Автоматическое обнаружение аномалий сетевого трафика при DDoS-атаках Текст научной статьи по специальности «Математика»

УДК 004.7 Вестник СПбГУ. Прикладная математика. Информатика... 2023. Т. 19. Вып. 2

МвС 68М25

Автоматическое обнаружение аномалий сетевого трафика при ППоБ-атаках

А. В. Орехов1, А. А. Орехов2

1 Санкт-Петербургский государственный университет, Российская Федерация, 199034, Санкт-Петербург, Университетская наб., 7^9

2 Транстех, Российская Федерация, 196247, Санкт-Петербург, пл. Конституции, 1

Для цитирования: Орехов А. В., Орехов А. А. Автоматическое обнаружение аномалий сетевого трафика при ББоЗ-атаках // Вестник Санкт-Петербургского университета. Прикладная математика. Информатика. Процессы управления. 2023. Т. 19. Вып. 2. С. 251-263. https://doi.org/10.21638/11701/spbul0.2023.210

Распределенные атаки типа «отказ в обслуживании» (ООов-атаки) — это вторжения в вычислительные системы сети Интернет, цель которых — сделать их недоступными для пользователей. ООов-атаки заключаются в одновременной отправке в сторону определенного ресурса большого количества запросов, в результате чего сервер не выдерживает сетевой нагрузки и доступ к нему становится практически невозможным. В такой ситуации провайдеру необходимо определить момент начала атаки и изменить стратегию управления сетевым трафиком. Обнаружение начала ООов-атаки возможно методами машинного обучения без учителя, использующими последовательный статистический анализ сетевой активности. Для этого удобно применять математические модели, основанные на дискретных случайных процессах, с монотонно возрастающими траекториями в начале ООов-атаки. Случайные функции, которые представляют собой соответствие между обобщенным временем и кумулятивным объемом сетевого трафика или между общим количеством входящих пакетов и кумулятивной суммой неотверг-нутых пакетов, в начале ООов-атаки меняют тип своего возрастания с линейного на нелинейный: в первом случае на параболический или экспоненциальный, во втором — на логарифмический или арктангенциальный. Для определения моментов такого изменения в качестве статистических правил можно использовать квадратичные формы аппроксимационно-оценочных критериев.

Ключевые слова: сетевой трафик, ББоЗ-атака, машинное обучение без учителя, последовательный статистический анализ, марковский момент, метод наименьших квадратов.

1. Введение. Важнейшими задачами любого хостинг-провайдера являются техническое обслуживание серверов, поддержка функциональности соответствующей инфраструктуры, обеспечение бесперебойной работы сайтов и защита данных. В последнее время получили широкое распространение распределенные атаки типа «отказ в обслуживании», или ОБоЗ-атаки, которые применяются для нарушения работы серверной инфраструктуры при помощи отправки огромного числа запросов [1]. Смысл этих сетевых вторжений состоит в том, чтобы подавить работу сервера большим объемом внешнего трафика, с которым тот не может справиться.

Самый распространенный способ организации ВБоБ-атак — использование для отправки «ложных» запросов так называемых ботнетов, которые состоят из взломанных серверов, компьютеров и других вычислительных устройств, имеющих доступ в Интернет [2, 3], например технологий формирования ботнетов при помощи

© Санкт-Петербургский государственный университет, 2023

взломанных устройств Интернета вещей (IoT) [4]. Жертвой злоумышленников может стать любое устройство IoT, однако чаще всего взлому и захвату подвергаются камеры и роутеры (в силу их распространенности и большого количества), однако в зоне риска находятся медицинское и производственное оборудование, подключенное к IoT, устройства «умного дома» [5, 6]. Кроме этого вида сетевых вторжений различают еще несколько типов DDoS-атак: 1Р-флуд, SYN-флуд, UDP-флуд, ТСР-флуд, Ping of Death, IP-спуфинг, APDoS-атака и т. п. [7, 8]. Для всех перечисленных видов DDoS-атак характерно резкое возрастание объема трафика. Чаще всего нападения происходят через уровни L3, L4 и L7 модели OSI. На L3 и L4 направлены разновидности DDoS-атак — «сетевого» (network layer DDoS) и «транспортного» (transport layer DDoS) уровней. Ha L7 происходят атаки на прикладном уровне приложений (application layer DDoS) [9]. Если рассматривать уровни L3 и L4, то возрастание сетевой активности при DDoS-атаках проявляется в резком увеличении количества входящих пакетов [10, 11].

Защита от DDoS-атак строится по-разному, в зависимости от многих показателей, например, она зависит от типа хостинга и размещенного на нем ресурса. Аппаратные и программные брандмауэры работают по списку разрешающих и запрещающих правил. Злоумышленники могут нацелиться на открытые порты брандмауэра, которые применяются для доступа легитимных пользователей, поэтому сложные атаки не могут быть обработаны только с помощью стандартного программного брандмауэра. Межсетевые экраны фильтруют трафик на основании четко определяемых списков доступа (правил контроля) и могут регулировать потоки трафика, основываясь на таких критериях как адреса отправителя, используемые сетевые сервисы, порты и протоколы [12]. Из-за относительной легкости исполнения и распределенного характера DDoS-атаки могут быть направлены на сайты любых размеров [13, 14].

