencii. Pod redakciej V.A. Matveeva. 2016. MGTU im. N.EH.Baumana, S. 270-274.

13. Abramov E.S., Tarasov YA.V., Tumoyan E.P., Nejrosetevoj metod obnaruzheniya nizkointensivnyh atak tipa «otkaz v obsluzhivanii», Izvestiya YUFU. Tekhnicheskie nauki, № 9 (182), 2016.

14. Robert Graham, «What's the max speed on Ethernet?», URL: blog.erratasec.com/2013/10/whats-max-speed-on-ethernet.html#. UlbwuNK8Dp8

15. Stephen Northcutt, Judy Novak (2002) "Network Intrusion Detection An Analyst's Handbook", Sams Publishing, 346 pp.

16. Abramov E.S., Tarasov YA.V. Primenenie kombinirovannogo nejrosetevogo metoda dlya obnaruzheniya nizkointensivnyh DDoS-atak na web-servisy, Inzhenernyj vestnik Dona. 2017, No 3.

Применение комбинированного нейросетевого метода для обнаружения низкоинтенсивных DDoS-атак на web-сервисы

Е.С. Абрамов1, Я.В. Тарасов2

1 Южный федеральный университет, Ростов-на-Дону 2 ЗАО «Инфосистемы Джет», Москва

Аннотация: В статье описывается разработка и экспериментальное исследование эффективности метода обнаружения низкоинтенсивных (low-rate) атак типа «отказ в обслуживании» Используется модель низкоинтенсивных атак в виде аддитивного наложения нормальных сетевых событий и аномального трафика. Метод обнаружения заключается в последовательном выделении однородных групп временного ряда (поступающих сетевых пакетов) при помощи моделей распознавания образов и построения для каждой выделенной группы модели прогнозирования для обнаружения сценария атаки.

Ключевые слова: обнаружение атак; низкоинтенсивная атака; DoS-атака; персептрон, самоорганизующаяся карта; сетевая безопасность; распознавание образов.

Введение

Существующие методы обнаружения DoS-атак (denial of service, отказ в обслуживании), основанные на статистическом анализе пороговых значений, показали низкую эффективность для обнаружения нового класса DoS-атак прикладного уровня - низкоинтенсивных атак (low-rate-DoS) [1]. Общие сведения по проблеме и некоторые новые подходы рассматриваются в следующих работах: в [2] рассматриваются категории DoS-атак и общие подходы к обнаружению таких атак; в [3] и [4] представлен опыт создания лабораторной инфраструктуры для моделирования и изучения low-rate атак и результаты выделения характеристик атак, используемых в дальнейшем при разработке новых методов обнаружения; в [5] рассматриваются результаты исследований по разработке метода обнаружения на основе характеристик подобия атакующего трафика; вопросы эффективности типовых средств защиты информации против low-rate DDoS атак проанализированы в [1]; в [6] описывается использование многослойного персептрона (multi-layer perceptron, MLP) для обнаружения распределённых во времени сетевых событий с предварительной кластеризацией событий.

Основные представители данного класса атак - HTTP-flood [4,5], R-U-Dead-Yet? (сокращённо RUDY) [3], SlowLoris [7]. В работе [8] проведён анализ сценариев различных низкоинтенсивных атак, в результате которого показано, что во всех исследованных сценариях используются пакеты прикладных сервисов, повторяющиеся по малой временной шкале с определенной частотой.

Для рассмотренных сценариев атак характерны следующие признаки:

- генерация периодического трафика малого объёма;

- атакующее воздействие составляют однотипные элементы трафика;

- отдельный запрос или сетевой пакет нельзя определить как аномалию.

Во всех сценариях временной интервал между отдельными пакетами

значительно меньше таймаута окончания соединения (connection time out). Но так как значение connection time out практически для всех приложений является реконфигурируемым параметром, нельзя заранее установить точное значение временного интервала между отправкой пакетов. Таким образом, для проведения атаки достаточно, чтобы очередной пакет мог прийти в любой момент из интервала ожидания.

