Научная статья на тему 'Применение метода хертса для определения сезонности сетевого трафика с целью раннего обнаружения DDoS-атак'

Применение метода хертса для определения сезонности сетевого трафика с целью раннего обнаружения DDoS-атак Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
132
26
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / DDOS-АТАКИ / СЕЗОННОСТЬ ТРАФИКА

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Терновой О. С., Жариков А. В., Шатохин А. С.

Точное понимание сетевой нагрузки в каждый конкретный момент времени позволяет задавать границу предельно допустимой нагрузки для соответствующего временного периода. Нарушение данной границы будет свидетельствовать о присутствии в сетевом трафике аномалии. Определение границы для малых и средних периодов позволяет определить начало DDOS-атаки на ранней стадии. В данной статье предлагается указанную величину рассчитывать с учетом сезонных нагрузок в работе сетевых ресурсов. Приводится формальное описание сезонности сетевого трафика и применение метода Херста для её определения.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Терновой О. С., Жариков А. В., Шатохин А. С.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Применение метода хертса для определения сезонности сетевого трафика с целью раннего обнаружения DDoS-атак»

УДК 001.056.5

ИРИМЬНЬНИЬ Mh I С ДА ХЫЧСА ДИН ОШ'ЬДЬЛ ЬНИН СЬ 2UHHCL I И <_Ы tBÜ О I РАФИКА С ЦСЛЫО РАННЕГО ОБНАРУЖЕНИЯ DDCS-ATAK

О. С. Тсрновий. А. В. Ждркков. А С. Шахихнн Aimaticvuü государственный университет, ?.. Карчсуя, Россия

Анношппия - Точное понимание сетевой нагрузки в каждый конкретный момент времени позволяет задавать границу предельно допустимой нагрузки для соответствующего временного периода. Наруше нне данной гранниы оудег свидетельствовать о присутствии в сетевом трафике аномалии. Определение границы для малых и средних периодов позволяет определить начало DDOS-атакп на ранней стадии. В данной статье предлагается указанную величину рассчитывать с учетом сезонных нагрузок в работе се-1евыл. ресурсиь. Приьидшсм фирма.1ьние описание сезинниин смевши х рафика и применение мех ода Хнрси /ми иё пмрс.ж iphiim.

Клюиееые слова: информационная безопасность, DDOS-атакн, сезонность трафика.

I. ВВЕДЕНИЕ

DDUS-атака распределенная сетевая атака. направленная на отказ з обслуживании В процессе атаки такого типа к атакованному ссрвсру направляется огромное количество сетевых запросов, не несущих полезную нагрузку и сгенерированных так назызаемой зомби-сетью. Атакованный компьютер не может обработать есс запросы, в результате иромеходлх отказ в обслуживании. Как. иравнии. конечными причинами отказа в oöuiy-

ЖИНИЬИИ lUOiyr Гш'1 К llr-JK-HH IIIV НГННГ IIO.UK М 11[ММ1уг-.КИНИМ КИНИ.1И ГКИЧИ. ШПИЛИ у1ИЛИ:-СН1|ИМ ()|1Г{И1ТИКН€>Й 1ММЯ-

гн сервера или его вычислительных ресурсов.

Эффективность отра^секия DDOS-атакп силами конечного ресурса напрямую зависит от времени определения точки качала атаки. Чем раньше удается определить точку начала атаки, тем больше ресурсов сервер может потратить на определение н блокировку поступающих вредоносных запросов.

и. Постановка задачи

Традиционно обнаружение начала DDOS-атакн проводят, рассчитывая максимальное количество запросов к

(ПГКМИу ИЛИ ЖГ МаКГИМЛПЬНОГ ЮПИЧЛЧНИ «И]»;К ОК { IlllJH-,ir'JltiHHC>m/VIJK-t'H Фикгицим Я ГЛКН II]H»* X<1-

.пит f глучае нарушения зядяннпй границы Ия-чя польптой чпгя-н.льностя гртево-о трафика r пиготгые периоды нагрузка может быть в десятки раз больше периодов простоя, данный метод не является оптимальным. Так. например, он позволяет злоумышленнику начать атак]/ в период наименьшей естественней нагрузки к быть незамеченным до следующего естественного пика. Данный способ атаки позволяет злоумышленнику произвести негативное обучение фильтров [1].