Эффективность противодействия DDoS-атакам определяется временем их обнаружения. Ответные действия включают в себя разработку стратегии управления сетевым трафиком, прежде всего изменением маршрутизации, при которой большая часть подозрительных пакетов перенаправляется с сервера, а остальные данные обрабатываются по частям. Остановить DDoS-атаки также позволяют фильтрация входящих данных и разумное отклонение пакетов или соединений, которые могут являться «зловредным» трафиком. Во всех описанных выше случаях провайдер должен применять специализированные аппаратные и программные методы для борьбы с DDoS-атаками [15, 16]. Изменение стратегии управления сетевым трафиком возможно при помощи последовательного статистического анализа [17] и математических моделей, основанных на дискретных случайных процессах.

Случайные функции, которые являются соответствием между обобщенным временем и кумулятивной суммой входящих пакетов или между общим количеством входящих пакетов и кумулятивной суммой неотвергнутых пакетов, по построению монотонно возрастают. При штатных режимах сетевого трафика их рост можно считать «почти линейным». Но в начале DDoS-атаки тип возрастания этих случайных функций изменяется с линейного на нелинейный: в первом случае на параболический или экспоненциальный (рисунок, а), во втором — на логарифмический или арктан-генциальный (рисунок, б). Для определения марковского момента остановки, соответствующего изменению стратегии управления сетевым трафиком в ответ на DDoS-атаку, возможно использование аппроксимационно-оценочных критериев. Основная идея их применения заключается в том, что аппроксимационно-оценочные критерии — это статистические правила в виде квадратичных форм, которые строятся

как разности квадратичной погрешности линейной аппроксимации и квадратичной погрешности нелинейной аппроксимации (в некотором выбранном классе функций) одной и той же числовой последовательности В момент, когда изменяется характер ее возрастания, квадратичная форма критерия меняет знак, что, в свою очередь, служит достаточным условием для определения соответствующего марковского момента [18]. В качестве случайных величин для выявления аномалий сетевого трафика можно использовать последовательности уъ, которые строятся при помощи счетчиков сетевого экрана, фиксирующих количество входящих или неотвергнутых пакетов на уровнях ЬЗ и Ь4 модели ОЯ!.

Рисунок. Два эскиза кривой сетевой активности при ВОо8-атаках а — явное задание кривой сетевой активности (на оси абсцисс — обобщенное время, на оси ординат — общее количество входящих пакетов); б — параметрическое задание кривой сетевой активности (на оси абсцисс — общее количество входящих пакетов в зависимости от времени, на оси ординат — кумулятивная сумма неотвергнутых пакетов в зависимости от времени).

2. Аппроксимационно-оценочные критерии. Рассмотрим бинарную задачу проверки статистических гипотез Но и Н\.

Нулевая гипотеза Но — последовательность уъ возрастает линейно, альтернативная гипотеза Н\ — последователь ность возрастает нелинейно. Для проверки статистической гипотезы необходимо построить критерий, как строгое математическое правило, позволяющее ее принять или отвергнуть [19]. В общем случае принятие решения в некоторый момент времени может быть основано только на известных значениях дискретного случайного процесса £ = £(Ь,и), где £ — дискретное время, и — случайное событие, принадлежащие некоторому вероятностному пространству (О, Т, Р). Если применять формальный подход, то изучаемые события должны быть измеримы в неубывающей последовательности а-алгебр Зп Е Т, порожденных процессом £ = £(Ь,и) [20].

Пусть т — момент наступления некоторого события в случайном процессе £ = £). Если для любого момента времени £о можно однозначно сказать, наступило т или нет при условии, что известны значения процесса £ = £(Ь,и) только в про-т

сти а-алгебр $п Е Т, порожденных процессом £ = £(Ь,и) [21, 22]. В рассматриваемом случае марковским моментом остановки случайного процесса £ = £) является мит Но альтернативная гипотеза Н\. Для проверки статистических гипотез Но и Н\ будем использовать аппроксимационно-оценочные критерии [18].

Квадратичные формы аппроксимационно-оценочных критериев строятся по трем, четырем или пяти узлам аппроксимации. Узлами аппроксимации для числовой последовательности служат упорядоченные пары (1,уг), где г — натуральный аргумент, уъ — соответствующее значение последовательности Так как подстрочный

а

б

индекс однозначно определяет величину натурального аргумента, для обозначения узла аппроксимации вместо упорядоченной пары (г, у г) будем использовать элемент последовательности уг и называть его натуральным узлом аппроксимации.

При построении квадратичных форм аппрокснмацпонно-оценочных критериев применяется прием, который облегчает вычисления. Значения последовательности У( рассматриваются в узлах уо,у1,..., ук-1, при этом всегда уо = 0. Для выполнения такого условия на любом шаге аппроксимации выполняется преобразование:

Уо = Уз - Уз, У1 = Уз+1 - Уз >...> Ук-1 = Уз+к-1 - Уз.

Квадратичная погрешность аппроксимации числовой последовательности Уг функцией / (¿) в узлах Уо,У1,..., Ук-1 равна сумме квадратов р азностей у4 и / ^) при соответствующих значениях натурального аргумента:

к-1

д2(ко) = Т.(1 (г) - Уг)2. (!)