Модель низкоинтенсивной DoS- атаки

Для обнаружения атаки необходимо выявлять периодическое появление определённого однотипного набора пакетов во входящем трафике, после чего относить этот набор к нормальному или аномальному классу (под аномалией будем понимать наличие низкоинтесивной атаки). При этом порядок, в котором следуют пакеты в сценарии, не будет играть значительной роли для обнаружения атаки. Информация о времени прихода пакетов учитывается при разбиении входящего трафика на "окна".

Свойствами набора пакетов, позволяющими отнести его к аномальному классу, являются, по значимости, следующие:

:

1) Полезная нагрузка протокола HTTP.

2) Порядок поступления пакетов.

3) Дельта времени между соседними пакетами.

Первое свойство позволяет определить тип пакета, второе - отнести набор пакетов к определённому сценарию.

Задачу разработки метода обнаружения атаки можно представить как разработку классификатора наборов сетевых пакетов который

должен выдавать метки классов (аномалия или нормальные данные) для временного ряда элементов ei-z ,..,ei_1, ei:

Cs:sI ф 0

ei) =

Cd : di ф 0 , (1)

где С ~ длина истории событий, а событие е1 представляет собой вектор атрибутов события т.е.

С, =< х] : j = 0..V-1 > ej =<xj:i[ = Q..V — 1 >, V -

количество

рассматриваемых атрибутов.

Исходя из этого, задача обнаружения атаки может быть сведена к

классификации многомерных временных рядов. Из работы [9] следует, что регрессионные и авторегрессионные модели и методы для решения поставленной задачи не подходят. Наиболее перспективным видится использование комбинированных нейросетевых моделей [8, 10, 11].

Сейчас для классификации временных рядов, представленных в виде последовательности атрибутов событий активно используется класс нейросетевых моделей на основе рекуррентных нейронных сетей (сети Хопфилда, Джордана и их варианты) [12, стр. 15].

Сети данной архитектуры имеют некоторые особенности, которые делают их использование нежелательными для решения задачи, поставленной в исследовании:

:

1) Склонность рекуррентных нейронных сетей к переобучению.

2) Обучающая выборка большого размера. Специфика решаемой задачи делает сбор дополнительных обучающих векторов нежелательным, а иногда невозможным.

3) Невысокая точность предсказания (классификации) на последовательностях событий малой длины, для которых характерен высокий уровень шума [13].

Альтернативный подход к классификации временных рядов заключается в следующем:

- использование скользящего окна для выделения признаков;

- классификатор обучается непосредственно для окна [12]. Поясним идею подхода. Пусть имеется ряд

/ = 0..N -1 i = 0.. N — 1, где N - длина временного ряда. Разделим временной

ряд на отдельные участки (окна) В, где каждое окно будет являться вектором определенной длины. Длина окна представляет собой длину истории событий Z (см. формулу 1). 1. k = 0

2. for i = 0:N-1:

3- iZ = ei ^modz = ei

(алгоритм 1) 4. if i mod Z = = Z-1: 5. k = k + 1

Основной проблемой при применении данного подхода при решении поставленной задачи является представление элемента классифицируемого

временного ряда в виде вектора, т.е. ei =< xj : j = 0..V-1 > , где V - число

анализируемых атрибутов. Вектора, которые будут получены при

«развертывании» многомерного временного ряда, будут иметь В-значительную размерность \Bk\ = Z -V Э-,- = 1 V, что приводит к

возрастанию вычислительной сложности метода.

Однако, это представляется частной проблемой. Для её решения предлагается использовать методы кластеризации и снижения размерности данных.

Применение методов снижения размерности данных в решаемой задаче подробно рассматриваются в работах [8,14,15].

При проведении экспериментальных исследований для понижения размерности будет использоваться алгоритм кластеризации на основе самоорганизующейся карты Кохонена (self-organizing map, SOM) [16].

Метод обнаружения низкоинтенсивных атак

Как и любой метод машинного обучения, описываемый метод обнаружения низкоинтенсивных атак может быть представлен в виде двух последовательных фаз - фазы обучения и фазы классификации.

Фаза обучения подчиняется общим принципам построения моделей данных, и конкретизируется только используемым методом обучения [8].

