CC BY
119
Романчук Виталий Александрович, канд. техн. наук, v.romanchuk@rsu.edu.ru, Россия, Рязань, Рязанский государственный университет имени С.А.Есенина,
Ручкин Владимир Николаевич, д-р техн. наук, проф., v.ruchkin@rsu.edu.ru, Россия, Рязань, Рязанский государственный университет имени С.А.Есенина
EVALUATION OF THE SIMULATION COMPUTING SYSTEMS BASED ON
NEUROPROCESSOR
V.A.Romanchuk, V.N.Ruchkin
The problems of the development of the mathematical apparatus of evaluation of the results of computer modeling of systems based on neuroprocessors. Detail but describes how to set-theoretic analysis of computer systems, neuroprocessors systems classification and analytical expressions estimates of simulation results neuroprocessor systems.
Key words: modeling, neuroprocessor, system.
Romanchuk Vitaliy Aleksandrovich, candidate of technical science, v.romanchuk@rsu.edu.ru, Russia, Ryazan, Ryazan State University named by Esenin,
Ruchkin Vladimir Nikolaevich, doctor of technical science, professor, v.ruchkin@rsu.edu.ru, Russia, Ryazan, Ryazan State University named by Esenin
УДК: 004.891
МЕТОД ОПТИМИЗАЦИИ СРЕДСТВ ЗАЩИТЫ ОТ DOS АТАК
Д.О. Руднев, А.А Сычугов
В статье проводится анализ DoS атак и средств защиты от них. В статье описывается алгоритм оптимизации применения средств защиты от DoS атак, основанный на прогнозировании временных рядом при помощи нейронных сетей и последующим выбором наиболее подходящих средств защиты, используя соревновательные игры.
Ключевые слова: сетевые атаки, DoS атаки, теория игр, соревновательные игры, нейронные сети, оптимизация.
Отличительной особенностью первого полугодия 2013 года стало резкое возрастание мощности DoS атак (Denial of Service), по сравнению со вторым полугодием 2012 года средняя мощность атак выросла более чем в 56 раз (по данным Kaspersky DDoS Prevention). Максимальная длительность атаки, зафиксированная в первом полугодии 2013 года, составила 6 дней (по данным Kaspersky DDoS Prevention). С ростом мощности и длительности атак возрастают и убытки, причинённые ими. Причины DoS
- атак могут быть разными, так одна из крупнейших DoS атак началась как акция протеста против антиспаммерской организации Spamhaus 15 марта 2013 [1]. Стоит отметить, что основной причиной DoS атак является недобросовестная конкуренция, так например 30 марта 2013 года была предпринята атака на сервис ведения блогов LiveJournal, ранее была произведена атака на платформу для ведения блогов WordPress.
Одна из основных целей DOS атак - получение прибыли злоумышленником, реализующим атаку, когда в течение некоторого времени атакуемый сервис частично или полностью недоступен, вследствие чего сервис теряет пользователей.
Основной способ выполнения атаки - это генерация большого объёма трафика, вследствие чего сервис тратит ресурсы на обработку вредоносного трафика и запросы от легальных пользователей не обрабатываются. Способы генерации вредоносного трафика могут быть разными, к основным из них можно отнести генерацию ping - запросов, переполнение канала жертвы с помощью SYN пакетов, отправка «тяжелых» пакетов и др. [2] Основной способ защиты от DoS атак - это фильтрация входного трафика и выявление из него вредоносного. Способы фильтрации зависят от типа атаки и ее мощности.
Анализ последних атак показывает, что действия по защите от таких атак принимаются после того, как уже имеется снижение производительности веб-сервиса [3]. Происходит это вследствие сложности оценивания будущего масштаба атаки и использования соответствующей меры защиты. Так же DoS атаки отличает спонтанный характер, то есть они могут начинаться и закачиваться в случайные моменты времени, что в свою очередь также добавляет сложности.