г=0

Вещественная функция / (^ го некоторого класса У приближает числовую последовательность уг по методу наименьших квадратов, если для соответствующей квадратичной формы 52(ко) справедливо выражение

к-1

52(ко) = тп^2(1 (г) - Уг)2,

г=о

такой минимум всегда найдется, так как 52(ко) — положительно определенная квадратичная форма.

Квадратичная погрешность аппроксимации числовой последовательности уг произвольной нелинейной функцией ](I) то натуральным узлам Уо,У1,...,Ук-1 выражается формулой (1), а квадратичная погрешность ее линейной аппроксимации по тем же узлам — формулой

к-1

51(ко) = ^(а • г + Ь - Уг)2. (2)

г=о

В общем случае аппроксимационно-оценочный критерий можно сформулировать следующим образом. Пусть

52(ко) = 52г(ко) = 52(ко) - 52(ко).

Будем говорить, что вблизи элемента Ук-1 тип возрастания уг изменился с линейного на нелинейный, если для натуральных узлов уо,у1,..., Ук-1 справедливо неравенство 52(ко) ^ 0, а для набора у злов у1,у2,...,ук, сдвинутых на один шаг дискретности вправо, нелинейная аппроксимация стала точнее линейной, т. е. 52 (ко) > 0, иначе, в терминах последовательного статистического анализа. Марковским моментом остановки для случайного процесса £ = с монотонно возрастающей траектори-

ей уг будет

т = шш{£ | 52(ко) > 0}, при котором отвергается гипотеза Но и принимается альтернативная гипотеза Н1.

Для обнаружения аномалий сетевого трафика в начале ВОоБ-атаки можно использовать четыре вида аппроксимационно-оцепочных критериев: параболические, экспоненциальные, логарифмические и арктангенциальные [18].

3. Квадратичные формы параболических аппроксимационно-оценоч-ных критериев. Используя метод наименьших квадратов, вычислим коэффициенты а, Ь линейной функции ] (х) = ах + Ь, аппроксимирующей натуральные узлы уо,у\,..., ун-1- Для этого найдем локальный минимум функции двух переменных:

к-1

(а

о

Ма, Ь) = ^(а • г + Ь - у^)2.

а, Ь

/» к 1 к 1 к 1

ъ=о ъ=о ъ=о

/» к 1 к 1 к 1

ъ=о ъ=о ъ=о и решим соответствующую систему линейных уравнений

к(к - 1)(2к - 1) к(к - 1) ,

--тг-¿ • « + ^ 0 ; ■Ъ = у1+2у2 + ... + (к- 1)Ук_и

6 2

к(к - 1) ~~2

Получим,что

а + к • Ь = уо + у1 + у2 + ... + ук-1.

к-1 2 к-1

Используя формулы (2) и (3), можно выписать в явном виде линейные аппроксимирующие функции для трех, четырех и пяти натуральных узлов.

Для узлов уо,у1,у2 линейная аппроксимирующая функция имеет вид

ах + Ъ= - (Зу2 ■ х + (2у1 - у2)) ■

Тогда

2

2

Аналогично для узлов уо, у\,, у2,у3 находим, что

¿?(4о) = ^ (7у\ + 1у\ + 3у23 - 2у\{2у2 + уз) ~ &У2Уз), (5)

а для узлов уо, у1, у2,уз, уа —

5?(50) = (7 у\ + 8 у1 + 7 у\ + 4 у\ - 2У1{2 у2 + Уз) ~ 4у2(уз + Уа) ~ 8узу4) • (6)

Вестник СПбГУ. Прикладная математика. Информатика... 2023. Т. 19. Вып. 2 255

а =

С помощью метода наименьших квадратов вычислим коэффициенты с, ! для неполной параболической функции сх2 + ¿, аппроксимирующей узлы у0,у1,...,ук-1. Найдем локальный минимум функции двух переменных:

к-1

2

/чМ) = ]Т((с • г2 + !) - y¿)2.

¿=0

Вычислим частные производные:

к-1 к-1 к-1

- = Ъ

дс

^ - 2с]Гг4 + 2й]Гг2 - 2]Г*2 •

0 ¿=0 ¿=0 к-1 к-1 к-1

■ = Ъ

д!

¿=0 ¿=0 ¿=0 приравняем их к нулю и решим систему из двух линейных уравнений относительно неизвестных с,!

к(к - 1)(2к - 1)(3к2 - 3к - 1) к(к - 1)(2к - 1)

30 6

к(к - 1)(2к - 1)

¿=1 к1

с + к • ! = ^ У¿,

6

¿=0

30 к-1 2

6 к-1

*= к^-зк-п)^-1^-1-5^- <8>

Используя формулы (7) и (8), можно выписать в явном виде неполные параболические (без линейного члена) аппроксимирующие функции для натуральных узлов. Вычислим квадратичные погрешности для них, а затем, учитывая соответствующие погрешности линейной аппроксимации (см. формулы (4)^(6)), выпишем в явном виде параболические аппроксимацпонно-оценочные критерии 52 по трем, четырем и пяти натуральным узлам.

Для узлов у0,у1,у2 получим равенство

сх2 + а=^ ((7 у2 - 2у\) • х2 + (122/1 - 3 у2)) .