В фазе обучения строится классификатор. Это происходит путём итерационной настройки параметров классификатора на обучающем множестве. Далее в этой фазе происходит оценка (верификация) полученной модели прогнозирования временных рядов на тестовом множестве, состоящем из проверочных примеров. Как множество обучающих примеров, так и множество проверочных примеров должны быть предварительно, хотя бы частично, классифицированы экспертом.

В случае совпадения результата проверки обученного классификатора на тестовом множестве с ожидаемым результатом, и если, при этом, результат достаточен для классификации, переходят к следующей фазе. В

результате фазы обучения мы получаем классификатор с настроенными параметрами, достаточными для успешной классификации.

Целью этапа классификации является вычисление меток классов для ранее неизвестных наборов данных с применением обученного классификатора. Результат этапа классификации - набор меток классов для ранее неизвестных наборов данных.

Можно сформулировать шаги метода.

1. Построить отдельную искусственную нейронную сеть для каждого контролируемого сервиса (порта). Сети функционируют аналогично друг другу. Далее будет рассматриваться выявление атак на один сервис.

2. Для выбранного сервиса принять от источника данных некоторое множество сетевых пакетов, число которых определяется выбранным значением величины окна.

3. На шаге снижения размерности формируются вектора для самоорганизующейся карты.

4. Снизить размерность входных данных. Для разработанного метода -кластеризация векторов самоорганизующейся картой.

5. Сформировать вектора для многослойного персептрона (MLP), где каждый компонент вектора будет соответствовать номеру кластера, в который распределился пакет. Таким образом, входной вектор представляет собой набор кластеризованных сетевых пакетов, который сохраняет информацию о последовательности (порядке) поступления внутри окна. Для этих пакетов уже будет установлена их принадлежность к определённому типу.

6. Вектора анализируются на MLP, выявленные в трафике на шаге 4 наборы классифицируются. В результате осуществляется разделение на два класса - атака или норма.

J

Следует отметить, что разделение входящих пакетов по адресам источников оказывается ненужным, т.к. в данном случае не влияет ни на порядок поступления пакетов, ни на их содержимое.

Шаги метода подробно описаны в [8]. Необходимо отметить следующее:

1. В ходе работы использовались предварительно собранные наборы векторов двух типов - сформированные из "чистого" трафика, и из трафика, содержащего атакующие пакеты. Собранные пакеты были разбиты на окна-интервалы в соответствии с алгоритмом 1 и формулой 2.

sbyte

w = u---— (2)

8 • P. , (2)

min

где Sbyte - скорость передачи информации в сети в байтах в секунду,

Pmin - теоретически возможный минимальный размер пакета,

u - коэффициент уровня использования канала передачи информации.

При каждой следующей итерации работы окно сдвигается на фиксированное число пакетов. Значение сдвига определяется экспериментально на фазе обучения, и должно обеспечивать перекрытие с предыдущим окном, т.е. не превышать его размера. Выбор значения сдвига зависит от аппаратной производительности платформы и скорости защищаемой сети. Такой подход позволяет точно установить начальный набор, в котором зафиксировано начало атаки.

Пакеты из интервала-окна преобразуются во входные вектора для самоорганизующейся карты. Формат входного вектора прямо следует из перечня свойств, позволяющих отнести пакет к атакующему классу (таблица 1).

2. Самоорганизующаяся карта используется для кластеризации событий в узлы матрицы, в которых группируются пакеты определённых типов (напр., определённых прикладных протоколов).

Таблица № 1

Состав компонентов входного вектора

№ байта Содержание

1 Дельта временной метки от предыдущего пакета, нормализованная в диапазоне 0-1

2 - 51 Данные заголовка и полезной нагрузки пакета в Л8СП-2 кодировке, нормализованные в диапазоне 0-1 [6, 17]

В фазе классификации на вход самоорганизующейся карты последовательно подаются вектора из текущего окна. SOM распределяет их по кластерам. В итоге каждая компонента выходного вектора самоорганизующейся карты соответствует одному сетевому пакету. Этот выходной вектор имеет вид <Ni, N2,..., Ni>, где i определяется размером окна, а N указывает на то, к какому кластеру самоорганизующейся сети принадлежит данный пакет.

