УДК 004.73
© P.P. Фаткиева
ПРИМЕНЕНИЕ ВЕЙВЛЕТОВ ДОБЕШИ ДЛЯ ОБНАРУЖЕНИЯ АНОМАЛИЙ СЕТЕВОГО ТРАФИКА
В статье представлен подход к обнаружению DDoS-атак, основанный на применении вейвлет-разложения для анализа сетевого трафика при воздействии на него различных аномальных явлений. Показана возможность идентификации DDoS-атаки при увеличении легитимного трафика на основании изменения усредняющих коэффициентов.
Ключевые слова: информационная безопасность, распределенный отказ в обслуживании, сетевой трафик.
© R.R. Fatkieva
APPLICATION OF DAUBECHIES WAVELETS FOR NETWORK TRAFFIC ANOMALIES DETECTION
An approach to DDoS attacks detection based on wavelet analysis of users" traffic under influence of various anomaly phenomena is presented in the paper. Capability of DDoS attack identification at legitimate traffic growth on the basis of averaging coefficients" variations is demonstrated.
Keywords: information security, distributed denial in service, network traffic.
Введение
Распределенные атаки типа DDoS отличаются наличием множества участников (агентов), действующих из разных участков сети с помощью заранее подготовленного программного обеспечения. Выявление атакующих агентов до начала и во время атаки затруднительно, так как новые участники могут вводиться по мере прекращения доступа к системе уже введенных. Проблема усугубляется тем, что по составу трафика такие атаки могут быть почти неотличимы от легитимной нагрузки [1]. При повышении легитимной нагрузки вероятность срабатывания средств защиты увеличивается, что приводит к ложным срабатываниям и невозможности доступа легитимных пользователей. С другой стороны, атаки по результату можно разделить на деградационные, разрушительные, перманентные, и несвоевременное вмешательство может повлечь полный выход из строя или увеличить восстановление сервиса. В связи с этим возникает проблема отличия возрастающего легитимного трафика от эффективно спланированной DDoS-атаки.
1. Вейвлет-разложение сетевого трафика
Для исследования сетевого трафика с учетом его хаотичного характера на мелком масштабе возможно использование вейвлетов семейства До-
беши [2], которые характеризуются большим числом исчезающих моментов (большее число исчезающих моментов позволяет описывать функции полиномиального характера большего порядка) при минимальном размере носителя, что в некоторой степени подходит для анализа сетевого трафика. Зачастую средняя нагрузка на обслуживающую систему за небольшой отдельно взятый промежуток времени не является постоянной величиной. Например, нагрузка на веб-сервер, популярный в определенных часовых поясах, будет выше в дневное время. При этом числовые значения коэффициентов не зависят от положения аномалии в сигнале. Если атака состоит из периодических коротких всплесков (например, семантическая атака, расходующая ресурсы сервера за короткий интервал, но на долгий период), возникшая аномалия все равно будет присутствовать в коэффициентах разложения, которые напрямую зависят от амплитуд аномалий и являются более чувствительными к кратковременным изменениям, чем к долговременным. Рост легитимного трафика, в отличие от флуд-атак, имеет небольшую амплитуду и происходит на протяжении длительного времени, поэтому будет оказывать минимальное влияние на коэффициенты разложения.
Выявление ББоЗ-атак с помощью сравнения характеристик обычного сетевого трафика и трафика с атакой проводилось специализированной системой сбора и управления трафика, позволяющей контролировать характеристики трафика в реальном времени [3]. Легитимный трафик снимался в течение 15 минут, на протяжении которых выполнялось одновременно до 1000 запросов на соединение со случайными паузами по 1-5 секунд. Получено среднее значение аппроксимирующих коэффициентов, равное 1282103.79, и среднеквадратичное отклонение детализирующих коэффициентов 15928.93. Оценка отклонений в ситуации при резком росте нагрузки, вызванной наплывом клиентов, показала, что все детализирующие коэффициенты вейвлет-разложения лежат в небольшом интервале (рис. 1), а рост нагрузки влияет на усредняющие коэффициенты.
Рис. 1. Вейвлет-разложение легитимного сетевого трафика
Детализирующие коэффициенты, кроме самых крупномасштабных, мало затронуты, что подтверждается полученными средними значениями аппроксимирующих коэффициентов 2152818.52 и среднеквадратичными отклонениями детализирующих коэффициентов 27531.12.
При моделировании ЗУТЧ-йоос! атаки регистрация трафика показала высокую амплитуду колебаний и увеличение среднего значения по сравнению с легитимным трафиком (рис. 2). В связи с наличием в трафике большого отклонения в небольшом окне происходит отклонение среди тех детализирующих коэффициентов разных масштабов, которые отвечают за этот временной участок (среднее значение аппроксимирующих коэффициентов 4506166.73 и среднеквадратичного отклонения детализирующих коэффициентов 349822.19).
