Разработка модели представления низкоинтенсивной атаки в виде аддитивного наложения атакующего воздействия и легального сетевого трафика. Исследование эффективности разработанного метода. Анализ современных техник противодействия низкоинтенсивным атакам.
Аннотация к работе
В статье представлены результаты разработки комбинированного нейросетевого метода обнаружения низкоинтенсивных (low-rate) атак типа «отказ в обслуживании» Разработана модель представления low-rate-атаки в виде аддитивного наложения атакующего воздействия и легального сетевого трафика. Задача разработки метода обнаружения атак представлена как последовательное решение задач выделения гомогенных групп временного ряда на основании моделей распознавания образов и последующего построения для каждой группы отдельной модели прогнозирования.Существующие методы обнаружения DOS-атак (denial of service, отказ в обслуживании), основанные на статистическом анализе пороговых значений, показали низкую эффективность для обнаружения нового класса DOS-атак прикладного уровня - низкоинтенсивных атак (low-rate-DOS) [1]. Общие сведения по проблеме и некоторые новые подходы рассматриваются в следующих работах: в [2] рассматриваются категории DOS-атак и общие подходы к обнаружению таких атак; в [3] и [4] представлен опыт создания лабораторной инфраструктуры для моделирования и изучения low-rate атак и результаты выделения характеристик атак, используемых в дальнейшем при разработке новых методов обнаружения; в [5] рассматриваются результаты исследований по разработке метода обнаружения на основе характеристик подобия атакующего трафика; вопросы эффективности типовых средств защиты информации против low-rate DDOS атак проанализированы в [1]; в [6] описывается использование многослойного персептрона (multilayer perceptron, MLP) для обнаружения распределенных во времени сетевых событий с предварительной кластеризацией событий. Для обнаружения атаки необходимо выявлять периодическое появление определенного однотипного набора пакетов во входящем трафике, после чего относить этот набор к нормальному или аномальному классу (под аномалией будем понимать наличие низкоинтесивной атаки). Информация о времени прихода пакетов учитывается при разбиении входящего трафика на "окна". Формальная задача разработки метода обнаружения атаки заключается в разработке классификатора , который выдает метки классов (атакующее воздействие и легитимные данные) для временного ряда : , (1) где - длина истории событий, а событие представляет собой вектор атрибутов события т.е.Результаты сравнительного анализа применяемых методов обнаружения low-rate атак показывают, что методы защиты серверов, основанные на изменении конфигурации сервера или применении правил межсетевых экранов и IDS не позволяют эффективно защищаться от low-rate DDOS.