3. Выходной вектор самоорганизующейся карты является входным вектором многослойного персептрона.

4. После этого, с учётом информации о принадлежности пакета той или иной группе-сценарию, вектора подаются на вход MLP, который обучен распознавать атакующие последовательности пакетов.

В фазе классификации персептрон анализирует очередное окно, классифицируя его как атаку или норму. Ответы интерпретируются следующим образом:

- если yn>0.7 и ya<0.3, то набор пакетов нормальный;

- если yn<0.3 и ya>0.7, то набор пакетов атакующий;

- иначе - ИНС не может классифицировать пакет.

Результаты анализа («норма», «атака», «невозможно классифицировать») выводятся по каждому окну.

Для проведения экспериментальных исследований была разработана архитектура и программная реализация прототипа системы обнаружения низкоинтенсивных атак на web-сервисы на основе разработанного метода.

Система использует сенсор на основе библиотеки libpcap [18].

Экспериментальное исследование и оценка эффективности

разработанного метода

Обучение сети Кохонена происходит на отдельных пакетах, последовательно выбираемых из окна. Перед подачей на SOM и MLP все данные нормируются в диапазон [0,1]. Самоорганизующаяся сеть имеет размеры 25 на 20 и использует гексагональную структуру связей нейронов.

Как показано выше, размер окна определяется по формуле 2. На эффективную величину влияют ограничения технологии Ethernet [19] и утилизация полосы пропускания сетевого канала. При проведении экспериментального исследования использовались следующие значения:

- размер окна 1500 пакетов - для утилизации канала передачи в 1% при скорости сети 100 Мбит/с [19,20];

- размер окна 30 пакетов - минимальное значение числа пакетов в сценарии, применяемое в правилах системы обнаружения атак Snort для низкоинтенсивных атак.

- размер окна 180 - соответствует скорости поступления 1 пакет в секунду.

Используется многослойный персептрон со следующей структурой - два скрытых слоя с числом нейронов 21 и 7 (подобрано в ходе экспериментов), выходной слой. Активационная функция в скрытый слоях - гиперболический тангенс, в выходном слое - линейная. Метод обучения - trainlm.

Для обучения искусственной нейронной сети моделировались два типа сетевого трафика - нормальный и атакующий, с имитацией распределённой низконтенсивной атаки с 10 адресов.

Размер нормального набора - 459565 пакетов.

Размер атакующего набора - 428890 пакетов.

Распознавание проводилось на тестовой выборке. Оценивалась близость к эталону. Распознавание считалось успешным, если абсолютная разница между эталонными и фактическими значениями для каждой компоненты выходного вектора не превосходила 0.3.

Результаты экспериментального исследования представлены в таблице

2.

Таблица 2

Результаты работы прототипа системы обнаружения атак

№ Длина строки (вектора) Величина обуч. выборки для БОМ, пакетов Величина обуч. выборки для БЕКЕТ, окон Размер окна Размер сдвига Результат на тестовой выборке

Ошибка 1 рода Ошибка 2 рода

1. 20 5000 4000 30 3 8.1827е-04 0.0050

2. 50 30000 24000 30 3 0.0367 0.0172

3. 20 5000 800 180 18 0 3.4378е-04

4. 50 30000 4800 180 18 0.0449 0.0449

5. 20 5000 90 1500 150 0.0554 0.5287

6. 50 30000 540 1500 150 0 0.0033

7. 20 5000 900 30 15 0.0118 0.0900

8. 50 30000 5400 30 15 0.0289 0.0232

9. 20 5000 160 180 90 0.0011 0.1124

10. 50 30000 960 180 90 0 0.1447

11. 20 5000 20 1500 750 0.1154 0.8386

12. 50 30000 120 1500 750 0 0.0471

Ошибка первого рода (ложное срабатывание) в худшем случае не превышает 0,12% в эксперименте № 11. Ошибка второго рода (пропуск цели,

фактически - результативность распознавания) в наихудшем случае составляет 0,84% в том же эксперименте. Результаты 11 эксперимента обусловлены минимальным размером анализируемых данных и обучающей выборки, использовавшимся в анализируемом эксперименте.

