CC BY
23Решетневскце чтения
K. D. Mykhaylov
Siberian State Aerospace University named after academician M. F. Reshetnev, Russia, Krasnoyarsk
TO THE DETECTION OF ANOMALIES IN THE ACTIONS OF REGISTERED USERS
OF AUTOMATION SYSTEM
The possible ways to detect anomalous behavior of users and a method for optimizing the costs of their identification are contemplated.
© Михайлов К. Д., 2012
УДК 004.056
Е. Ю. Моисеев
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Россия, Красноярск
ОБ ОБНАРУЖЕНИИ И ПРЕДОТВРАЩЕНИИ DOS- И DDOS-АТАК В СЕТЯХ ПРОВАЙДЕРОВ РЕГИОНАЛЬНОГО УРОВНЯ
Рассматривается описание проекта системы по обнаружению и предотвращению DoS- и DDoS- атак для применения в сетях региональных провайдеров.
Современное развитие глобальных вычислительных сетей позволяет за небольшой отрезок времени организовать бот-сеть для проведения информационных атак типа «отказ в обслуживании» (DoS - Denial of Service) и распределенных атак типа «отказ в обслуживании» (DDoS - Distributed Denial of Service) на серверы. С учетом данного фактора выделение недостаточного количества ресурсов для устранения этой угрозы может привести к серьезным последствиям. Так, по статистике «Лаборатории Касперского», во втором полугодии 2011 г. лидером по количеству источников DDoS-трафика стала Россия, самым распространенным типом атаки является «HTTP flood», а лидерами по числу атак выступили ресурсы в сфере интернет-торговли [1]. Любой отказ в обслуживании в данной сфере бизнеса ведет к значительным финансовым убыткам. Защита от DoS-атак становится более эффективна, если она производится ближе к источнику атаки. С точки зрения данного аспекта наибольшим потенциалом в борьбе с DDoS обладают провайдеры регионального уровня.
Преимущества региональных провайдеров по сравнению с другими участниками сети Интернет заключаются, во-первых, в организации непосредственного доступа к глобальной сети клиентских машин, потенциально являющихся участниками вредоносной бот-сети или целью информационной атаки. Во-вторых, провайдеры имют доступ к нескольким магистральным линиям связи, что позволяет распределить нагрузку во время проведения информационной атаки и обеспечить доступность атакуемого ресурса. Также имеется практическая возможность для работы с большим количеством проходящего через сеть трафика с целью дальнейшего разбора и анализа.
Таким образом, разработка и внедрение системы обнаружения и предотвращения DoS- и DDoS-атак
именно на уровне региональных провайдеров является актуальной научно-практической задачей. Перед системой защиты данного класса ставится задача по обеспечению безопасности, в аспекте доступности, не только непосредственных клиентов провайдера, но и недопущению выхода вредоносного трафика из подконтрольной зоны. Следовательно, должен фильтроваться трафик, входящий в систему, трафик внутри зоны и исходящий из нее.
Система и ее компоненты должны выполнять следующие функции:
1) анализ количества и содержания трафика проходящего через систему, и создание эталонной модели состояния сети провайдера в определенное время, с которой будет происходить сравнение последующих состояний системы для выявления аномальной активности участников информационного обмена;
2) временное блокирование отдельных хостов или целых сегментов сети, классифицированных как активных агентов бот-сети, система будет принимать решения в режиме реального времени на основании заголовков протоколов, начиная с транспортного уровня;
3) перераспределение маршрутов фильтрации трафика с применением протоколов маршрутизации и динамическим написанием ACL (Access Control List, список контроля доступа), внутри сегментов сети и с использованием магистральных и внутренних каналов для обеспечения доступности атакуемого ресурса во время проведения информационной атаки;
4) мониторинг загрузки каналов с целью выявления «узких» мест, требующих увеличения пропускной способности, а также представление данной информации в доступном графическом виде.
