CC BY
158
УДК 004.75: 004.492.3
РАЗРАБОТКА СИСТЕМЫ ОБНАРУЖЕНИЯ РАСПРЕДЕЛЁННЫХ СЕТЕВЫХ АТАК ТИПА «ОТКАЗ В ОБСЛУЖИВАНИИ»
Е. В. Щерба, Д. А. Волков
Предложена методика, разработана архитектура и построена реализация системы обнаружения сетевых атак типа «отказ в обслуживании». Методика основана на моделировании исследуемой сети сетями массового обслуживания с последующей оценкой вероятности потерь заявок в сети.
Ключевые слова: обнаружение сетевых атак, отказ в обслуживании.
Традиционные механизмы обеспечения безопасности — межсетевые экраны и сигнатурные системы обнаружения вторжений — не являются эффективными средствами для обнаружения низкоактивных сетевых атак типа «отказ в обслуживании» (ВВоБ-атак) прикладного уровня и защиты от них [1].
Фундаментальной предпосылкой для обнаружения атак является построение контрольных характеристик трафика при работе сети в штатных условиях с последующим поиском аномалий в структуре трафика (отклонения от контрольных характеристик). Для обнаружения аномалий могут применяться статистические критерии (среднеквадратичное отклонение, хи-квадрат, отклонение от стандартного нормального распределения, значительное увеличение энтропии и т.д.), кластеризация, метод обнаружения точки перехода, спектральный анализ и др. [2-4]. Каждый из указанных методов имеет определённые достоинства и недостатки и не является универсальным для обнаружения всех типов сетевых атак. Достаточно часто для расчёта параметров потоков данных в вычислительных сетях применяют математические модели в виде сетей массового обслуживания (СеМО). В данной работе для обнаружения ВВоБ-атак предложен метод оценки вероятности потери произвольной заявки при её прохождении по СеМО. Поскольку атаки прикладного уровня на различные сетевые службы происходят независимо, в рамках каждой службы для моделирования узлов можно использовать одноканальную систему массового обслуживания с очередью длины т.
Рассматривая отдельный узел СеМО, можно предположить, что вся сеть в целом и выбранный узел в частности функционируют в стационарном режиме. Извне поступает пуассоновский поток заявок с параметром А. Узел содержит одно устройство обслуживания заявок, для которого задана интенсивность ^ их обработки. После обработки заявка покидает узел. Если во время поступления заявки обслуживающее устройство занято обработкой другой заявки, то входящая заявка становится в очередь. Если заявка поступает и очередь полностью заполнена, заявка теряется.
Пусть для узлов сети задан вектор интенсивностей входящих потоков заявок извне А , вектор интенсивностей обработки заявок и субстохастическая матрица вероятностей переходов заявок Р. В работе [5] предложена итерационная процедура расчёта вектора интенсивностей входящих в узлы исходной сети потоков (суммарных потоков извне и из других узлов) и скорректированной субстохастической матрицы вероятностей переходов заявок р. Исходя из потребности оценки вероятности потерь заявок в сети, предложена методика построения цепи Маркова с дискретным временем, соответствующей пути произвольной заявки по узлам. Для этого вводятся расщеплённые состояния этой цепи, т. е. состоянием называется упорядоченная пара чисел (*,^), где г соответствует номеру узла, в котором находится заявка (меняется в пределах от 1 до 3), а d — количеству занятых мест в очереди узла (меняется
в пределах от 1 до шг + 1). Состояние (г, га* + 1) соответствует переполненной очереди в узле г. Начальное распределение данной цепи р можно рассчитать как
РІ 1 (х_ Р±
-гг пі Аі 1 V Рі
р {М)}- і
т т
3 1 Р
Е а,- 1 - г
3 = 1
Кроме того, вводятся два дополнительных состояния (Б) и (^). Первое соответствует успешной обработке заявки, а второе — потере заявки. Начальные вероятности этих состояний равны нулю. Далее определяется матрица вероятностей переходов Р заданной цепи Маркова, соответствующей пути произвольной заявки по узлам. Состояния (Б) и (^) не сообщаются. Цепь, попав в одно из этих состояний, уже из него не выходит. Вероятность перехода из состояния (г^) в состояние (^,^) можно рассчитать по формуле
— 1 /
Р3 І і _ Рз_
^3—1\ Рз
р {(г,^ — і,ю)} = Різ---------т
Рз
1 -
Рз "
где Різ — элементы скорректированной субстохастической матрицы вероятностей переходов заявок Р (коррекция необходима, поскольку матрица Р устаналивается для СеМО без потерь заявок). Вероятность успешной обработки заявки в узле равна
Р {(М) £)} = р ,
где Р —вероятность успешной обработки заявки в узле г (после чего заявка покидает сеть); она вычисляется в ходе итерационной процедуры на основе матрицы Р и
3
р* = 1 — ^2 'Рік. Если заявка находится в переполненной очереди, вероятность её потери к= 1
(перехода цепи в состояние (^)) равна
р {(г, ті + 1) — ^)} = 1.
Все остальные вероятности равны нулю.
Для оценки вероятности потери заявки при стационарном режиме работы сети необходимо рассчитать член вектора р-к){(^)}, соответствующий состоянию (^) на к-м шаге заданной цепи Маркова, где р-к) = р ■ (Р)к.
Установка параметра к происходит с помощью дополнительной итерационной процедуры. По результатам расчёта вычисляется р^ —вероятность того, что на к-м шаге заданной цепи Маркова заявка всё еще находится в сети, т. е. не потеряна и не обработана полностью:
Рк = 1 — Р“,{(^)}— р<к'){(5)}.
Если в результате вычислений р^ превышает некоторую наперёд заданную точность,
то к увеличивается и расчёт повторяется до тех пор, пока не будет достигнута заданная точность указанной вероятности.
На основе представленной методики разработана архитектура и построена программная реализация системы обнаружения ВВоБ-атак (рис. 1). Разработанная методика позволяет получать адекватную оценку частоты потери заявок в сети в случае,
если СеМО находится в стационарном режиме. При возникновении ВВоБ-атаки узлы СеМО выходят из стационарного режима на некоторое время, после чего устанавливается стационарный режим с другими параметрами. На время перехода между режимами методика неприменима. Так как время перехода между режимами зависит от топологии сети и параметров узлов, оценка эффективности разработанной методики и её сравнительный анализ с другими подходами представляет отдельную задачу.
Рис. 1. UML-диаграмма деятельности системы обнаружения
ЛИТЕРАТУРА
1. http://www.cisco.com/web/RU/netsol/ns480/whitepapers.html — Предотвращение атак с распределенным отказом в обслуживании (DDoS). Дата обращения: 30.03.2013.
2. Li Muh., Li Min., and Jiang X. DDoS attacks detection model and its application // WSEAS Trans. Computers. 2008. V. 7. No. 8. P. 1159-1168.
3. Wang H., Zhang D., and Shin K. G. Detecting SYN flooding attacks // Proc. IEEE INF0C0M’2002. New York City, 2002. P. 1530-1539.
4. Hussain A., Heidemann J., and Papadopoulos C. A framework for classifying denial of service attacks // Proc. ACM SIGCOMM. Karlsruhe, Germany, 2003. P. 99-110.
5. Щерба Е. В., Щерба М. В. Разработка архитектуры системы обнаружения распределенных сетевых атак типа «отказ в обслуживании» // Омский научный вестник. Сер. Приборы, машины и технологии. 2012. №3 (113). С. 280-283.