Использование системы фильтрации в отсутствии атаки влечет за собой снижение производительности сервера и возможное ложное срабатывание фильтра. Таким образом, возникает задача оптимизации ресурсов, затрачиваемых на поддержание системы защиты от DoS атак.
Для решения данной задачи необходимо минимизировать ресурсы, затрачиваемые на поддержание информационной безопасности в те моменты времени, когда активность атакующей стороны незначительна, то есть необходимо разработать методику, позволяющую в каждый момент времени выбрать необходимый набор средств защиты, обеспечивающих надежную защиту автоматизированной системы, и при этом требующий минимального количества ресурсов.
Данную задачу, используя теорию игр, можно представить в виде игры двух сторон: обороняющейся (А) и атакующей (В). Задачей обороняющейся стороны является минимизация собственных потерь вследствие действий атакующей стороны. Задача стороны B - получение максимальной прибыли. Данная игра обладает следующими особенностями.
1. Игра в смешанных стратегиях. Атакующая сторона обладает интеллектом, что свидетельствует о наличии тактики в действиях атакующей стороны. Из чего можно утверждать, что ход атакующего в отдельные моменты времени, не всегда направлен на достижение максимального выигрыша.
2. Многошаговость. Для реализации атаки всегда требуется некий промежуток времени, в котором можно выделить отдельные этапы атаки. Следует отметить, что каждый последующий этап в большинстве случаев зависит от результатов предыдущего.
3. Игра не является антагонистической. Конечной задачей атакующей стороны является получение прибыли. Обороняющая сторона всегда будет терпеть убытки, а выигрыш обороняющейся стороны противоположен её проигрышу. Также в игре существует система наказаний за используемые стратегии.
4. Игра с неполной информацией. Обороняющаяся сторона не знает о ресурсах и возможностях атакующей стороны.
5. Соревновательность. Стратегии противоборствующих сторон могут быть представлены следующим множеством величин:
8? = {г? (г) Я? (г)},
где (г) - плотность распределения времени участия игрока 2 в игре со
¥
стратегией 8-, при этом {(г)4г = 1; Я? (г) - функция, описывающая ре-
0
сурсы, вложенные игроком 2 в игру со стратегией 8, при этом ¥
У гу
| Я? (г)ёг = Я? - суммарный ресурс, который тратит игрок 2 при примене-
0
нии стратегии 8г-. Тогда стратегии каждого из игроков А и В будут заданы в следующем виде:
ЯА = № (г),ЯА (г)}{а2А (г),яА (г)}..., {/„А (г),ЯА (г)}
8В = {¡А1В (г), яВ (г)} \/В (г), я2В (г)}..., \/£ (г ),Я§, (г)}
Таким образом, поведение игроков можно описать многошаговой соревновательной не антагонистической игрой с неполной информацией в смешанных стратегиях [4]. Главной особенностью данного типа игр является то, что в качестве стратегий используются функции, описывающие поведение сторон в краткосрочной перспективе. В данном контексте под краткосрочной перспективой следует понимать такой промежуток времени, в котором поведение участников игры можно представить детерминировано. Множество функций подбирается для каждой задачи индивидуально, исходя из статистических данных, внешних ограничений и здравого смысла. Вероятность использования атакующей стороной той или иной
стратегии можно описать следующим вектором:
Р = {Ръ Р2,..., РМ Ь
В
где Р- - вероятность использования атакующей стороны стратегии 8- .
Выигрыш обороняющейся стороны можно представить следующим выражением:
X
с А = 1/,А «) - // «У - яА ■
0
где с-А выигрыш игрока А, при использовании стратегий (87А, 8В).
У - ]
Аналогично для игрока В функция выигрыша будет выглядеть следующим образом:
X
сВ = 1 «) -/А «У* - яВ ■
0
Оптимальная стратегия находится по минимаксному критерию [4].
