CC BY
11КОМПЬЮТЕРНЫЕ И ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
(COMPUTER & INFORMATION TECHNOLOGIES)
УДК 004.056
Белоусова А.С.
студентка магистратуры 1 -го курса Российский экономический университет имени Г. В. Плеханова
(г. Москва, Россия)
ОЦЕНКА МОЩНОСТИ АТАК ТИПА «ОТКАЗ В ОБСЛУЖИВАНИИ» С ИСПОЛЬЗОВАНИЕМ НЕЧЕТКОЙ ЛОГИКИ
Аннотация: в статье была разработана модель оценки уровня мощности DDoS-атак на основе применения нечеткой логики. Проведен анализ количественных и качественных характеристик распределенных DoS-атак. Предлагается методика оценки мощности атак типа «отказ в обслуживании» на основе трех входных параметров - объем, скорость и продолжительность и базе нечетких правил. Смоделированы трехмерные поверхности нечеткого вывода, отображающие зависимость входных лингвистических переменных на выходную.
Ключевые слова: информационная безопасность, информационные технологии, отказ в обслуживании, DDoS-атака, нечеткая логика.
Распределенные атаки типа «отказ в обслуживании» или DDoS-атаки — это тип кибератак, при которых злоумышленники пытаются перегрузить целевую систему или сеть, создавая огромное количество трафика или запросов. Целью таких атак является временный или длительный отказ в обслуживании для легитимных пользователей. DDoS-атаки представляют серьезную угрозу для организаций и веб-ресурсов, поскольку они могут привести к временной или постоянной недоступности информационных ресурсов, потере данных, снижению производительности и репутационным проблемам.
Согласно аналитическому отчету ASERT Team за март 2023 года количество распределенных DoS-атака, направленных на Россию, увеличилось примерно на 230% [1] по сравнению с предыдущими месяцами. Кроме того, в полугодовом отчете IT-компании Netscout об угрозах DDoS-атак представлена статистика по российским секторам, которые наиболее серьезно пострадали во второй половине 2022 года от распределенных атак типа «отказ в обслуживании», основными целями злоумышленников являлись сфера телекоммуникаций, операторы беспроводной и проводной связи, а также центры обработки данных [2].
Существуют несколько методов оценки атак типа «отказ в обслуживании», так как их характеристики и последствия, к которым они могут приводить, сильно варьироваться в зависимости от множества факторов, однако эксперты в области информационной безопасности выделяют три ключевые характеристики для измерения DDoS-атак — это мощность, частота и их длительность. Мощность распределенных атак типа «отказ в обслуживании» отражает объем трафика или запросов, генерируемых атакующими и направляемых на целевую систему или сеть. Мощность атаки является одним из основных факторов, определяющих ее разрушительность, чем она больше, тем выше вероятность перегрузки и отказа в обслуживании. По данным экспертов информационной безопасности StormWall в начале 2023 года мощность распределенных атак типа «отказ в обслуживании» против объектов Российской Федерации выросла на 17% по сравнению с прошлым годом [3].
Мощность атак типа «отказ в обслуживании» определяется на основании трех параметров: объем; скорость; продолжительность [4]. Объем DDoS-атак измеряется в битах в секунду (bits per seconds, BPS). C 2019 и по 2023 гг. объем данного типа атак составил в среднем от 100 мегабит (Mbps) до 1 гигабита (Gbps) в секунду [5]. Скорость атаки обычно измеряется в пакетах в секунду (packets per second, PPS). Эта метрика указывает на количество пакетов, генерируемых злоумышленниками и направляемых на целевой ресурс в единицу времени. По
оценкам аналитиков Cloudflare, большинство DDoS-атак сетевого уровня в 2022 году составляли ниже 50 000 пакетов в секунду, средний мировой показатель находился в диапазоне от 10 000 до 50 000 пакетов в секунду [6]. Продолжительность DDoS-атак измеряется в минутах, 46% от общего числа распределенных атак типа «отказ в обслуживании» в первом квартале 2023 года длились от 5 до 15 минут [7]. Данные характеристики мощности атак типа «отказ в обслуживании» часто выражают через различные качественные показатели, например, если говорят про длительность атаки, то обычно выделяют «короткие» и «длинные», вопрос «насколько массовая была DDoS-атака?» обычно относится именно к объему атаки, его различают на «слабые» и «сильные». Перечисленные словесные формулировки зависят от экспертной оценки и носят в большей степени субъективный характер, поэтому применение нечеткой логики в качестве математического аппарата целесообразно в случае оценки мощности атак типа «отказ в обслуживании».
Для создания модели оценки уровней мощности распределенных DoS-атак необходимо разработать экспертную систему, которая была бы реализована в виде системы нечеткого вывода и позволяла определять мощность на основе трех ключевых параметров, рассмотренных нами ранее. Проектирование и моделирование системы на основе нечеткой логики будет проводиться посредством пакета расширений Fuzzy Logic Toolbox в математическом программном обеспечении MATLAB. В качестве входных данных будут использованы три лингвистические переменные, представленные в таблице 1.