Тогда находим, что

^(Зо) = £ (^52 ((7У2 " 2у1 '%2) + (12у1 " Зу2)) = 26 (У2 " 4У1) '

Следовательно,

^(Зо) = 62{30) - <52(Зо) = ^ (2у2 - 1АуШ + 5у2). 256 Вестник СПбГУ. Прикладная математика. Информатика... 2023. Т. 19. Вып. 2

Аналогично для узлов у0, у\, у2,у3 получим, что 1

98

5г2(40)-^(40) = ^5,

а для узлов уо, уь У2,Уз, У4 —

^(4о) = — (б1 у\ + 73у\ + 13г/| - 44ут + 6ут - 60у2у3), ^(4о) = ¿г2(40) - ^(40) = " +41у1 + 12уШ - 64У1Уз - 46у2у3),

^(5о) = ^ (571у2 + 676у2 + 651г/| + 196у2 - 2У1(224У2 + 99у3 - 76уА) -

- 288у2у3 - 148у2у4 - 648у3у^, ^(5о) = ¿?(5о) - ¿2(50) = ^ (19у2 + 10у22 - 21 у32 + 76у| + + 2у!(25у2 + 6уз - 38у4) - 10у2(3уз + 10у4) - 24узу^ .

4. Аппроксимационно-оценочные критерии с иррациональными коэффициентами. Построим аппроксимационно-оценочные критерии для трех классов нелинейных функций: экспоненциальных — рех + д, логарифмических — д 1п(ж + 1) + Н и арктангенсов — V arctaп ж + V. В общем случае для этих функций коэффициенты соответствующих квадратичных форм являются иррациональными числами. Поэтому в отличие от параболических аппроксимационно-оценочных критериев коэффициенты экспоненциальных, логарифмических и арктангенциальных аппроксимационно-оценочных критериев можно вычислить только приближенно.

Легко заметить, что все три аппроксимирующие функции имеют одинаковую структуру относительно неизвестных коэффициентов: ау(ж) + в- Используя метод наименьших квадратов, вычислим коэффициенты а и

Найдем локальный минимум функции двух переменных:

к-1

/(а,в) = ]Т(а^)+ в - уг)2.

¿=о

Сначала вычислим частные производные функции /(а, в) и приравняем их к пулю:

^- = 2 ][>(*)(МО

а г=0

5/е =2 $>¥>(»)+/?-*,<),

дв

-1

а • X) ^(г)2 + в • X) <р(г) = ^

г=0 г=0 г=1

к-1 к-1

а • Х^ + кв = Х^ уг.

к-1 к-1 к-1 2

г=0 г=1

Затем решим систему линейных уравнений относительно неизвестных а и р:

7 — 1 /Л — 1 / — 1

а = к • Е»=1 Ч>{ЧУг - Е»=0 ФУ1) ' Ьг=1 У* к - Е = ФУ — (Ек=о ¥>(0)

Ек- 1 — 1 / л9 — 1 / л — 1 /

¿=1 Уг ■ Е;=о ¥4») " Е;=о УС») ' Е4=1 Пг№ ^

к - Е^^о1 — (Е^^о1

эсть аппроксимации натурал:

к-1

ненциальных функций вида рех + д равна 51(к0) = ^^(рег + д — уг)2.

¿=о

.0), получим, что

7 к — 1 к — 1 г к — 1

к - Ек=1 Ег=о е - Ек=1 Уг

Квадратичная погрешность аппроксимации натуральных узлов в классе экспо-

к-1

2 (иЛ — ^ , „ „.. 42

г=0

Используя формулы (9) и (10), получим, что

р=

к - Ее2г — (Еег

У"к-1 У- ■ е2г _ у-к-1 ег егу

2^г=1 уг г=о е г=о е г=1 е уг

к -£к-1 е2г — Ек-1 ег

Аналогично построению параболических аппроксимационно-оценочных критериев вычислим коэффициенты квадратичных форм для экспоненциальных, логарифмических и арктангенциальных критериев.

Для экспоненциального критерия по трем узлам у0,у1,у2 находим, что

¿2(30) - 0.6224у2 — 0.33476у1у2 + 0.045015у|,

^2е(3о) = 5?(3о) — ¿2(3о) - 0.044302у2 — 0.33191у1у2 + 0.12165у2,

по натуральным узлам у0,у1,у2,уз —

52е (4о) - 0.6344у2 + 0.749у| + у1 (—0.5186у2 + 0.05939уз) — 0.4549у2уз + 0.0735у|,

^?е(4о) = 5} (4о) — 52е (4о) - 0.06563у2 — 0.04925у2 + + у 1 (0.1186у2 — 0.2594уз) — 0.3451у2уз + 0.2265у| и для узлов уо,у1,у2,уз,у4 —

52(5о) - 0.694у2 + 0.752у| + 0.796у| + у2 (— 0.371уз — 0.02968у4) +

+ у1 (—0.543у2 — 0.357уз + 0.1474у4) — 0.511узу4 + 0.0904у|, 52е(5о) = 51 (5о) — 52(5о) - 0.00556у2 + 0.0483у2 — 0.0957у3 + + у2 (—0.02895уз — 0.370у4)+у1 (0.1428у2 + 0.1572уз — 0.1474у4) —0.2890узу4+0.3096у4.

Квадратичная погрешность аппроксимации натуральных узлов в классе лога-

к-1

рифмических функций вида д 1п(ж + 1) + Н равна 52 (к0) = ^^(д 1п(г + 1) + Н — уг)2.

