CC BY
174
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ ОМСКИЙ НАУЧНЫЙ ВЕСТНИК № 3 (113) 2012
УДК 004.75:004.492.3 Е. g. ЩЕРБА
М. В. ЩЕРБА
Омский государственный технический университет
РАЗРАБОТКА АРХИТЕКТУРЫ СИСТЕМЫ ОБНАРУЖЕНИЯ РАСПРЕДЕЛЕННЫХ СЕТЕВЫХ АТАК ТИПА «ОТКАЗ В ОБСЛУЖИВАНИИ»
В работе предложена архитектура специализированной системы, предназначенной для обнаружения сетевых ООоЗ-атак. В ходе первого этапа исследований был разработан модуль программно-аналитического комплекса, моделирующий сеть массового обслуживания, соответствующую исследуемой сети, с целью определения вероятности потерь заявок. В ходе второго этапа исследований на основе разработанной методики был реализован программно-аналитический комплекс, предназначенный для обнаружения распределенных сетевых атак типа «отказ в обслуживании».
Ключевые слова: информационная безопасность, распределенные сетевые атаки, обнаружение сетевых атак, отказ в обслуживании.
Введение. Одной из основных тенденций последних лет в сфере компьютерных преступлений является рост количества и сложности атак на доступность информации (ресурсов автоматизированной системы), как один из трех основных критериев, наряду с конфиденциальностью и целостностью информационной безопасности объекта. Данные атаки образуют класс атак типа «отказ в обслуживании» (DoS-атаки). Если атака выполняется одновременно с большого числа компьютеров, имеет место DDoS-атака (Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»).
В целях минимизации последствий DDoS-атак, их обнаружение и классификация является крайне важной и вместе с тем сложной задачей. Основной способ распознавания DDoS-атаки заключается в обнаружении аномалий в структуре трафика. Традиционные механизмы обеспечения безопасности — межсетевые экраны и системы обнаружения вторжений — не являются эффективными средствами для обнаружения DDoS-атак и защиты от них, особенно атак трафиком большого объема [1]. Фундаментальной предпосылкой для обнаружения атак является построение контрольных характеристик трафика при работе сети в штатных условиях с последующим поиском аномалий в структуре трафика (отклонения от контрольных характеристик) [2]. Аномалия сетевого трафика — это событие или условие в сети, характеризуемое статистическим отклонением от стандартной структуры трафика, полученной на основе ранее собранных профилей и контрольных характеристик. Любое отличие в структуре трафика, превышающее определенное пороговое значение, вызывает срабатывание сигнала тревоги.
Вместе с тем существующие методы обнаружения DDoS-атак, позволяющие эффективно распознавать DDoS-атаки транспортного уровня (SYN-флуд, UDP-флуд и другие), малоэффективны для обнаружения низкоактивных DDoS-атак прикладного уровня («медленный» HTTP GET флуд и «медленный» HTTP POST флуд) [3]. Данный класс DDoS-атак возник сравнительно недавно и на сегодняшний день пред-
ставляет основную угрозу доступности информации в распределенных компьютерных сетях [4]. Отличить трафик, генерируемый в ходе данных атак, от легального HTTP-трафика достаточно сложно, кроме того, каналы передачи данных практически не перегружаются. Данные атаки приводят к потерям запросов и ответов, т.е. фактическому отказу веб-серверов на основе Microsoft IIS, Apache и других систем. Кроме того, атака может быть адаптирована для воздействия на SMTP и даже на DNS-серверы.
Данные факты обуславливают необходимость разработки специализированной методики обнаружения низкоактивных распределенных атак прикладного уровня типа «отказ в обслуживании» в компьютерных сетях. Разрабатываемая методика обнаружения строится на основе оценки вероятности потерь пакетов или запросов прикладного уровня в компьютерной сети, при условии ее функционирования в стационарном режиме [5]. Достаточно часто для расчёта параметров потоков данных, а также для оценки вероятностей потерь пакетов в вычислительных сетях применяют математические модели в виде сетей массового обслуживания (СеМО). Использование СеМО в качестве модели вычислительной сети действительно дает возможность проводить анализ работы сети со сложной структурой и разнообразными сетевыми сервисами.