Таблица 1. Входные лингвистические переменные
№ Обозначение Название переменной Терм-множество
1 Объем Тг = {«Низкий», «Средний», «Большой»}
2 Скорость Т2 = {«Низкая», «Средняя», «Выше среднего», «Высокая»}
3 Продолжительность Т3 = {«Короткая», «Средняя», «Длинная»}
Выходной переменной будет являться уровень мощности распределенной атаки типа «отказ в обслуживании», обозначим ее за У, терм-множество данной лингвистической переменной: Т(У) = {«Незначительный», «Средний», «Высокий»}.
После определения входных и выходных переменных необходимо сформировать базу правил нечеткого вывода, данная база будет составлена из нечетких высказываний, содержащих формулировку «если то», а также функций принадлежности для лингвистических терминов [8]. Всего было сформулировано 36 правил, фрагмент нечеткой базы знаний представлен на рисунке 1.
Weight Name
8 If Объём is Низкий and Скорость is Средняя and Продолжительность is Длинная then Уровень мощности is Незна... 1 rule8
9 If Объём is Низкий and Скорость is Выше среднего and Продолжительность is Средняя then Уровень мощности is ... 1 rule9
10 If Объём is Низкий and Скорость is Выше среднего and Продолжительность is Длинная then Уровень мощности is ... 1 rulelO
11 If Объём is Низкий and Скорость is Высокая and Продолжительность is Средняя then Уровень мощности is Средний 1 rule11
12 If Объём is Низкий and Скорость is Высокая and Продолжительность is Длинная then Уровень мощности is Средний 1 rule12
13 If Объём is Средний and Скорость is Низкая and Продолжительность is Короткая then Уровень мощности is Незна... 1 rule13
14 If Объём is Средний and Скорость is Низкая and Продолжительность is Средняя then Уровень мощности is Незна.., 1 rule14
15 If Объём is Средний arid Скорость is Низкая and Продолжительность is Длинная then Уровень мощности is Незна... 1 rule15
16 If Объём is Средний and Скорость is Средняя and Продолжительность is Короткая then Уровень мощности is Сре... 1 rule16
17 If Объём is Средний and Скорость is Средняя and Продолжительность is Средняя then Уровень мощности is Сред... 1 rule17
18 If Объём is Средний and Скорость is Средняя and Продолжительность is Длинная then Уровень мощности is Сред... 1 rule16
19 If Объём is Средний and Скорость is Выше среднего and Продолжительность ¡s Короткая then Уровень мощности ... 1 rule19
20 If Объём is Средний and Скорость is Выше среднего and Продолжительность is Средняя then Уровень мощности ¡... 1 rule20
21 If Объём is Средний and Скорость is Выше среднего and Продолжительность is Длинная then Уровень мощности i... 1 rule2l
22 If Объём is Средний and Скорость is Высокая and Продолжительность is Короткая then Уровень мощности is Выс... 1 ru!e22
23 If Объём is Средний and Скорость is Высокая and Продолжительность is Средняя then Уровень мощности is Высо... 1 rule23
24 If Объём is Средний and Скорость is Высокая and Продолжительность is Длинная then Уровень мощности ¡s Высо... 1 rule24
25 If Объём is Большой and Скорость is Низкая and Продолжительность is Короткая then Уровень мощности is Сред... 1 rule25
26 If Объём is Большой and Скорость is Низкая and Продолжительность is Средняя then Уровень мощности is Средний 1 rule26
Рис. 1 Правила нечеткого вывода
Функции принадлежности задаются различными типовыми формам кривых, но наибольшее распространение получили три следующие - это треугольная, трапецеидальная и гауссова. Для графического представления функций принадлежности входной переменной «Объем» будет использоваться трапецеидальная форма. Параметры лингвистического терма «низкий» - [0 0 80 150], терма «средний» - [100 200 600 700], терма «высокий» - [650 800 1000 1000]. Универсальным множеством будут являться значения от 0 до 1000, что соответствуют объему от 0 мегабит до 1 гигабита в секунду.
Для графического представления функций принадлежности входной переменной «Скорость» используются как трапецеидальный, так и треугольные формы. Параметры лингвистического терма «Низкая» - [0 0 25 50], терма «Средняя» - [45 180 300], терма «Выше среднего» - [250 500 750], терма «Высокая» - [700 800 1000 1000]. Универсальным множеством будут являться значения от 0 до 1000, что соответствуют скорости от 0 до 1000 килопакетов в секунду. На рисунке 2 представлены параметры входных лингвистических переменных «Скорость» и «Объем».
Рис. 2 Параметры входных переменных «Скорость» и «Объем»
Для входной переменной «Продолжительность» функции принадлежности будут трапецеидальными и треугольными. Параметры лингвистического терма «Короткая» - [0 0 7 15], терма «Средняя» - [10 20 30], терма «Длинная» - [25 45 60 60]. Универсальным множеством будут являться значения от 0 до 60, что соответствуют количеству минут. На рисунке 3 представлены параметры входной лингвистической переменной «Продолжительность».