г=о

2

Используя формулы (9) и (10), получим, что

=0 М^ + 1) ' Ег= 1 Уг ЬЕ-Го1п2(»+1)-(Е-ГО1П(»+1))2

, _ тИ:1 уг ■ е1о ь2(» +1) - Е1О ь(г +1) • Е 1:1 м» + ^ ЬЕ-Го1п2(г + 1)-(Е-Го1п(» + 1))2

Для узлов у0,у1,у2 справедливы равенства

52п(30) - 0.65177у2 - 0.82244у1у2 + 0.25945у|, 5/2(30) = ¿2(30) - 52(30) - 0.0148974у2 + 0.155775у1у2 - 0.092785у2, для узлов у0,у1,у2,уз —

52(40) - 0.74052у2 + 0.66471у2 + у1 (-0.44314у2 - 0.38934у3) - 0.83197у2у3 + 0.42699у3, 5г2„(40) = 5г2(40) - 52п(40) - -0.040523у2 + 0.035294у2 + + у1 (0.043138у2 + 0.18934у3) + 0.031966у2у3 - 0.12699у3 и для узлов у0, у1, у2,у3, у4 —

52п(50) - 0.75674у2 + 0.78767у2 + 0.68619у| + 0.53691у| + + у2 (-0.47491у3 - 0.51389у4) + у1 (-0.35382у2 - 0.25967у3 - 0.18664у4) - 0.74609у3у4,

52п(50) = 5г2(50) - 5П(50) - -0.056743у2 + 0.0123264у| + 0.0138145у| - 0.136906у| + + у2 (0.074911у3 + 0.113895у4)+у1 (-0.046182у2 + 0.059668у3 + 0.18664у4)-0.053914у3у4.

Квадратичная погрешность аппроксимации натуральных узлов в классе функ-

к-1

ций вида /(х) = V arctaп х + V равна 52а(к0) = arctaп г + V - уг)2.

г=0

Используя формулы (9) и (10), получим, что

к 1 к 1 к 1 ^ _ к • 1 arctanг ■ у^ - ап^апг • ^

к • Ек= с1 arctaп2 г - (Ек=0 аг^ап г^

Ек-1 — 1 , 2 ■ 1 , ■ — 1 л-

_ ¿=1 Уг - Е»=о аг^ап г - ап^апг • аг^апг • yi

V — 2

к • Е к= о1 arctaп2 г - ^Ек= 0 аг^ап г^ Для узлов у0,у1,у2 находим, что

52(30) - 0.62985у2 - 0.89361у1у2 + 0.31696у2, 52а(30) = 5г2(30) - 52(30) - 0.036820у2 + 0.226946у1у2 - 0.150292у2,

для натуральных узлов у0,у1,у2,у3 —

52(40) - 0.75у2 + 0.63932у2 + у1 (-0.5у2 - 0.5у3) - 0.81898у2у3 + 0.52017у32, 52а(40) = 5г2(40) - 52(40) - -0.05у2 + 0.06068у2 + + у1 (0.1у2 + 0.3у3) + 0.01898у2у3 - 0.22017у2

д

и для узлов yo, У1, У2,У3, У4 — ¿2(50) ~ 0.79001y2 + 0.76095y2 + 0.69185y| + y2 (-0.52998y3 - 0.55804y4) + + y1 (—0.36049y2 - 0.33425y3 - 0.32005y4) - 0.66300y3y4 + 0.64011y|, öfa(50) = ö;2(50) - ö2(50) ~ -0.090007y2 + 0.039054y2 + 0.0081498y| - 0.24011y| +

+ y2 (0.129980y3 + 0.15804y4) + + y1 (-0.039511y2 + 0.134249y3 + 0.32005y4) - 0.136998y3y4.

5. Заключение. Гибкость набора аппроксимационно-оценочных критериев позволяет применять их для принятия решений по смене стратегии управления сетевым трафиком на основе любой доступной метрики. Контроль за загруженностью сети можно рассматривать как систему с переключениями [23, 24].

Формирование нового набора натуральных узлов yt0-k,...,yt0-2,yt0-1 из левой полуокрестности точки yt0 — случайное событие Oto ; ему будет соответствовать определенное значение квадратичной формы некоторого аппроксимационно-оценочного критерия, которое обозначим как ё^.

Рассмотрим последовательность случайных событий:

Ok,...,«t,..., (Н)

{ C, B }

C — событие ё^ ^ 0 и B — событие ё^ > 0. Так как вероятность наступления либо C, либо B зависит только от набора yt0-k,...,yt0-2,yt0-1, то последовательность

к

В этом случае принятие решения об изменении стратегии управления сетевым трафиком производится за счет марковского момента остановки, который можно определить при помощи аппроксимационно-оценочного критерия. Очевидно, что в такой ситуации переключения могут осуществляться без участия человека, а управляющий субъект имеет аппаратную реализацию.

Предложенный математический аппарат может стать основой для разработки доступных и эффективных аппаратно-программных решений по обеспечению защиты инфраструктурных элементов сети Интернет от DDoS-атак. На основе изложенного материала могут быть реализованы системы, в том числе и с открытым исходным кодом, применимые на практике и обладающие свойством прозрачности и доказательности в противовес развивающимся проприетарным решениям, алгоритмы работы которых являются коммерческой тайной. К важным аспектам рассмотренных инструментов относится то, что решение о смене стратегии принимается на основе данных об изменении характера сетевой активности, а не на основании преодоления неких фиксированных значений нагрузки. Это позволяет применять предложенные методы без дополнительной настройки на системах любого масштаба.