Как видно из таблицы, наилучшие результаты разработанный метод показал в экспериментах 1, 6, 12, что подтверждает теоретические предположения. Результаты 12 эксперимента показывают теоретическую возможность эффективного применения метода на высоких скоростях поступления пакетов [25,26].

Анализ техник противодействия низкоинтенсивным атакам

Рассмотрим техники, применяемые сегодня для обнаружения и противодействия low-rate DDoS атакам. Для этого используют конфигурирование правил межсетевых экранов и систем обнаружения вторжений (IDS). Правила межсетевого экранирования рассматриваются на примере iptables [21], правила систем обнаружения вторжений - на примере Snort [22].

1) Статический лимит соединений iptables -I INPUT -p tcp --syn --dport 80 -m connlimit \ --connlimit-above 5 --connlimit-mask 32 -j DROP iptables -I INPUT -p tcp --dport 80 -j ACCEPT

Правила ограничивают число соединений пятью с одного узла. При превышении этого лимита попытка соединения запрещается. Если у атакующего достаточно большой ботнет, он всё равно может успешно атаковать. Также значение connlimit должно быть очень низким, чтобы защитить web-сервер. Это может существенно затруднить использование сервера легитимными клиентами и вызывает большое число ложных

срабатываний (false positives). Такие правила затрудняют или исключают использование NAT и proxy-серверов.

2) Динамический лимит соединений

iptables -I INPUT -p tcp -m state --state NEW --dport 80\ -m recent --name slowloris --set

iptables -I INPUT -p tcp -m state --state NEW --dport 80\ -m recent --name slowloris --update \ --seconds 15 --hitcount 10 -j DROP iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Первые два правила проверяют новые соединения и число соединений с одного ip-адреса. Если с одного ip-адреса создаётся более 10 соединений в течение 15 секунд, то такие пакеты блокируется. Для такого набора правил характерно неприемлемо большое число ложных срабатываний [23]. Легитимные подключения хостов через один NAT и proxy-сервер также будут удовлетворять этим правилам и будут блокироваться межсетевым экраном.

3) Применение правил IDS

Правила Snort, входящие в состав набора правил по умолчанию [24], основаны на поиске строковых шаблонов, специфичных для определённых сценариев атак, и контроле пороговых значений пакетов в единицу времени. alert tcp any any -> any any (msg:"low-rate DDoS";

flow:to_server,established; content:"some DoS tool user-agent specific content"

detection_filter:track by_src, count 20, seconds 20; metadata:service http; classtype:attempted-dos; sid:1234572; rev:2;) Такие правила легко обходятся, поскольку параметры сценария и user-агента легко реконфигурируются. Кроме того, как и в случае правил

межсетевого экрана, основанных на контроле числа соединений, эти правила IDS генерируют много ложных срабатываний.

Заключение

В статье представлено описание разработанного метода обнаружения низкоинтенсивных атак «отказ в обслуживании», основанного на использовании гибридной нейронной сети.

Результаты сравнительного анализа применяемых методов обнаружения low-rate атак показывают, что методы защиты серверов, основанные на изменении конфигурации сервера или применении правил межсетевых экранов и IDS не позволяют эффективно защищаться от low-rate DDoS. Для этих методов характерно высокий уровень ложных срабатываний (ошибок первого рода).

Экспериментальная оценка эффективности предложенного в статье метода показала высокий процент обнаружения атак за счёт снижения числа необнаруженных атак (ошибок второго рода) и низкий уровень ложных срабатываний, при этом скорость работы метода зависит лишь от скорости обработки поступающих пакетов.

Литература

1. Moustis D., Kotzanikolaou P. Evaluating security controls against HTTP-based DDoS attacks Fourth International Conference on Information, Intelligence, Systems and Applications (IISA), 2013. URL: ieeexplore.ieee.org/abstract/document/6623707/

2. C. Douligeris and A. Mitrokotsa, "DDoS attacks and defense mechanisms: classification and state-of-the-art," Elsevier Computer Networks, vol. 44, no. 5, pp. 643-665, April 2004.