Архитектура модуля имитационного моделирования. В ходе первого этапа исследований на основе разработанной методики был реализован модуль программно-аналитического комплекса, моделирующий СеМО, соответствующую исследуемой сети, с целью определения вероятности потерь заявок (рис. 1). На вход системы поступает субстохасти-ческая матрица, задающая топологию сети, интенсивности входных потоков и интенсивности обработки заявок в узлах.
Моделирующий модуль программного комплекса содержит объекты двух видов — источники заявок и узлы сети. Каждый из этих видов объектов (классов) имеет базовый класс, представляющий собой рабочий поток, каждый объект работает в отдельном
Поток
-Состояние
Планировщик Синхронизирует -Время ожидания -История
-Вектор<Поток*> Потоки
#■ -Вып. раб. цикл() -ОжиданиеО -Конец ожидания() +Пол. время работы() +Пол. историю()
^Создать поток(): Поток* +Вып. шаги раб. цикла() 1 1..*
0..*
ї
+Связ. узлы
Узел сети
-Идентификатор узла -Интенсивность обр. заявок -Размер очереди -Текущая длина очереди -Текущий таймаут -Дек<3аявка*> Очередь -Векторо Вер-1 и переходов
+Вып. раб. цикл()
+Установить связь с узлом() -•-Добави т ь заявку в очередь() -Шолучить заявку из очсреди() +Получить длину очереди()
0..1
+Узел +Источник
Источник заявок
-Идентифи катор -Интенсивность потока -Текущий таймаут
+Вып. раб. цикл()
тг
Создаёт
О..*
+Обр. узел
+3аявка в обр-ке
«enumeration»
Состояние
В обработке Потеряна
Успешно обработана
Заявка
-Идентификатор
-Состояние
-История
+Пол. состояние()
+Уст. состояние()
+Пол, идентификаторе +Добавить узел в историю()
Рис. 1. UML-диаграмма классов моделирующего модуля
потоке в рамках одного процесса. Каждый источник заявок связан с одним из узлов СеМО. Источник заявок генерирует новые объекты заявок и добавляет их в очередь соответствующего узла. Начиная с момента запуска, узел проверяет наличие в очереди заявок. Если в очереди присутствует хотя бы одна заявка, она извлекается, после чего узел ожидает тайм-аут, имеющий экспоненциальное распределение, и далее случайным образом определяет заявку либо успешно обработанной, либо предпринимается попытка передать ее в очередь одного из смежных узлов. Заявка теряется, если при попытке добавления ее в очередь узла эта очередь полностью заполнена.
В процессе обработки заявки сохраняется вся информация о ее маршруте по сети массового обслуживания, что позволяет по завершении процесса моделирования точно рассчитать наблюдаемую частоту потери заявок. Функционирование объектов модели СеМО реализовано в параллельном режиме на основе библиотеки OpenMP, генерация псевдослучайных чисел осуществляется при помощи библиотеки Boost.
Архитектура комплекса обнаружения сетевых атак типа «отказ в обслуживании». В ходе второго этапа исследований для практического применения разработанной методики оценки вероятности потерь заявок был реализован программно-аналитический комплекс, предназначенный для обнаружения распределенных сетевых атак «отказ в обслуживании» [5]. Архитектура разработанного комплекса основана на модели «клиент —сервер», а сам комплекс конструктивно состоит из двух частей — клиентского и серверного модуля (рис. 2). Оба модуля реали-
зованы в качестве службы (сервиса) операционной системы Windows.
Клиентский модуль программно-аналитического комплекса при запуске:
— получает список доступных в системе сетевых интерфейсов;
— на каждом из интерфейсов запускается процесс захвата пакетов. Для этого фильтр пакетов конфигурируется таким образом, чтобы перехватывать фреймы Ethernet и протокола TCP с портами, соответствующими распространенным сетевым службам (NetBIOS, HTTP, FTP, SMTP, и т. д.);
— начинается отсчет времени. Когда время, прошедшее с начала захвата, превышает заданное значение tmaY, захват трафика останавливается. Подсчитывается объем исходящего и входящего трафика, переданного другим узлам распределенной сети по контролируемым портам. Соответствующая информация передается на серверный модуль. Далее, начиная со второго шага, процесс повторяется.
Серверный модуль при запуске выполняет следующие действия.
1. Получает список доступных в системе сетевых адаптеров, и данные о них.