Литература

1. Gu Q., Liu P. Denial of service attacks // Handbook of Computer Networks. Hoboken, New Jersey: John Wiley and Sons, 2012. Vol. 3. P. 454-468. https://doi.org/10.1002/9781118256107.ch29

2. Burghouwt P., Spruit M., Sips H. Towards detection of botnet communication through social media by monitoring user activity // Information systems security / eds by S. Jajodia, C. Mazumdar. ICISS 2011. Lecture Notes in Computer Science. Vol. 7093. Berlin; Heidelberg: Springer, 2011. P. 131-143. https://doi.org/10.1007/978-3-642-25560-l_9

3. Schiller C. A., Binkley J., Harley D., Evron G., Bradley T., Willems С., Cross M. Botnets: The Killer Web Applications. 1st ed. Burlington, Virginia: Syngress, February 15, 2007. 480 p.

4. Dzaferovic E., Sokol A., Almisreb A. A., Norzeli A. S. M. DoS and DDoS vulnerability of IoT: A review // Sustainable Engineering and Innovation. 2019. Vol. 1(1). P. 43-48. https://doi.org/10.37868/sei.vlil.36

5. Alieyan K., Almomani AAbdullah R., Almutairi В., Alauthman M. Botnet and Internet of Things (IoTfe): A definition, taxonomy, challenges, and future directions // Security, privacy, and forensics issues in big data / eds by R. Joshi, B. Gupta. Hershney, PA: IGI Global, 2020. P. 304-316. https://doi.org/10.4018/978-l-5225-9742-l.ch013

6. Dange S., Chatterjee M. IoT Botnet: The largest threat to the IoT network // Data Communication and Networks. Advances in Intelligent Systems and Computing / eds by L. Jain, G. Tsihrintzis, V. В alas, D. Sharma. Singapore: Springer, 2020. Vol. 1049. P. 137-157. https://doi.org/10.1007/978-981-15-0132-6_10

7. Alhammadi N. A. M., Zaboon К. H., Abdullah A. A. A review of the common DDoS attack: types and protection approaches based on artificial intelligence // Fusion: Practice and Applications, 2022. Vol. 7. N 1. P. 8-14. https://doi.org/10.54216/FPA.070101

8. Векенева Я. А. Анализ актуальных типов DDoS-атак и методов защиты от них // Известия СПбГЭТУ «ЛЭТИ». 2016. № 1. С. 7-14.

9. Obaid Н. S., Abeed Е. Н. DoS and DDoS attacks at OSI layers // International Journal of Multidisciplinary Research and Publications (IJMRAP). 2020. Vol. 2. Iss. 8. P. 1-9.

10. Alashhab Z. R., Anbar M., Singh M. M., Hasbullah I. H., Jain P., Al-Amiedy T. A. Distributed denial of service attacks against cloud computing environment: survey, issues, challenges and coherent taxonomy 11 Appl. Sci. 2022. Vol. 12. N 12441. https://doi.org/10.3390/appl22312441

11. Kleyman Б. Why DDoS is more dangerous for cloud and data center providers. February 9, 2023. URL: https://www.datacenterfrontier.com/sponsored/article/21545878/al0-why-ddos-is-more-dangerous-for-cloud-and-data-center-providers (дата обращения: 20.02.2023)

12. Евглевская H. В., Зуев А. Ю., Карасенко А. О., Лаута О. С. Сравнительный анализ эффективности существующих методов защиты сетей связи от DDoS-атак // Радиопромышленность. 2020. Т. 30. № 3. С. 67-74. https://doi.org/10.21778/2413-9599-2020-30-3-67-74

13. Aamir М., Zaidi М. A. A survey on DDoS attack and defense strategies: from traditional schemes to current techniques // Interdisciplinary Information Sciences. 2013. Vol. 19(2). P. 173-200. https://doi.org/10.4036/iis.2013.173

14. Mahajan D., Sachdeva M. DDoS attack prevention and mitigation techniques — a review // International Journal of Computer Applications. April 2013. Vol. 67(19). P. 21-24. https://doi.org/10.5120/11504-7221

15. Rustarn F., Mushtaq M. F., Hamza A., Farooq M. S., Jurcut A. D., Ashraf I. Denial of service attack classification using machine learning with multi-features // Electronics. 2022. Vol. 11. P. 3817. https://doi.org/10.3390/electronicsll223817

16. Ahmed S., Khan Z. A., Mohsin S. M., Latif S., Aslam S., Mujlid H., Adil M., Najam Z. Effective and efficient DDoS attack detection using Deep Learning algorithm, multi-layer perceptron // Future Internet. 2023. Vol. 15. N 76. https://doi.org/10.3390/fil5020076

17. Wald A. Sequential analysis. New York, USA: John Wiley & Sons, 1947. 212 p.

18. Orekhov A. V. Quasi-deterministic processes with monotonic trajectories and unsupervised machine learning // Mathematics. 2021. Vol. 9. N 2301. https://doi.org/10.3390/ math9182301

19. Lehmann E. L.: Romano J. P. Testing statistical hypotheses. New York: Springer-Verlag, 2005. N XIV. 786 p.

20. Мазалов В. В. Математическая теория игр и приложения. СПб.: Лань, 2017. 448 с.