3. E. Damon, J. Dale, E. Laron, J. Mache, N. Land, and R. Weiss, "Hands-on denial of service lab exercises using slowloris and rudy," in Proceedings of the

2012 Information Security Curriculum Development Conference, ser. InfoSecCD '12. New York, NY, USA: ACM, 2012, pp. 21-29. URL: doi.acm.org/10.1145/2390317.2390321

4. Ievgen Duravkin; Anastasiya Loktionova; Anders Carlsson Method of slow-attack detection 2014 First International Scientific-Practical Conference Problems of Infocommunications Science and Technology URL: ieeexplore.ieee.org/document/6992341/

5. Maurizio Aiello; Enrico Cambiaso; Silvia Scaglione; Gianluca Papaleo A similarity based approach for application DoS attacks detection 2013 IEEE Symposium on Computers and Communications (ISCC). URL: ieeexplore.ieee.org/document/6754984/

6. Абрамов Е.С., Сидоров И.Д., Метод обнаружения распределённых информационных воздействий на основе нейронной сети // Известия ЮФУ. Технические науки, 2009, №. 11 (100) С. 154-164.

7. "Slowloris http dos," URL: ha.ckers.org/slowloris, Tech. Rep.

8. Тарасов Я.В. Модель низкоинтенсивной сетевой атаки "отказ в обслуживании" // МГТУ им. Баумана, В сборнике трудов VII всероссийской научно-технической конференции "Безопасность информационных технологий " (BIT - 2016), с. 75-80.

9. Chuchueva I.A. Model prediction of time series based on a sample of maximum similarity // PhD degree work. M.:2012, 147 с.

10. Fogler H.R. A pattern recognition model for forecasting // Management science. 1974, No.8. pp. 1178 - 1189.

11. Discovering Patterns in Electricity Price Using Clustering Techniques / F. Martinez Alvarez [at al.] // ICREPQ International Conference on Renewable Energies and Power Quality, Spain, Sevilla, 2007: URL: icrepq.com/icrepq07/245-martinez.pdf.

12. Haykin. Neural Networks: A Comprehensive Foundation. Prentice Hall, Upper Saddle River, New Jersey, 2nd edition, 1999, 842 p.

13. Lee Giles, Steve Lawrence, Ah Chung Tsoi Noisy Time Series Prediction using Recurrent Neural Networks and Grammatical Inference // Machine Learning July 2001, Volume 44, Issue 1, pp 161-183.

14. Fodor,I. (2002) "A survey of dimension reduction techniques". Center for Applied Scientific Computing, Lawrence Livermore National, Technical Report UCRL-ID-148494, 26 p.

15. Van der Maaten, L.J.P.; Hinton, G.E. (Nov 2008). "Visualizing High-Dimensional Data Using t-SNE" (PDF). Journal of Machine Learning Research 9: pp.2579-2605.

16. Kohonen, T. Self-Organizing Maps. Third, extended edition. Springer, 2001, 487 p.

17. Ghost, A.K., et al. "Detecting Anomalous and Unknown Intrusions Against Programs in Real-Time". DARPA SBIR Phase I Final Report. Reliable Software Technologies, pp. 259-268.

18. Command-line packet analyzer tcpdump. URL: tcpdump.org/

19. Robert Graham, "What's the max speed on Ethernet?" // URL: blog.erratasec.com/2013/10/whats-max-speed-on-ethernet.html#.UlbwuNK8Dp8

20. Stephen Northcutt, Judy Novak (2002) "Network Intrusion Detection An Analyst's Handbook" // Sams Publishing, 346 pp.

21. "The netfilter iptables project," URL: netfilter.org/projects/iptables/index.html.

22. "The snort project," URL: snort.org.

23. "Slowloris dos mitigation guide," URL:.funtoo.org/wiki/Slowloris DOS Mitigation Guide.

24. "Snort: snort-rules," URL: snort.org/snort-rules/.

25. Бабенко Г.В., Белов С.В. Анализ трафика TCP/IP на основе методики допустимого порога и отклонения // Инженерный вестник Дона, 2011, №2 URL: ivdon.ru/ru/magazine/archive/n2y2011/446.