Архитектура системы требует наличия ее агентов на всех трех уровнях сети провайдера. На уровне дос-
Методы и средства защиты информации
тупа необходим контроль над сетевыми интерфейсами, конкретно - над их состоянием: включен или выключен.
На уровне распределения (агрегации) задачи агентов расширяются, помимо управления необходима регистрация информации о состоянии и загрузки интерфейсов, сканирование прямоходящего трафика и передачи данной информации центру сбора статистики.
Решением поставленных задач на двух данных уровнях может являться протокол прикладного уров -ня SNMP [2], он отвечает следующим требованиям: имеет открытую и понятную структуру; реализован на большинстве современных сетевых устройствах. На уровне ядра сети к вышеперечисленным требованиям добавляется маршрутизация промаркированного системой трафика, перераспределение его между имеющимися внешними магистральными и внутренними локальными каналами, для этого можно использовать протокол маршрутизации BGP [3]. Также на этом уровне к сети провайдера подключается сервер: хранилище статистики, центр обработки статической информации и принятия решений.
Таким образом, введение в эксплуатацию данной системы позволит провайдеру вести достаточно эффективную борьбу с DoS- и DDoS-атаками, снизить нагрузки на собственное оборудование и каналы передачи данных, предоставить дополнительный сервис своим абонентам и производить мониторинг загрузки каналов в наглядной форме внутри собственной сети.
Библиографические ссылки
1. DDoS-атаки второго полугодия 2011 года [Электронный ресурс]. URL: http://www.securelist.com/ru/ analysis/208050745/DDoS_ataki_vtorogo_polugodiya_20 11_goda (дата обращения: 07.09.2012).
2. RFC 3411: An Architecture for Describing Simple Network Management Protocol (SNMP) Management Frameworks [Электронный ресурс]. URL: http://www.ietf.org/rfc/rfc3411.txt (дата обращения: 07.09.2012).
3. RFC 1998: An Application of the BGP Community Attribute in Multi-home Routing [Электронный ресурс]. URL: http://tools.ietf.org/html/rfc1998 (дата обращения: 07.09.2012)
E. Yu. Moiseev
Siberian State Aerospace University named after academician M. F. Reshetnev, Russia, Krasnoyarsk
ON DETECTION AND PREVENTION OF DOS AND DDOS ATTACKS IN THE PROVIDER NETWORKS OF REGIONAL LEVEL
The description of the project of system on detection and prevention of DoS and DDoS of attacks used at local provider nets is given.
© Моисеев Е. Ю., 2012
УДК 669.713.7
С. А. Поздняков
Омский государственный университет имени Ф. М. Достоевского, Россия, Омск
ИСПОЛЬЗОВАНИЕ СХЕМЫ СОВПАДЕНИЙ В СИСТЕМАХ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ
НА ОСНОВЕ НЕЙРОННЫХ СЕТЕЙ
Предложена схема совпадений для систем обнаружения вторжений на основе нейросетевого подхода. Показано, что использование нескольких нейросетей с последующим сравнением результатов приводит к повышению эффективности обнаружения сетевых атак. Проведен компьютерный эксперимент с использованием образцов реального трафика.
Предлагаемый метод совпадений основан на том, что различные нейросети могут детектировать различные атаки. Ложные срабатывания также происходят не всегда на одних и тех же пакетах. Будем использовать три нейросети с различными топологиями, на вход которых подается один и тот же трафик. На выходе каждой нейросети результаты будут представлены в виде многомерного вектора, каждая координата которого соответствует одному из видов атак. Если нейросеть детектирует атаку, то соответствую-
шая координата принимает единичное значение, в противном случае - нулевое.
Результирующий вектор будем находить как сумму выходных векторов трех нейросетей. Если в результирующем векторе координата нулевая или единичная, то атака отсутствует.
Единица означает, что на одной из нейросетей произошло ложное срабатывание. Если значение координаты вектора равно 2 или 3, то произошла атака соответствующего типа.