21. Вулинский А. В., Ширяев А. Н. Теория случайных процессов. М.: Физматлит, Лаборатория базовых знаний, 2003. 400 с.

22. Shiryaev А. N. Optimal stopping rules. Berlin; Heidelberg: Springer-Verlag, 2008. N XII. 220 p. https://doi.org/10.1007/978-3-540-74011-7

23. Shorten R., Wirth F., Mason O., Wulff K., King C. Stability criteria for switched and hybrid systems 11 SIAM Review. 2007. Vol. 49. N 4. P. 545-592. https://doi.org/10.1137/05063516X

24. Hespanha J. P. Stochastic hybrid systems: application to communication networks. Hybrid systems: Computation and Control. HSCC 2004. Lecture Notes in Computer Science / eds by R. Alur, G. J. Pappas. Berlin; Heidelberg: Springer, 2004. Vol. 2993. P. 387-401. https://doi.org/10.1007/978-3-540-24743-2_26

25. Wu Sh.-J., Chu M. T. Markov chains with memory, tensor formulation, and the dynamics of power iteration // Applied Mathematics and Computation. 2017. Vol. 303. P. 226-239. https://doi.Org/10.1016/j.amc.2017.01.030

Статья поступила в редакцию 25 февраля 2023 г.

Статья принята к печати 25 апреля 2023 г.

Контактная информация:

Орехов Андрей Владимирович — ст. преп.; a_v_orehov@mail.ru Орехов Алексей Андреевич — opexob@yandex.ru

Network traffic anomalies automatic detection in DDoS attacks

A. V. Orekhov1, A. A. Orekhov2

1 St. Petersburg State University, 7-9, Universitetskaya nab., St. Petersburg, 199034, Russian Federation

2

196247, Russian Federation

For citation: Orekhov A. V., Orekhov A. A. Network traffic anomalies automatic detection in DDoS attacks. Vestnik of Saint Petersburg University. Applied Mathematics. Computer Science. Control Processes, 2023, vol. 19, iss. 2, pp. 251-263. https://doi.org/10.21638/11701/spbul0.2023.210 (In Russian)

Distributed denial-of-service attacks (DDoS attacks) are intrusions into computing systems of the Internet. Their purpose is to make systems of the Internet inaccessible for users. DDoS attack consist of sending many requests to a certain resource at the same time. As a result, the server cannot withstand the network load. In such situation, a provider must determine the moment when attack begins and change the traffic management strategy. Detection of the beginning of a DDoS attack is possible by using unsupervised machine learning methods and sequential statistical analysis of network activity. To activate that, convenient to use mathematical models based on discrete random processes with monotonically increasing trajectories. Random functions, which are represented in the correspondence between generalized time and the cumulative sum of network traffic or the correspondence between the total number of incoming packets and the cumulative sum of packets processed, change their type of increasing from linear to non-linear. In the first case, to parabolic or exponential, in the second case to logarithmic or arctangent. To determine the moment when the type of increasing is going to change, one can use quadratic forms of approximation-estimation tests as statistical rules.

Keywords: traffic strategy, DDoS attack, unsupervised machine learning, sequential statistical analysis, Markov moment, least squares method.

References

1. Gu Q., Liu P. Denial of service attacks. Handbook of Computer Networks. Hoboken, New Jersey, John Wiley and Sons Publ., 2012, vol. 3, pp. 454-468. https://doi.org/10.1002/9781118256107.ch29

2. Burghouwt P., Spruit M., Sips H. Towards detection of botnet communication through social media by monitoring user activity. Information systems security. Eds by S. Jajodia, C. Mazumdar. ICISS 2011. Lecture Notes in Computer Science. Vol. 7093. Berlin, Heidelberg, Springer Publ., 2011, pp. 131-143. https://doi.org/10.1007/978-3-642-25560-l_9

3. Schiller C. A., Binkley J., Harley D., Evron G., Bradley Т., Willems C., Cross M. Botnets: The Killer Web Applications. 1st ed. Burlington, Virginia, Syngress Publ., February 15, 2007, 480 p.

4. Dzaferovic E., Sokol A., Almisreb A. A., Norzeli A. S. M. DoS and DDoS vulnerability of IoT: A review. Sustainable Engineering and Innovation, 2019, vol. 1(1), pp. 43-48. https://doi.org/10.37868/sei.vlil.36

5. Alieyan K., Almomani A., Abdullah R., Almutairi В., Alauthman M. Botnet and Internet of Things (IoTs): A definition, taxonomy, challenges, and future directions. Security, privacy, and forensics issues in big data. Eds by R. Joshi, B. Gupta. Hershney, PA, IGI Global Publ., 2020, pp. 304-316. https://doi.org/10.4018/978-l-5225-9742-l.ch013

6. Dange S., Chatterjee M. IoT Botnet: The largest threat to the IoT network. Data Communication and Networks. Advances in Intelligent Systems and Computing. Eds by L. Jain, G. Tbihrintzis, V. Balas, D. Sharma. Singapore, Springer Publ., 2020, vol. 1049, pp. 137-157.