26. Георгица И.В., Гончаров С.А., Мохов В.А. Мультиагентное моделирование сетевой атаки типа DDoS // Инженерный вестник Дона, 2013, №3 URL: ivdon.ru/ru/magazine/archive/n3y2013/1852.

References

1. Moustis D., Kotzanikolaou P. Evaluating security controls against HTTP-based DDoS attacks. Fourth International Conference on Information, Intelligence, Systems and Applications (IIS A), 2013 URL:http://ieeexplore.ieee.org/abstract/document/6623707/

2. C. Douligeris and A. Mitrokotsa, "DDoS attacks and defense mechanisms: classification and state-of-the-art," Elsevier Computer Networks, vol. 44, no. 5, pp. 643-665, April 2004.

3. E. Damon, J. Dale, E. Laron, J. Mache, N. Land, and R. Weiss, "Hands-on denial of service lab exercises using slowloris and rudy" in Proceedings of the 2012 Information Security Curriculum Development Conference, ser. InfoSecCD '12. New York, NY, USA: ACM, 2012, pp. 21-29. URL: doi.acm.org/10.1145/2390317.2390321

4. Ievgen Duravkin; Anastasiya Loktionova; Anders Carlsson Method of slow-attack detection 2014 First International Scientific-Practical Conference Problems of Infocommunications Science and Technology URL: ieeexplore.ieee.org/document/6992341/

5. Maurizio Aiello; Enrico Cambiaso; Silvia Scaglione; Gianluca Papaleo A similarity based approach for application DoS attacks detection 2013. IEEE Symposium on Computers and Communications (ISCC) URL: ieeexplore.ieee.org/document/6754984/

6. Abramov E.S., Sidorov I.D. Izvestiya YuFU. Tekhnicheskie nauki, 2009, No. 11 (100).

7. "Slowloris http dos," URL: ha.ckers.org/slowloris, Tech. Rep.

8. Tarasov Y.V., Model' nizkointensivnoy setevoy ataki "otkaz v obsluzhivanii". MGTU im. Baumana, v sbornike trudov VII vserossijskoj nauchno-tehnicheskoj konferencii "Bezopasnost' informacionnyh tehnologij " (BIT - 2016). Pp. 75-80.

9. Chuchueva I.A. Model prediction of time series based on a sample of maximum similarity PhD degree work. M.:2012, 147 p.

10. Fogler H.R. Management science. 1974, No.8. pp. 1178 - 1189.

11. Discovering Patterns in Electricity Price Using Clustering Techniques. F. Martinez Alvarez [at al.] ICREPQ International Conference on Renewable Energies and Power Quality, Spain, Sevilla, 2007: URL:http://www.icrepq.com/icrepq07/245-martinez.pdf.

12. Haykin. Neural Networks: A Comprehensive Foundation. Prentice Hall, Upper Saddle River, New Jersey, 2nd edition, 1999, 842 pages.

13. Lee Giles, Steve Lawrence, Ah Chung Tsoi Machine Learning July 2001, Volume 44, Issue 1, pp. 161-183.

14. Fodor,I. (2002) "A survey of dimension reduction techniques". Center for Applied Scientific Computing, Lawrence Livermore National, Technical Report UCRL-ID-148494, 26 p.

15. Van der Maaten, L.J.P.; Hinton, G.E. (Nov 2008). "Visualizing High-Dimensional Data Using t-SNE" (PDF). Journal of Machine Learning Research 9: PP. 2579-2605.

16. Kohonen, T. Self-Organizing Maps. Third, extended edition. Springer, 2001, 487 p.

17. Ghost, A.K., et al. "Detecting Anomalous and Unknown Intrusions Against Programs in Real-Time". DARPA SBIR Phase I Final Report. Reliable Software Technologies, pp. 259-268.

18. Command-line packet analyzer tcpdump. URL: tcpdump.org/.

19. Robert Graham, "What's the max speed on Ethernet?" URL: blog.erratasec.com/2013/10/whats-max-speed-on-ethernet.html#.UlbwuNK8Dp8

20. Stephen Northcutt, Judy Novak (2002) "Network Intrusion Detection An Analyst's Handbook". Sams Publishing, 346 pp.

21. "The netfilter iptables project," URL: netfilter.org/projects/iptables/index.html.

