Разработка метрик для обнаружения атак на основе анализа сетевого трафика Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.73

© Р.Р. Фаткиева

РАЗРАБОТКА МЕТРИК ДЛЯ ОБНАРУЖЕНИЯ АТАК НА ОСНОВЕ АНАЛИЗА СЕТЕВОГО ТРАФИКА1

В статье представлен подход к детектированию DDoS-атак, базирующийся на анализе изменения метрик, являющихся функциями от трафика, измеряемого на сетевом интерфейсе сервера. В процессе анализа выявлено влияние атак на статистические параметры временных рядов данных метрик.

Ключевые слова: информационная безопасность, распределенный отказ в обслуживании, сетевой трафик, временные ряды.

© R.R. Fatkieva

DEVELOPMENT OF METRICS FOR ATTACK DETECTION ON THE BASIS OF NETWORK

TRAFFIC ANALYSIS

In the article the approach to DDoS attacks detection is presented. It is based on analysis of metrics values variations, which are functions of traffic measurements at network server interface. The analysis has confirmed the influence of attacks on statistical parameters of time series, generated by the metrics.

Keywords: information security, distributed denial of service, network traffic, time series.

Введение

DDoS-атаки, существуя со времени начала массового использования глобальной сети, по-прежнему остаются одной из самых серьёзных угроз для Web-ресурсов, что свидетельствует о необходимости развития средств защиты от этих атак. Грамотно организованная масштабная DDoS-атака в большинстве случаев приводит к значительным финансовым потерям со стороны жертвы. При отсутствии средств обнаружения вторжений ресурс информационной системы тратится на обслуживание DDoS запросов, при этом стоимость использования ресурса многократно возрастает. Такие нападения отличаются простотой организации и высокой эффективностью. Именно эти особенности привлекают к DDoS внимание как специалистов по сетевой безопасности, так и злоумышленников, что обусловливает актуальность исследования DDoS-атак.

1. Организация измерений

Исследования проводились специализированной системой сбора и управления трафика, позволяющей контролировать характеристики трафика в реальном времени [1]. В качестве исходных данных для проведения исследования выбран сетевой трафик Web-сервера. Трафик снят в двух режимах: в режиме регулярного взаимодействия с клиентами по сети и в режиме DDoS-атаки классов SYN-flood, UDP-flood, HTTP-flood. При этом фиксировались характеристики сетевого трафика и системных характеристик (объем оперативной памяти, время загрузки процессора и т.п.). Наблюдаемое изменение указанных характеристик не обязательно свидетельствует об атаке, но показывает изменение закона распределения.

2. Исследуемые метрики

Изменение объёма сетевого трафика не обязательно свидетельствует о его аномальности, для анализа состояния системы необходимо оценить детально структуру трафика и определить наиболее информативные метрики [2, 3]. Рассмотрим их более подробно.

1. Отношение входящего и исходящего трафика

Т-

К = — ’

ip rji

1 о

1 Работа выполнена при финансовой поддержке «ИнфоТеКС Академия 2012»

81

где Т и Т0 - объём соответственно входящего и исходящего Ш-трафика в единицу времени. Целесообразность выбора данной величины объясняется тем, что при наличии DDoS-атаки сервер теряет способность отвечать на запросы. Повышение скорости входящего трафика без соразмерного повышения скорости исходящего трафика ведёт к росту величины Яр , что означает более высокую вероятность наличия атаки. На рис. 1 показан этот эффект.

2. Число потоков критических приложений можно использовать для обнаружения атак прикладного уровня. Так как для Web-сервера специфической является атака класса HTTP-flood, целесообразно измерять число N'пеЬ потоков к Web серверу. N\еЬ. Если Web-сервер обращается к другим приложениям (например, к базе данных или системе инженерных вычислений), следует измерить количество потоков и этих приложений. Возрастание NжЪ при возникновении атаки показано на рис. 2.