Для рапиего обнаружения начала атаки предлагается использовать расчет допустимой верхней границы |ш днвнлуально для каждого необходимого временного периода |2J-

Таким образом, задача раннего обнаружения начала атаки сводится к определению актуальных сезонных периодов В качестве гипотезы выдвинуто предположение с существовании нелинейной сезонности сетевого трафика

Предварительно, для подтверждения или опровержения гипотезы о присутсгвии сезонного компонента в сетевой нагрузке, были обработаны данные о различных периодах (часовых, суточных, недельных) сетевой нагрузки более 60 ннтернегсервиеов. в том числе социальной сети -<ВКонтакте>- н других популярных сервисов Материал для предварительных исследований был лслучеи in открытых источников ппгерпет сервиса сетевой статистики «Libclntcnict» [ó \.

Повторяющиеся пики н спады на графиках свидетельствуют э наличии различных периодов сезонности в работе сетевых ресурсов. Так. например, сайт регионального средства массовой информации «Амитея» имеет выраженную суточную и часовую сезонность (рис. 1.2).

При :»IIIV при !St { МИ1]1РНИИ флфик.1 пекпуиикш^п» ИХ рН-МИЧ HhlX 1<>]К1ДСЖ И П]1>1Н МИрИ ИНДИИ, Hill и -»ItM-

трафик подвержен сезонности (рас. 3). Причина такого вида сезонности связанна, во-первых с поведением целевых посетителей данного сайга. Оснозакная аудитория сайга - это служащие, просматривающие новости в течение рабочего дня со своих компьютеров Во вторых, ото обновление информации на сайте: облигация новостей происходит тате же d течегае раОочего дня. в другое время сайт не имеет актуальной, новой хшфоэма цю1. а значит, ис может претендовать на новых посетителей

Кот им* creo

— Просмотры

- Посетители

Рис. 1. Месячная нагрузка спита СМИ «Амнтсл>-

Просмотры

О 1 4 в 9 10 12 14 16 18 X 72

- апрель 2014 1.

- март 2014 Г.

- в среднем эаЭ месяце

Рис ? Гупнняи ни1])у.чка сангя СМИ иАмипгл»

кппичвогяп

- Барнаул

- Нодосибирск

- Москве

- Санкт-Петербург

- Кемерово

Ркс. 3. Месячная нагрузка сайта СМИ <Амител» по регионам н городам России

Сайт социальной с ста «ВКонтактс» охватывает различные категории пользователей, получающих доступ к сайгу в разно? время п из различных мест, при этом сергис постоянно наполняется, агрегируя контент, который выставляют его пользователи. На графике видно, что сайт не имеет выражетлгой суточной сезоипости (рис. 1), однако имеется внучрн суточная сезонность, совпадающая с пиками в течение дня и спадом ночью (рнс. 5). Это свидетельствует о влиянии биологических ритмов пользователя на определение сезонности в работе сетевого ресурса.

Количество

6 атр 12апр 18 апр 24 апр ЭОапо 6 мая

9 апр 15 31Э 21 апр 27 апр 3 «ая

- Просмотры

- Посетит оли

Рис 4. Месячная нагрузка сайга социальной сети «БКонтакте»

irfl.1100.fMD

60,000.030

- 28 «првпн, ЛОИ«Д9ЛЬННК

- 27 апреля, воскресенье

- о среднем за7 дней

- и средним м понедельник

Риг 1 Суточная нагрузка сайта гоциагъноЯ сети «ШСонтякте>. ТГ ТЕОРИЯ

Для определения актуальных сезонных, периодов и доказательств иущечвиьания сезоннссш был применен ме1ид Херсга [4].