22. "The snort project," URL: snort.org.

23. "Slowloris dos mitigation guide," URL: funtoo.org/wiki/Slowloris DOS Mitigation Guide.

24. "Snort: snort-rules," URL: snort.org/snort-rules/.

25. Babenko G.V., Belov S.V. Inzenernyj vestnik Dona (Rus), 2011, №2. URL: ivdon.ru/ru/magazine/archive/n2y2011/446.

26. Georgica I.V., Goncharov S.A., Mohov V.A. Inzenernyj vestnik Dona (Rus), 2013, №3. URL: ivdon.ru/ru/magazine/archive/n3y2013/1852.

4. Tzermias Z. et al. Combining static and dynamic analysis for the detection of malicious documents, Proceedings of the Fourth European Workshop on System Security. ACM, 2011, pp. 4.

5. MITRE Corporation, Common Weakness Enumeration, 2014. Available at: http://cwe.mitre.org/.

6. SecurityLab, Microsoft ne budet ispravlyat' uyazvimost' v Internet Explorer 8 semimesyachnoy davnosti, 2014 [SecurityLab, Microsoft will not fix the vulnerability in Internet Explorer 8 seven-month-old]. Available at: http://www.securitylab.ru/news/453198.php.

7. MITRE Corporation, Common Weakness Enumeration. Available at: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2389.

8. Microsoft, KB-917150, 2014. Available at: http://support.microsoft.com/kb/917150/ru, свободный.

9. MITRE Corporation, Common Weakness Enumeration. Available at: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3431.

10. Arora A. et al. An empirical analysis of software vendors' patch release behavior: impact of vulnerability disclosure, Information Systems Research, 2010, Vol. 21, No. 1, pp. 115-132.

Статью рекомендовал к опубликованию д.т.н., профессор Н.И. Витиска.

Катаргин Дмитрий Андреевич - Южный федеральный университет; e-mail:

dakatargin@sfedu.ru; 346880, Ростовская обл., г. Батайск, Северный Массив, 15, кв. 51; тел.:

+79286211661; аспирант.

Katargin Dmitry Andreevich - Southern Federal University; e-mail: dakatargin@sfedu.ru; 15,

Severniy Massiv, kv. 51 Bataysk, Rostovskaya obl, 346880; phone: +79286211661; postgraduate

student.

УДК 004.056

Я.В. Тарасов

МЕТОД ОБНАРУЖЕНИЯ НИЗКОИНТЕНСИВНЫХ DDOS-АТАК НА ОСНОВЕ ГИБРИДНОЙ НЕЙРОННОЙ СЕТИ

Представлены результаты разработки метода обнаружения сетевых атак типа «отказ в обслуживании» на различные сервисы хранения, обработки и передачи данных в сети Интернет. Основное внимание уделено обнаружению низкоинтенсивных атак типа «отказ в обслуживании». Опровергается мнение, что специальные средства для обнаружения атак «отказ в обслуживании» (denial of service, DoS) не требуются, поскольку факт DoS-атаки невозможно не заметить. Показано, что для эффективного противодействия необходимо знать тип, характер и другие показатели атаки «отказ в обслуживании», а системы обнаружения распределённых атак позволяют оперативно получить эти сведения. Кроме того, использование такого рода систем обнаружения атак позволяет существенно уменьшить время определения факта проведения атаки - с 2-3 суток до нескольких десятков минут, что снижает затраты на трафик и время простоя атакуемого ресурса. В качестве модуля обнаружения используется гибридная нейронная сеть на основе сети Кохонена и многослойного персептрона. Описана работа созданного прототипа системы обнаружения атак, методика формирования обучающей выборки, ход экспериментов и топология экспериментального стенда. Представлены результаты экспериментального исследования прототипа, в ходе которых ошибки первого и второго рода составили соответственно 3,16 и 1,23 %.

Обнаружение атак; низкоинтенсивные DDoS-атаки; гибридная нейронная сеть; безопасность вычислительных сетей.

Y.V. Tarasov

MODELING AND STUDY OF LOW-INTENSITY DDOS-ATTACKS ON BGP-INFRASTRUCTURE

Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.