При рассмотрении данной задачи открытым остается вопрос о расчете вектора вероятностей Р . Учитывая многошаговость игры, пересчет вектора вероятностей должен происходить перед каждым шагом игры и зависеть от предыдущего состояния системы, в которой происходит игра.
При рассмотрении задачи были найдены следующие варианты решения:
Экспертные методы. Один из самых распространенных — метод Дельфи [5], суть которого заключается в сборе мнений различных экспертов и их обобщение в единую оценку. Достоинством данного подхода является возможность учесть множество как прямых, так и косвенных факторов, влияющих на конечное решение. Недостатками данного решения являются: высокие расходы на оплату услуг экспертов и низкая оперативность. Отсюда можно сделать вывод, что экспертные методы не подходят для решения поставленной задачи в реальном времени. Однако данный метод эффективно использовать для периодического контроля системы безопасности в целом.
Статистические методы. Данные методы основаны на применении статистических данных, вычисленных однажды, для выбора наиболее оптимальной стратегии защиты. Данный метод применим только в случае, если действия атакующей стороны можно описать только статистически, например, если атакующая сторона - природа. Однако, в реальных ситуациях атакующая сторона использует индивидуальные подходы для каждой системы защиты, что даже при частом обновлении статистических данных, делает методы неэффективными [6].
Математические методы. Решаемую задачу можно сформулировать следующим образом: преобразовать множество параметров, характеризующих состояние системы, в которой происходит игра, в вектор вероят-
ностей использования атакующей стороной ту или иную стратегию. Для решения данной задачи возможно использование знаний из областей системного анализа, теории вероятности, математической статистики. Эффективность данного метода будет зависеть от конечного решения, однако стоит отметить, что данный подход легко автоматизировать, что даст высокую, по сравнению с экспертным методом, скорость работы, и значительно лучшие результаты по сравнению со статическими методами.
Для расчета вероятностей использования атакующей стороной отдельных стратегий в рамках решения поставленной задачи целесообразно использовать математические методы.
При рассмотрении примеров реальных систем защиты выявлено, что большинство параметров, описывающих систему в которой происходит игра, представляют собой стохастические временные ряды. Так к показателям, по которым можно выявить DoS атаки относятся: общий трафик в единицу времени, количество отказов в обслуживании, количество уникальных запросов, отношение входящего трафика к исходящему.
Таким образом, прогнозируя поведение временного ряда, можно предсказать поведение атакующей стороны на следующем шаге игры и рассчитать вектор P.
В настоящее время задача прогнозирования временного ряда хорошо изучена, исходя из исследований [7], использование нейронных сетей для прогнозирования в данном случае представляется наиболее целесообразным.
Так как задача прогнозирования является частным случаем задачи регрессии, она может быть решена следующими типами нейронных сетей: многослойным персептроном (MLP), радиально-базисной сетью (RBF), обобщенно-регрессионной сетью (GRNN), сетью Эльмана и сетью Воль-терри [8]. На качество работы алгоритма прогнозирования будет влиять тип выбранной нейронной сети, ее конфигурация (количество входов, выходов, скрытых слоев), ее конкретная реализация, но в большей степени на качество расчета вектора P влияют выбранные параметры системы, на основе которых и происходит прогнозирование. Из всего множества параметров, описывающих систему, необходимо выбрать наиболее показательные, то есть те, которые в большей степени влияют на выбор атакующей стороной стратегии. Следует отметить, что сложность нейронной сети напрямую зависит от количества входных параметров, что, в свою очередь, влечет за собой значительное увеличение времени работы и усложняет обучение нейронной сети.
Так как нейронные сети работают с числами в диапазоне [0...1] необходимо преобразовать входной временной ряд к указанному диапазону:
' Xi - max X
Xj =—----------,
max X
где X - входной временной ряд, Xj - элемент временного ряда X, Xj - эле' '
мент преобразованного временного ряда Xj е X .