Рис. 3 Параметры входной переменной «Продолжительность»
Для выходной переменной «Уровень мощности» функции принадлежности также будут являться трапецеидальными и треугольными. Параметры лингвистического терма «Незначительный» - [0 0 20 30], терма «Средний» - [25 40 55], терма «Высокий» - [50 60 70], терма «Критический» -[65 80]. На рисунке 4 представлены параметры лингвистической переменной «Уровень мощности».
Membership Function Plot
О 10 го 30 40 50 60 70 80 SO 100
Output Variable "Уровень мощности"
Рис. 4 Параметры выходной переменной «Уровень мощности»
В качестве примера для оценки уровня мощности рассмотрим DDoS-атаку, для которой соответствуют следующие входные данные: объем составил 750 Мбит/с, скорость атаки равна 900 килопакетов/с, продолжительность - 15 минут. Вводим полученные значения в графическое окно нечеткого вывода в Fuzzy Logic Designer. Согласно введенным нами значениям, уровень мощности атаки типа «отказ в обслуживании» будет равняться 84.6 (критический уровень мощности), что соответствует правилу №35 «Если объём - большой и скорость - высокая и продолжительность - средняя, тогда уровень мощности -критический». На рисунке 5 представлен фрагмент результатов вычислений нечеткого вывода для оценки мощности.
Рис. 5 Окно вывода графического представления правил нечеткого вывода
Взаимосвязь между входными параметрами «Объем», «Скорость» и выходным параметром «Уровень мощности», а также входными параметрами «Продолжительность», «Скорость» и выходным параметром «Уровень мощности» представлена на рисунке 6.
Рис. 6 Поверхности зависимостей выходной переменной «Уровень мощности» от входных
Разработанная модель с использованием нечеткого вывода позволяет оценить уровень мощности DDoS-атак на базе программного обеспечения MATLAB, что может быть использовано для планирования и защита инфраструктуры, так как определение уровня мощности помогает организациям заранее принимать соответствующие решения для защиты своих информационных ресурсов. Зная, насколько мощные могут быть атаки, компании могут разработать и внедрить адекватные организационные и технические меры по обеспечению информационной безопасности для минимизации потенциального ущерба. Кроме того, определение уровня мощности распределенных атак типа «отказ в обслуживании» может помочь создать систему предупреждения и реагирования на такие атаки. Мониторинг и анализ показателей мощности позволяет рано обнаружить атаку и быстро принять меры для снижения ее воздействия.
СПИСОК ЛИТЕРАТУРЫ:
1. DDoS Threat Landscape - Russia // Netscout [Электронный ресурс]. URL: https://www.netscout.com/blog/asert/ddos-threat-landscape-russia (дата обращения: 11.07.23).
2. Netscout DDoS threat intelligence report: Findings from 2nd half 2022, Russian Federation // Netscout [Электронный ресурс]. URL: https://www.netscout.com/threatreport/emea/russian-federation/ (дата обращения: 11.07.23).
3. Кильдюшкин Р. Эксперты зафиксировали рост мощности DDoS-атак в России // Интернет-издание Газета.ру [Электронный ресурс]. URL: https://www.gazeta.ru/tech/news/2023/04/20/20254069.shtml (дата обращения: 11.07.23).
4. The Imperva Global DDoS Threat Landscape Report 2023 [Электронный ресурс]. // Imperva [Электронный ресурс]. URL: https://softprom.com/sites/default/files/materials/the-imperva-global-ddos-threat-landscape-report-2023.pdf (дата обращения: 12.07.23).
5. Netscout DDoS threat intelligence report: Findings from 2nd half 2022: Global Highlights // Netscout [Электронный ресурс]. URL:
https ://www.netscout.com/threatreport/ global-highlights/ (дата обращения: 12.07.23).
6. Yoachimik O. DDoS attack trends for 2022 Q2 // Cloudflare [Электронный ресурс]. URL: https://blog.cloudflare.com/ddos-attack-trends-for-2022-q2/ (дата обращения: 14.07.23).
7. The 2023 DDOS threat landscape report // Arelion [Электронный ресурс]. URL: https://www.arelion.com/knowledge-hub/white-papers/ddos-threat-landscape-report-2023 (дата обращения: 17.07.23).
8. Штовба С.Д. Проектирование нечетких систем средствами MATLAB / С.Д. Штовба. - М. : Горячая линия - Телеком, 2007. - 288 c.
Belousova A.S.
A first-year master's student Plekhanov Russian University of Economics (Moscow, Russia)
EVALUATION OF THE MAGNITUDE OF DISTRIBUTED DENIAL OF SERVICE ATTACKS USING FUZZY LOGIC
Abstract: a model for assessing the magnitude level of DDoS attacks based on the use of fuzzy logic was developed in the article. An analysis of the quantitative and qualitative characteristics of distributed DoS attacks has been carried out. A technique for evaluating the magnitude of denial-of-service attacks is proposed based on three input parameters - volume, speed and duration, and is
based on fuzzy rules. Three-dimensional surfaces of fuzzy inference are modeled, displaying the dependence of input linguistic variables on the output.
Keywords: information security, information technology, denial of service, DDoS attack, fuzzy logic.