https: //doi.org/10.1007/978-981-15-0132-6_ 10

7. Alhammadi N. A. M., Zaboon K. H., Abdullah A. A. A review of the common DDoS attack: types and protection approaches based on artificial intelligence. Fusion: Practice and Applications, 2022, vol. 7, no. 1, pp. 8-14. https://doi.org/10.54216/FPA.070101

8. Bekeneva Ya. A. Analiz aktual'nykh tipov DDoS-atak i metodov zashchity ot nikh [Analysis of actual types of DDoS attacks and methods of protection against them]. Proceedings of St. Petersburg Electrotechnical University "LETI", 2016, no. 1, pp. 7-14. (In Russian)

9. Obaid H. S., Abeed E. H. DoS and DDoS attacks at OSI layers. International Journal of Multidisciplinary Research and Publications (IJMRAP), 2020, vol. 2, iss. 8, pp. 1-9.

10. Alashhab Z. R., Anbar M., Singh M. M., Hasbullah I. H., Jain P., Al-Amiedy T. A. Distributed denial of service attacks against cloud computing environment: survey, issues, challenges and coherent taxonomy. Appl. Sci., 2022, vol. 12, no. 12441. https://doi.org/10.3390/appl22312441

11. Kleyman B. Why DDoS is more dangerous for cloud and data center providers. February 9, 2023. Available at: https://www.datacenterfrontier.com/sponsored/article/21545878/al0-why-ddos-is-more-dangerous-for-cloud-and-data-center-providers (accessed: February 20, 2023).

12. Evglevskaya N. V., Zuev A. Yu., Karasenko A. O., Lauta O. S. Sravnitel'nyi analiz effektivnosti sushchestvuiushchikh metodov zashchity setei sviazi ot DDoS atak [Comparative analysis of the effectiveness of existing methods of networks security from DDoS attacks]. Radio industry, 2020, vol. 30, no. 3, pp. 67-74. https://doi.org/10.21778/2413-9599-2020-30-3-67-74 (In Russian)

13. Aamir M., Zaidi M. A. A survey on DDoS attack and defense strategies: from traditional schemes to current techniques. Interdisciplinary Information Sciences, 2013, vol. 19(2), pp. 173-200. https://doi.org/10.4036/iis.2013.173

14. Mahajan D., Sachdeva M. DDoS attack prevention and mitigation techniques — a review. International Journal of Computer Applications, April 2013, vol. 67(19), pp. 21-24. https://doi.org/10.5120/11504-7221

15. Rustam F., Mushtaq M. F., Hamza A., Farooq M. S., Jurcut A. D., Ashraf I. Denial of service attack classification using machine learning with multi-features. Electronics, 2022, vol. 11, no. 3817. https://doi.org/10.3390/electronicsll223817

16. Ahmed S., Khan Z. A., Mohsin S. M., Latif S., Aslam S., Mujlid H., Adil M., Najam Z. Effective and efficient DDoS attack detection using Deep Learning algorithm, multi-layer perceptron. Future Internet, 2023, vol. 15, no. 76. https://doi.org/10.3390/fil5020076

17. Wald A. Sequential Analysis. New York, USA, John Wiley & Sons Publ., 1947, 212 p.

18. Orekhov A. V. Quasi-deterministic processes with monotonic trajectories and unsupervised machine learning. Mathematics, 2021, vol. 9, no. 2301. https://doi.org/10.3390/ math9182301

19. Lehmann E. L., Romano J. P. Testing statistical hypotheses. New York, Springer-Verlag Publ., 2005, no. XIV, 786 p.

20. Mazalov V. V. Matematicheskaia teoriia igr i prilozheniia [Mathematical game theory and applications}. St. Petersburg, Lan' Publ., 2017, 448 p. (In Russian)

21. Bulinsky A. V., Shiryaev A. N. Teoriia sluchaynykh protsessov [Theory of random, processes]. Moscow, Fizmatlit Laboratory of basic knowledge Publ., 2003, 400 p. (In Russian)

22. Shiryaev A. N. Optimal stopping rules. Berlin, Heidelberg, Springer-Verlag Publ., 2008, no. XII, 220 p. https://doi.org/10.1007/978-3-540-74011-7

23. Shorten R., Wirth F., Mason O., Wulff K., King C. Stability criteria for switched and hybrid systems. SI AM Review, 2007, vol. 49, no. 4, pp. 545-592. https://doi.org/10.1137/05063516X

24. Hespanha J. P. Stochastic hybrid systems: application to communication networks. Hybrid Systems: Computation and Control. HSCC 2004. Lecture Notes in Computer Science. Eds by R. Alur, G. J. Pappas. Berlin, Heidelberg, Springer Publ., 2004, vol. 2993, pp. 387-401. https://doi.org/10.1007/978-3-540-24743-2_26

25. Wu Sh.-J., Chu M. T. Markov chains with memory, tensor formulation, and the dynamics of power iteration. Applied Mathematics and Computation, 2017, vol. 303, pp. 226-239. https://doi.Org/10.1016/j.amc.2017.01.030

Received: February 25, 2023.

Accepted: April 25, 2023.

Authors' information:

Andrey V. Orekhov — Senior Lecturer; a_v_orehov@mail.ru

Aleksey A. Orekhov — opexob@yandex.ru