Множество значений X подается на вход нейронной сети:
Y' = F (X'),
где Y' - выход нейронной сети, F - функция работы нейронной сети.
Затем необходимо преобразовать выход нейронной сети Y' в вектор
P. Для этого устанавливается соответствие между множеством Y' и страте-
в B
гией атакующей стороны Sв , путем сопоставления вектора fj (t) и Y', в
результате выражение для нахождения вектора P следующим выражением:
P = G (SB, Y'),
где G - функция определения близости (например, методом наименьших
B
квадратов) функции fj (t) и вектора Y'.
Далее необходимо произвести корректировку вектора P в соответствии с возможной ошибкой системы, которая вычисляется по следующей формуле:
O = 1 -(1 - 0Нс) • (1 - Овх) • (1 - Остр), где Онс - ошибка нейронной сети, Овх - ошибка преобразования входных данных, Остр - ошибка определения стратегии.
С учетом ошибки вектор вероятностей P можно рассчитать следующим образом:
Pj = max P ,
Pj = Pj -(|V|-1)*О,
"Pj е p, i Ф j: Pj = pj + О.
Таким образом, все ошибки нейронной сети компенсируются при решении игры. После расчета вектора вероятностей P происходит розыгрыш игры по результатом которой выбирается наиболее выгодная для обороняющейся стороны стратегия.
Описанный метод противодействию DoS атакам позволяет эффективнее расходовать ресурсы и выбирать наиболее эффективные средства защиты в каждый промежуток времени.
Список литературы
1. Никитина Т. Месть ценой в 300 Гб/с, поразившая Европу. [Электронный ресурс]. URL: http://www.securitylab.ru/news/439008.php (Дата обращения 14.09.2013)
2. Крис Касперский. Техника сетевых атак. // М.: Издательство “Со-лон-Пресс”, 2001. 309c.
3. Афанасьев А. DDoS-атаки первого полугодия 2013 года. [Электронный ресурс]. URL: http://www.securelist.com/ru/analysis/208050810/ DDoS_ataki_pervogo_polugodiya_2013_goda. (Дата обращения 14.09.2013)
4. Н.Н. Воробьев. Теория игр для экономистов-кибернетиков. // М.: Наука, 1985. 273 с.
5. С. В. Гуцыкова. Метод экспертных оценок. Теория и практика //M.: Институт психологии РАН,2011. 144 с.
6. М. О. Чибиров. Об одной проблеме, возникающей при использовании теории игр в области защиты информации. // M.: Проблемы информационной безопасности в системе высшей школы. 2013.
7. И. А. Чучуева. Модель прогнозирования временных рядов по выборке максимального правдоподобия: дис. Московский Государственный Технический Университет им. Н.Э. Баумана. Москва, 2012.
8. Саймон Хайкин. Нейроные сети: полный курс 2-е издание. M.: Издательство “Вильямс”, 2006. 1104 с.
Руднев Дмитрий Олегович, студент, djma rudnev@,majl.ru, Россия, Тула, Тульский государственный университет,
Сычугов Алексей Алексеевич, канд. техн. наук, доц., xru2003@ljst.ru, Россия, Тула, Тульский государственный университет
THE OPTIMIZATIONMETHOD REMEDIESFROMDOS ATTACKS D.O. Rudnev А.А. Sychugov
The article analyzes the DoS attacks and defenses agajnst them. Thjs article describes an oPtimjzation algorithm means of Protection agajnst DoS attacks based on the Predjction of time series by means of neural networks, and then by the calculation of the most aPProPrjate means of Protection usjng comPetjtjve games.
Key words: network attacks, DoS attacks, game theory neural networks, oPtimjzation
of.
Rudnev Dmjtry Olegovjch, students, djma rudnev@,majl.ru. Russja, Tula, Tula State Unjversjty,
Sychugov Alexey Alexeevjch, candjdate of technjcal scjence, docent, xru2003@ljst.ru, Russja, Tula, Tula State Unjversjty