2. На каждом из адаптеров запускается процесс захвата пакетов. Для этого фильтр пакетов конфигурируется таким образом, чтобы перехватывать фреймы Ethernet, а вернее пакеты протокола TCP с портами, соответствующими распространенным сетевым службам.
3. Открывается порт для входящих соединений от клиентских модулей программно-аналитического комплекса.
ОМСКИЙ НАУЧНЫЙ ВЕСТНИК № 3 (113) 2012 ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ ОМСКИЙ НАУЧНЫЙ ВЕСТНИК № 3 (113) 2012
%
Рис. 2. иМЬ-диаграмма деятельности комплекса обнаружения распределенных сетевых атак типа «отказ в обслуживании»
4. В случае входящего соединения от клиента:
a. принимается информация о получателе трафика (пара адрес: порт) и количестве трафика, а также времени, за которое информация была собрана;
b. для каждой пары адрес: порт в сообщении от клиента уточняется полученное ранее среднее значение объема трафика, переданного текущим сокетом другим узлам по формуле:
Av
*1, k2| t + f„,
Avti, k2 i t ' t + Vki k2 i t + tmax
Av*
Здесь:
среднее значение объема трафика от
сокета к1 сокету к2 к моменту времени t+tmax, t — время, прошедшее с начала наблюдений до предыдущего получения информации от клиентской части, tmax — время, за которое клиентская часть собирает данные о трафике сокета,
Аук, 2 , t — средний объем трафика от сокета к1 сокету к2 за время, прошедшее с начала наблюдений до предыдущего получения информации от клиента, — объем трафика от сокета к1 к сокету к2, прошедший за время tmax;
с. используя информацию о среднем значении объёма трафика сокета к1 сокету к2 и суммарному входящему трафику в сокет к1, оцениваются параметры субстохастической матрицы, задающей топологию сети.
5. Когда истекло время tmax и захват трафика останавливается, подводятся итоги по объему трафика, отправленного текущим узлом другим узлам и характеристикам анализируемой сети массового обслуживания:
a. используя субстохастическую матрицу, строится модель анализируемой СеМО и оцениваются параметры стационарного режима;
b. используя параметры стационарного режима, строится цепь Маркова, соответствующая пути заявки (пакета) по СеМО;
c. рассчитывается эволюция цепи Маркова и оценивается вероятность потерь;
<3. далее, начиная с четвертого шага, процесс повторяется.
Если в некоторый момент времени оценочная вероятность потерь превысила некоторое, наперёд заданное администратором значение порога, система принимает вывод о реализации в распределенной компьютерной сети атаки типа «отказ в обслуживании».
Заключение. Таким образом, в результате работы построена программная реализация системы, предназначенной для обнаружения распределенных сетевых атак типа «отказ в обслуживании». Оценка эффективности разработанной системы обнаружения DDoS-атак в компьютерных сетях и её сравнительный анализ с другими подходами, методами и системами представляет сложную задачу. Основные трудности оценки и анализа заключаются в следующем:
— эффективность обнаружения атак типа «отказ в обслуживании» напрямую зависит от параметров работы сети в штатном режиме (загрузка сети, среднее значение потерь пакетов/запросов), при этом воспроизведение параметров работы для двух различных экспериментов не всегда является возможным;
— разрабатываемые методы и системы обладают рядом настраиваемых индивидуальных параметров (точность вычислений, значение порога принятия решения об обнаружении атаки), существенно влияющих на эффективность обнаружения атак и количество ложных срабатываний;
— кроме того, для каждой разновидности DDoS-атаки существует множество различных модификаций и параметров (интенсивность атаки, уникальные идентификаторы), которые также непосредственно влияют на эффективность обнаружения атаки.
Все вышеперечисленные факторы обуславливают отсутствие единого стандарта экспериментальных условий для оценки эффективности систем и методов обнаружения атак типа «отказ в обслуживании». Исследование и решение указанных задач будет произведено в ходе следующего этапа работы.
Библиографический список
1. Решение Cisco Systems «Clean Pipes» по защите от распределенных DOS-атак для операторов связи и их клиентов [ Элек-
12
тронный ресурс]. — Режим доступа: http://www.cisco.com/ web/RU/downloads/CleanPipes_rus.pdf, свободный (дата обращения: 01.08.2012).