3. Характеристики трафика с приростом нагрузки и наличием
атаки
Рассмотрим предыдущую атаку на фоне зафиксированного ранее трафика с приростом нагрузки. В связи с тем, что цель атаки - стремление создать максимально большой поток данных, общее изменение амплитуды трафика значительно превышает легитимный рост трафика.
Рис. 2. Вейвлет-разложение трафика с резкими приростами нагрузки
При этом вейвлет-разложении 8У1Ч-флуд имеет более хаотический характер, чем легитимный трафик, и большую амплитуду изменения трафика при маленьком временном окне, поэтому затронуты коэффициенты самых мелких масштабов (рис. 3, 4).
Рис. 3. Вейвлет-разложение SYN-флуд атаки
Получены средние значения аппроксимирующих коэффициентов 3611176.28 и среднеквадратичное отклонение детализирующих коэффициентов 196269.31.
Рис. 4. Вейвлет-разложение 8УТЧ-флуд атаки на фоне растущего трафика
Рассмотрим влиянием атаки 81о\¥1опз на изменения детализирующих и аппроксимирующих коэффициентов. Атака 81о\¥1опз является полностью семантической атакой и почти не вызывает изменения в среднем значении трафика, что делает ее более сложной для выявления. Единственной крупной аномалией является полное исчезновение легитимного трафика, и это в значительной мере должно затруднить обнаружение этой атаки до ее полного успеха. Вейвлет-разложение для полученного трафика целиком и без учета момента начала полного исчезновения легитимного трафика показало, что атаку выдают два вида аномалий - рост нагрузки, вызванный быстрым установлением большого числа соединений, и почти полное исчезновение нагрузки после истощения таблицы соединений (рис. 5).
Анализ изменений характеристик вейвлет-разложения, в частности, изменений детализирующих коэффициентов разложения, показал возможность выявлений аномалий в сетевом трафике (табл. 1). При уменьшении коэффициента отношения исходных данных и увеличении коэффициента отношения детализирующих данных, полученных в ходе применения вейвлет-анализа, можно предположить об аномальном поведении трафика и возможном проведении Бо8- или ББоЗ-атаки.
Таблица 1
Среднее значе- Среднеквадратичное DEV/AVG
ние усредняю- отклонение детали-
щих коэффи- зирующих коэффи-
циентов А УС циентов DEV
Нормальный трафик 1282103 15928 80.49
Рост нагрузки 2152818 27531 78.19
БУЫ-флуд 4506166 349822 12.88
Рост нагрузки и 3611176 196269 18.39
БУЫ-флуд
81о\у1оЙ5 до сбоя 1285656 24582 52.30
81О\у1ОЙ5 1238529 25136 49.27
Заключение
Относительная простота вычислений делает вейвлет-разложение потенциальным инструментом для обнаружения ББоЗ-атак. Перспективы дальнейших исследований заключаются в определении набора оптималь-
ных базисных вейвлетов для обнаружения атак и интерпретации рассчитанных частотно-временных характеристик. Основным недостатком способа является невозможность исключить ложные срабатывания при аномальном росте нагрузки из-за необычных действий со стороны клиента. Остается открытым вопрос о пороговых значениях, в которых могут лежать коэффициенты разложения и их отношения, которые сильно зависят от способностей наблюдаемой системы и вида легитимной нагрузки.
Литература
1. Котенко И.В., Уланов A.B. Многоагентное моделирование распределенных атак «отказ в обслуживании» // Труды СПИИРАН. - СПб.: Наука, 2006. - Вып. 3, Т. 1. - С. 105-125.
2. Малла С. Вейвлеты в обработке сигналов: пер. с англ. - М.: Мир, 2005.-671 с.
3. Мишин К.Н., Фаткиева P.P. Природа сетевых аномалий и их полунатурное моделирование // Труды СПИИРАН. - 2007. - № 5. - С. 260-267.
Фаткиева Роза Равилъевна, кандидат технических наук, старший научный сотрудник лаборатории информационно-вычислительных систем Санкт-Петербургского института информатики и автоматизации РАН (СПИИРАН), 14-я линия В.О., д. 39, г. Санкт-Петербург, 199178, РФ; р.т. +7(812)328-4369, факс +7(812) 328-4450, e-mail: [email protected]
Fatkieva Rosa Ravilievna, candidate of technical sciences, senior researcher, Laboratory of Computer and Information Systems, St. Petersburg Institute for Informatics and Automation of the Russian Academy of Sciences (SPIIRAS), 39, 14-th Line V.O., St. Petersburg, 199178, Russia; office phone +7(812)328-4369, fax +7(812)328-4450, e-mail: [email protected].