Development of a DDoS-attack detection system using queuing theory.pdf Традиционные механизмы обеспечения безопасности — межсетевые экраны и сигнатурные системы обнаружения вторжений — не являются эффективными средствами для обнаружения низкоактивных сетевых атак типа «отказ в обслуживании» (DDoS-атак) прикладного уровня и защиты от них [1]. Фундаментальной предпосылкой для обнаружения атак является построение контрольных характеристик трафика при работе сети в штатных условиях с последующим поиском аномалий в структуре трафика (отклонения от контрольных характеристик). Для обнаружения аномалий могут применяться статистические критерии (среднеквадратичное отклонение, хи-квадрат, отклонение от стандартного нормального распределения, значительное увеличение энтропии и т.д.), кластеризация, метод обнаружения точки перехода, спектральный анализ и др. [2-4]. Каждый из указанных методов имеет определённые достоинства и недостатки и не является универсальным для обнаружения всех типов сетевых атак. Достаточно часто для расчёта параметров потоков данных в вычислительных сетях применяют математические модели в виде сетей массового обслуживания (СеМО). В данной работе для обнаружения DDoS-атак предложен метод оценки вероятности потери произвольной заявки при её прохождении по СеМО. Поскольку атаки прикладного уровня на различные сетевые службы происходят независимо, в рамках каждой службы для моделирования узлов можно использовать одноканальную систему массового обслуживания с очередью длины m. Рассматривая отдельный узел СеМО, можно предположить, что вся сеть в целом и выбранный узел в частности функционируют в стационарном режиме. Извне поступает пуассоновский поток заявок с параметром А. Узел содержит одно устройство обслуживания заявок, для которого задана интенсивность ^ их обработки. После обработки заявка покидает узел. Если во время поступления заявки обслуживающее устройство занято обработкой другой заявки, то входящая заявка становится в очередь. Если заявка поступает и очередь полностью заполнена, заявка теряется. Пусть для узлов сети задан вектор интенсивностей входящих потоков заявок извне А , вектор интенсивностей обработки заявок ТТ и субстохастическая матрица вероятностей переходов заявок P. В работе [5] предложена итерационная процедура расчёта вектора интенсивностей ТТ входящих в узлы исходной сети потоков (суммарных потоков извне и из других узлов) и скорректированной субстохастической матрицы вероятностей переходов заявок р. Исходя из потребности оценки вероятности потерь заявок в сети, предложена методика построения цепи Маркова с дискретным временем, соответствующей пути произвольной заявки по узлам. Для этого вводятся расщеплённые состояния этой цепи, т. е. состоянием называется упорядоченная пара чисел (i,d), где i соответствует номеру узла, в котором находится заявка (меняется в пределах от 1 до J), а d — количеству занятых мест в очереди узла (меняется в пределах от 1 до mi + 1). Состояние (i,m,i + 1) соответствует переполненной очереди в узле i. Начальное распределение данной цепи p можно рассчитать как Pt 1 Рг_ m J 1 Pi E Aj 1 - Щ j=1 Кроме того, вводятся два дополнительных состояния (S) и (F). Первое соответствует успешной обработке заявки, а второе — потере заявки. Начальные вероятности этих состояний равны нулю. Далее определяется матрица вероятностей переходов P заданной цепи Маркова, соответствующей пути произвольной заявки по узлам. Состояния (S) и (F) не сообщаются. Цепь, попав в одно из этих состояний, уже из него не выходит. Вероятность перехода из состояния (i,d) в состояние (j,w) можно рассчитать по формуле „ш-1 / p {(i,d) — j,w)} = pi_-m Pj 1 — где pi_ — элементы скорректированной субстохастической матрицы вероятностей переходов заявок P (коррекция необходима, поскольку матрица P устаналивается для СеМО без потерь заявок). Вероятность успешной обработки заявки в узле равна p {(i,d) S)} = p , где р* —вероятность успешной обработки заявки в узле i (после чего заявка покидает сеть); она вычисляется в ходе итерационной процедуры на основе матрицы P и J p* = 1 pik. Если заявка находится в переполненной очереди, вероятность её потери к=1 (перехода цепи в состояние (F)) равна p {(i,mi + 1) — F)} = 1. Все остальные вероятности равны нулю. Для оценки вероятности потери заявки при стационарном режиме работы сети необходимо рассчитать член вектора p5(k){(F)}, соответствующий состоянию (F) на k-м шаге заданной цепи Маркова, где p5(k) = р • (Р)к. Установка параметра к происходит с помощью дополнительной итерационной процедуры. По результатам расчёта вычисляется p^ —вероятность того, что на k-м шаге заданной цепи Маркова заявка всё еще находится в сети, т. е. не потеряна и не обработана полностью: p« = 1 — ffk){(F)}— p«{(S)}. Если в результате вычислений p^ превышает некоторую наперёд заданную точность, то k увеличивается и расчёт повторяется до тех пор, пока не будет достигнута заданная точность указанной вероятности. На основе представленной методики разработана архитектура и построена программная реализация системы обнаружения DDoS-атак (рис. 1). Разработанная методика позволяет получать адекватную оценку частоты потери заявок в сети в случае, если СеМО находится в стационарном режиме. При возникновении DDoS-атаки узлы СеМО выходят из стационарного режима на некоторое время, после чего устанавливается стационарный режим с другими параметрами. На время перехода между режимами методика неприменима. Так как время перехода между режимами зависит от топологии сети и параметров узлов, оценка эффективности разработанной методики и её сравнительный анализ с другими подходами представляет отдельную задачу. ^г/- Ai 1 V №i p {M)}- i m Рис. 1. UML-диаграмма деятельности системы обнаружения

Скачать электронную версию публикации