ц

100 200 300 400 500 600 700

б в

Рис. 1. Изменение параметра R при возникновении атаки

(а - HTTP-flood, б - SYN-flood, в - UDP-flood)

Рис. 2. Изменение числа потоков Apache от времени при начале атаки HTTP-flood

Рис. 3. Изменение Dack при включении SYN-flood

3. Разность

где Маско - число исходящих ACK-флагов в TCP-трафике в единицу времени, Маскі - число входящих флагов, может свидетельствовать о том, как часто сервер отказывает клиенту из-за перегрузки. Такая величина имеет ценность для всех видов атак, в качестве примера показано, как она изменяется при начале атаки SYN-flood (рис. 3). Отрицательное значениеБаск показывает, что сервер теряет возможность отвечать на клиентские запросы ACK-пакетами.

4. Отношение

Т„,

R —

udp

udp

Tt

tcp

где Тиёр - объём входящего UDP-трафика, Т - объём входящего TCP-трафика, может характеризовать наличие атаки класса UDP-flood. UDP - протокол односторонней передачи данных. Хотя в трафике Web-сервера присутствует небольшое количество пакетов, принадлежащих этому протоколу

2 5

15

15

а

(рис. 4, а), в целом UDP для ИТТР-соединений нехарактерен, поэтому многократное превышение UDP-трафика над ТСР-трафиком позволяет выявить UDP-flood (рис. 4, б).

а б

Рис. 4. Значение Rd при начале атаки HTTP-flood (а) и UDP-flood (б)

5. Частоты флагов SYN и PSH во входящих пакетах позволяют определить эффективность передачи данных:

N

R = syn

Rpsh - '

TV

N

psh

N

где Ryn - частота флагов SYN, Rpsh - частота флагов PSH, Nsyn - число SYN-флагов во входящих пакетах, Npsh - число PSH-флагов во входящих пакетах, N - число входящих TCP-пакетов. Пакеты с

флагом SYN пересылаются между клиентом и сервером в ходе установления TCP-соединения, после чего начинается обмен данными с помощью пакетов без SYN-флага. Таким образом, число SYN-флагов, пришедших на сервер, равно числу запросов на соединение, а частота SYN-флагов определяет долю служебных пакетов этого типа в TCP-трафике.

Установленный флаг PSH означает, что данные, содержащиеся в пакете, должны быть переданы программе прикладного уровня. В случае Web-сервера эти данные представляют собой HTTP-запросы и HTTP-ответы, содержащие Web-страницы. Поэтому частота PSH-флагов, напротив, характеризует полезную загрузку канала.

При атаке класса SYN-flood субъект атаки не намерен передавать какие-либо данные серверу и пытается перегрузить его очередь соединений с помощью служебных пакетов. Поэтому частота флагов SYN и PSH изменяется, как показано на рис. 5.

а б

Рис. 5. Частоты флагов SYN (а) и PSH (б) при атаке SYN-flood

3. Статистический анализ

Появление DDoS-атаки приводит к изменению статистических распределений ряда метрик, что можно наблюдать непосредственно. К примеру, гистограммаRip при появлении SYN-flood изменяет

вид следующим образом (рис. 6). Законы распределения большинства метрик в установившихся режимах (как в штатном, так и в режиме атаки) близки к гамма-закону [4]:

р(х) = X

к-1 е

-хів

вкГ{к)

• 1(х > 0),

где к и в - параметры формы и масштаба. При появлении атаки происходит сдвиг значений, что сказывается прежде всего на параметре формы.

0 0.5 1 1.5 2

0 0.5 1 1.5 2 2.5 3

а б

Рис. 6. Гистограмма Яр (а - до атаки, б - во время атаки) Например, для оценки параметров изменяются следующим образом (табл. 1):

Таблица 1

Изменение оценок параметров гамма-распределения при атаке 5УЫ-Аоос1

Параметры Режим к *

Без атаки 4,2 0,1

8УК-Аооа 22 0,08

80

120

70

100

60

80

50

60

40

30

40

20

20

10

Чувствительность метрик к различным типам атак определяется влиянием атаки на параметры статистического распределения метрики. Данные о чувствительности приведены в табл. 2.