Тп=[(Т-1Уп] - число блоков, где п=2..[Т<'2] (К/5) значение рассчитывается для каждого блока:

(Я/5) 2 =

С«А)з =

С Л/5Х- -1.' '

1п

где, 5" - дисперсия 1 значений

Х(р./) = — Ту). накопленное отклонение

т^ — среднее j значений

/?(/) - ">нХх<?</ АГ(Г,У) - - рлчмих

Для каждого зпапепия : строится график зависимости 1г. отЬп(к).

1 рафик линейно аппроксимируется. Коэффициент наклона кривой даст оценку показателя Хсрста (Н) (рис. 6). Принимая во внимание размер блока 1 час. выделяем сезонный период в 5.6 дней, соответствующий

¡мПоЧГИ НРДГ.1Г

Рис 6.1.рнмер КД> графика. Показатель Херста (Н)-0.6э. размер Ьлока 1 час

IV РРТУЛЪТЛТЫ ЭК111гКИМКНТОЯ Для подтверждения или эпроЕержения предложенного метода по определению сезонных периодов были обработаны данные, соответствующие реальней сетевой нагрузке 20 различных ннгеркетсайтов н сервисов. В качестве источника данных использовались стандартные асссзз.1о£-файлы, генерируемые \\:сЪ-ссрвсрамн АрасЬе н ^шх.

Предвари .е.хьно были проанализированы иишнехсгвуншше 1рафи*.и ндхру^кн и и ручном режиме выделены сезонные периоды Я дальнейшем гги периоды грачкияатшгк с результатах™ полученными з резулъ-ате работы предложенного выше алгоритма. Сводные результаты всех экспериментов приведены в табл. 1.

ТАБЛИЦА 1

Размер одного блока Ошибка первого рода(%) Ошибка второго рода(?о)

1 МИН 58 10.9

1 час 0.43

24 часа 0,11 0,21

V. ВЬШиДЫ И ЗАКЛЮЧЕНИИ

В результате экспериментальной обработка! данных. соответствующих реальной нагрузке сетевых сервисов предложенным выше способом:

1. Доказано наличие существования нелинейной сезонности сетевого графика

7. Док тяни шнможжхпь игполкхокиння мпо.'и Хе*1КП71 ;иш шфгделгним «ложных нг.жнгйннх (кшннмх периодов.

Также в результате работы выявлены факторы, влияющее на выделение сезонности, размера и времени сезонных периодов:

• от биологических ритмов пользователей;

• от времени обновления информации и работы сервиса:

• от внутридневного распорядка пользователей и особенностей их доступа к сетевому7 ресурсу.

Предложенный выше метод может быть использован для более точного расчета допустимой границы полезной нагрузки, для определения сетевых аномалий или DDOS-атак. Также в условиях облачного хостинга этот способ может помочь в планировании использования системных ресурсов, настройке автомасштабнровання аренды вычислительных ресурсов н как следствие, снижении финансовых затрат.

СПИСОК ЛИТЕРАТУРЫ

1. Щерба Е. В.. Волков Д. А. Разработка системы обнаружения распределенных сетевых атак типа «Отказ в обслуживания» И Прикладная дискретная математика. Приложение. 2013. № 6. С. 68—70.

2. Терновой О. С. Методика и средства раннего выявления и противодействия угрозам нарушения информационной безопасности в результате DDoS-атак // Известия Алтайского государственного университета. 2013. № 1/2(77). С. 123-126

3. Сервис статистики Livelnremet. URL: http:/'Vwvnv.liYeintemet.пл-'согр■ abom.htinl

4 Петере Э. Э. Хаос и порядок. М.: Мир, 2000. 85 с.

i Надоели баннеры? Вы всегда можете отключить рекламу.