|
(iaE1), (ibE2) Influx (iiE15) (iiE15), (ibE3) Influx (iiE16) (iiE16), (ibE5) Influx (iiE18) (iiE18), (ibE7) Influx (iiE20) (iiE18), (ibE11) Influx (iiE22) (iiE20), (iiE22) Influx (iiE30) (iiE30) Flux (iiiE30)
Сценарий 12. Совместная реализация сценариев 10 и 11 приводит к тому, что невозможно установить соединение с новыми пользователями из-за переполнения полосы пропускания, тем самым достижение лимита подключения доступных пользователей. При попытке подключения будет сообщение о недоступности адреса.
(iaE1), (ibE2) Influx (iiE15) (iiE15), (ibE3) Influx (iiE16)
(iiE16), (ibE5) Influx (iiE18) (iiE18), (ibE11) Influx (iiE22) (iiE22) Flux (iiiE22)
(iaE1), (ibE2) Influx (iiE15) (iiE15), (ibE3) Influx (iiE16) (iiE16), (ibE5) Influx (iiE18) (iiE18), (ibE7) Influx (iiE20) (iiE18), (ibE11) Influx (iiE22) (iiE20), (iiE22) Influx (iiE30) (iiE30) Flux (iiiE30)
Сценарий 13. После того, как решена задача логической адресации узлов, происходит передача данных между узлами. На данном отрезке возможна реализация SMURF-атак, при которой отправляется большое количество ICMP запросов с поддельными адресами. Это ведет к пределу допустимых подключений и достижению пределов по ширине канала.
(iaE1), (ibE2) Influx (iiE15) (iiE15), (ibE3) Influx (iiE16) (iiE16), (ibE5) Influx (iiE18) (iiE18), (ibE12) Influx (iiE23) (iiE23) Flux (iiiE23)
Сценарий 14. После того, как была установлена передача данных между узлами, следующим шагом является установка и завершение сеансами подключения. Далее, данные необходимо синхронизировать и транслировать в тот вид, который необходим пользователю на принимающем узле. На этом же уровне происходит дешифрование данных. Злоумышленник отправляет SSL-пакеты с поддельный узло, тем самым переполняет вычислительные ресурсы обрабатывающего сервера. Происходит нехватка вычислительной мощности, что ведет к отсутствию соединения или перезагрузки сетевого оборудования.
(iaE1), (ibE2) Influx (iiE15) (iiE15), (ibE3) Influx (iiE16) (iiE16), (ibE5) Influx (iiE18) (iiE18), (ibE7) Influx (iiE20) (iiE20), (ibE8) Influx (iiE24) (iiE24), (ibE13) Influx (iiE26) (iiE26) Flux (iiiE26)
Сценарий 15. После того, как полученные данные синхронизированы и расшифрованы, происходит предоставление доступа к данным, обмен данными, создание пакетов данных. Злоумышленник отправляет различные запросы протокола HTTP (HTTP-GET, POST запросы). Данные деяния ведут к нехватке вычислительных ресурсов сетевого оборудования, что приводит к отказу в работе. Доступ пользователя к ресурсу ограничен.
(iaE1), (ibE2) Influx (iiE15) (iiE15), (ibE3) Influx (iiE16) (iiE16), (ibE5) Influx (iiE18) (iiE18), (ibE7) Influx (iiE20) (iiE20), (ibE8) Influx (iiE24) (iiE24), (ibE9) Influx (iiE25) (iiE25), (ibE14) Influx (iiE27) (iiE27) Flux (iiiE27)
Классическая классификация сетевых распределенных атак по модели OSI позволяет систематизировать все атаки согласно сетевому уровню, поэтому данная классификация способна выделить лишь 7 уровней. При классификации атак по конечному состоянию узла, можно получить лишь 3 состояния в зависимости от вида атаки. В тоже время, применив метод инженерии динамического знания, как показано на примере метода куста событий, получено 15 сценариев возможных атак. Куст событий позволил обнаружить корреляцию на различных уровнях модели OSI во время
осуществления атаки. Данные сценарии являются важными для разметки набора данных для последующего обучения модели машинного обучения.
На основе данной модели сформировано множество сценариев сетевых распределенных атак типа «отказ в обслуживании» (Рисунок 2).
Рисунок 1.15 – Метод формализации сценариев типовых атак типа
«отказ в облуживании»
Таким образом, полученная модель куста событий является графическим представлением влияния DDoS атак на каждый уровень сетевого взаимодействия принимающего узла компьютерной сети. Данная модель дает наглядную классификацию DDoS атак как по модели OSI, так и по последствиям проведенной атаки. Эксперту информационной безопасности достаточно будет лишь подобрать параметры, наиболее точно детектирующий тот или иной вредоносный сценарий на конкретном компьютерном узле. Например, учитывая параметр большого количества запросов о состоянии подключения, регистрацию события об ухудшении пропускной способности, эксперт может детектировать атаку ICMP-флуд на сетевом уровне (L3) модели OSI [119].
Выводы
Была проанализирована предметная область и выявлена актуальность противодействия DDoS атакам.
Определены основания для концептуального моделирования принимающего узла компьютерной сети под воздействием DDoS атак.
Проанализированы существующие методы противодействия DDoS атакам. Оптимальным подходом для противодействия сетевых атак является использование алгоритмов машинного обучения, в тоже время применение классических алгоритмов является недостаточным для точного детектирования угроз. Необходимо разработать новые подходы защиты от сетевых атак с помощью высокоскоростных средств с применением алгоритмов машинного обучения.
Выбран метод для концептуального моделирования принимающего узла компьютерной сети. Изменение состояния такого узла в связи с DDoS атакой определяется как последовательность событий, которые появляются в среде под целенаправленным воздействием внешних факторов. Построение визуальных моделей является наиболее удобным способом исследования подобных ситуаций. В связи с этим был разработан ряд методов визуализации и концептуализации на основе теории помеченных графов, среди которых существует такой, что его архитектура и синтаксис в полном объёме соответствуют вышеописанной ситуации. Этот метод называется методом куста событий.
Построена концептуальная модель принимающего узла компьютерной сети под воздействием DDoS атак. Данная модель была специфицирована относительно всех уровней модели OSI и всех мыслимых типов вторжения на каждом уровне, а также кумулятивного эффекта накопления неполадок от низших уровней к высшим. Данная параметризация может применяться в машинном обучении. Разработанная графическая модель способна заранее обнаружить потенциальные уязвимости компьютерной сети при DDoS атаках. Можно заключить, что решение задач концептуального моделирования посредством кустов событий имеет множество достоинств. В том числе, данный метод является удобным инструментом для концептуального моделирования информационных угроз. Это, в свою очередь, необходимо для того, чтобы обучить алгоритм машинного обучения обнаруживать подобные атаки.
На основе построенной модели сформулирован метод формализации сценариев типовых атак типа «отказ в облуживании». При использовании данного метода получено множество типовых сценариев атак типа «отказ в обслуживании». Данные сценарии необходимы для того, чтобы провести точную разметку данных в модели машинного обучения и классифицировать атаки входящие атаки.
Do'stlaringiz bilan baham: |