Таблица 2

Влияние атак на метрики

Тип Метрика НТТР- flood 8ТО- flood UDP-flood

к,р + + +

НжЪ + - -

^аек + + -

и + + +

и + + -

+ + -

Рассмотрим влияние ББо8-атак на основные параметры распределения метрик, к которым относятся среднее значение и среднеквадратичное отклонение. Для этого построим графики скользящих средних и стандартов интересующих нас метрик. Метод скользящих средних и стандартов позволит, во-первых, провести низкочастотную фильтрацию временных рядов, что уменьшит влияние шума, во-вторых, отследить динамику параметров распределения и влияние атаки. Например, построим графики для атаки SYN-flood (рис. 6, 7):

Рис. 6. Влияние SYN-flood на скользящие средние значения метрик:

а - Кір , б - Ваек , в - ^ыёр , Г - Кяуп и Крек При детектировании атак в автоматическом режиме можно опираться на следующие параметры: -пороговые значения приведённых метрик - некоторые из них могут являться точным показателем наличия атаки (например, на \¥еЬ-сервере выполнение КисІр > 1 в течение продолжительного времени свидетельствует об атаке UDP-flood с большой вероятностью);

Рис. 7. Изменения среднеквадратичного отклонения при SYN-flood атаке на: а - Яір , б - Баск, в -

Кыйр , г Кяуп и Кряк

а

г

а

г

-скорость изменения скользящего среднего, которая достигает максимальных значений в момент начала или прекращения атаки; определение пороговых значений, которые считаются признаком атаки, может быть выполнено с помощью построения шаблона штатного функционирования системы;

-величины скользящих стандартов и скорость их изменения.

Улучшение точности обнаружения атаки достигается также рассмотрением всех приведённых выше параметров в совокупности. Так как характер влияния каждого вида атаки на параметры известен и отличается от влияния других классов атак, представляется возможным не только констатировать факт атаки, но и определить её тип.

Заключение

Параметры распределения величин, основанных на измерениях сетевого трафика, представленные в данной статье, позволяют сформировать подход к разработке системы детектирования атак. Использование библиотек операционных систем, с помощью которых возможно перехватывать сетевой трафик, позволяет измерить трафик и рассчитать в реальном времени значения рассмотренных в этой статье метрик, моменты их распределений и скорость изменения моментов. Полученные данные можно использовать для принятия решения о наличии атаки и вызове подсистемы блокировки.

Литература

1. Воробьев В.И., Евневич Е.Л., Фаткиева Р.Р. Моделирование сетевого трафика методом Монте-Карло // Вестник Бурятского государственного университета. - 2010. - Вып. 9. - С. 258-262.

2. Фаткиева Р.Р. Модель обнаружения атак на основе анализа временных рядов // Труды СПИИРАН. - 2012. - № 2. - С. 71-79.

3. Фаткиева Р.Р. Корреляционный анализ аномального сетевого трафика // Труды СПИИРАН. -2012. - Вып. 23. - С. 93-100.

4. Бахарева Н.Ф., Ушаков Ю.А. Программная система распознавания трафика и прогнозирования характеристик мультисервисной сети // Инфокоммуникационные технологии. - 2008. - Т.6, №4. -С. 42-50.

Фаткиева Роза Равильевна, кандидат технических наук, старший научный сотрудник лаборатории информационно-вычислительных систем, Санкт-Петербургский институт информатики и автоматизации РАН (СПИИРАН). Р.т. +7(812)328-4369, факс +7(812)328-4450. E-mail: rikki2@yandex.ru

Fatkieva Rosa Ravilevna, candidate of technical sciences, senior researcher, laboratory of computer and information systems, St. Petersburg Institute for Informatics and Automation of the Russian Academy of Sciences (SPIIRAS). E-mail: rikki2@yandex.ru