2. Лобанов, В. Е. Архитектура системы защиты Грид от атак типа «отказ в обслуживании» и «распределенный отказ в обслуживании» / В. Е. Лобанов, Б. Н. Оныкий, А. А. Станкеви-чус // Безопасность информационных технологий. — 2010. — № 2010-3. - С. 136-139.
3. Обзор DDoS-атак во втором квартале 2011 года. — [Электронный ресурс]. — Режим доступа: http://www.securelist.com/ m/analysis/208050712/Obzor_DDoS_atak_vo_vtorom_kvartale_ 2011_goda (дата обращения: 01.08.2012).
4. Chee, W.O. Brennan, T. OWASP AppSec DC 2010. HTTP POST DDoS. — [Электронный ресурс]. — Режим доступа: https://www.owasp.org/images/4Z43/Layer_7_DDOS.pdf (дата обращения: 01.08.2012).
5. Щерба, М. В. Система анализа устойчивости распределенных компьютерных сетей к атакам на «отказ в обслуживании» / М. В. Щерба // Омский научный вестник. Сер. Приборы, машины и технологии. — 2012. — № 1(107). — С. 295 — 298.
ЩЕРБА Евгений Викторович, кандидат технических наук, доцент кафедры «Комплексная защита информации».
Адрес для переписки: evscherba@qmail.com ЩЕРБА Мария Витальевна, ассистент кафедры «Комплексная защита информации».
Адрес для переписки: mariz3@mail.ru
Статья поступила в редакцию 28.08.2012 г.
© Е. В. Щерба, М. В. Щерба
Книжная полка
Хорев, П. Б. Объектно-ориентированное программирование : учеб. пособие для вузов по направлению «Информатика и вычислительная техника» / П. Б. Хорев. - 3-е изд., испр. - М. : Академия, 2011. - 446 c. - ISBN 978-5-7695-8091-8.
Учебное пособие создано в соответствии с Федеральным государственным образовательным стандартом по направлению «Информатика и вычислительная техника» (квалификация «бакалавр»). Излагаются основные понятия технологии программирования. Большое внимание уделяется программированию для операционной системы Windows. Рассматриваются наиболее часто используемые в учебном процессе и разработке программного обеспечения системы программирования: Microsoft Visual C++, Borland C++ Builder и Borland Delphi.
Раннев, Г. Г. Интеллектуальные средства измерений : учеб. для вузов по направлению «Приборостроение» и специальностям «Информационно-измерительная техника и технологии», «Авиационные приборы и измерительно-вычислительные комплексы» / Г. Г. Раннев. - М. : Академия, 2011. - 262 c. - ISBN 978-5-7695-6469-7.
Рассмотрены проблемы интеллектуализации измерений, применение нейроструктуры в средствах измерений; измерительные базы знаний; особенности аппаратной и программной частей интеллектуальных средств измерений.
Морозов, В. К. Моделирование информационных и динамических систем : учеб. пособие для вузов по направлению подгот. «Автоматизация и управление» / В. К. Морозов, Г. Н. Рогачев. -М. : Академия, 2011. - 376 c. - ISBN 978-5-7695-4221-3.
Изложены основные понятия теории моделирования, приведена классификация моделей, рассмотрены модели непрерывных, дискретных и гибридных (агрегативных) систем. Рассмотрены особенности применения пакета MATLAB для решения круга задач моделирования систем. Содержатся примеры построения и применения моделей различных систем.
Головин, И. Г. Языки и методы программирования : учеб. для вузов по направлению 010400 «Прикладная математика и информатика» и 010300 «Фундаментальная информатика и информационные технологии» / И. Г. Головин, И. А. Волкова. - М. : Академия, 2012. - 303 c. - ISBN 9785-7695-7973-8.
Учебник создан в соответствии с Федеральным государственным образовательным стандартом по направлению подготовки 010400 «Прикладная математика и информатика» (квалификация «бакалавр»). Рассмотрены основные парадигмы программирования: процедурная, объектно-ориентированная, функциональная. Особое внимание уделено семантике и прагматике языковых понятий, их связи с методами и технологией программирования. Материал представлен на примере современных языков индустриального программирования: C++, C#, Java. Отражены теоретические и практические вопросы реализации языков программирования.
ОМСКИЙ НАУЧНЫЙ ВЕСТНИК № 3 (113) 2012 ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
