Концептуальная модель принимающего узла компьютерной сети под воздействием сетевых

ГЛАВА 3. РАЗРАБОТКА СИСТЕМЫ ПОДДЕРЖКИ ПРИНЯТИЯ РЕШЕНИЙ ДЛЯ ОБНАРУЖЕНИЯ СЕТЕВЫХ РАСПРЕДЕЛЕННЫХ АТАК ТИПА «ОТКАЗ В ОБСЛУЖИВАНИИ»

Download 2,31 Mb.

bet	31/47
Sana	12.03.2022
Hajmi	2,31 Mb.
	#492247

1 ... 27 28 29 30 31 32 33 34 ... 47

ГЛАВА 3. РАЗРАБОТКА СИСТЕМЫ ПОДДЕРЖКИ ПРИНЯТИЯ РЕШЕНИЙ ДЛЯ ОБНАРУЖЕНИЯ СЕТЕВЫХ РАСПРЕДЕЛЕННЫХ АТАК ТИПА «ОТКАЗ В ОБСЛУЖИВАНИИ»

В настоящей главе описываются основные принципы разработки системы обнаружения DDoS атак. В данной главе обсуждаются аспекты использования предложенных методов классификации и кластеризации входящего сетевого трафика, методика сбора характеристик для обучения системы обнаружения.
Описывается алгоритм обнаружения DDoS атак и противодействия им.
Производится вероятностная оценка обнаружения вредоносного трафика.

Алгоритм обнаружения и противодействия известным сетевым атакам типа «отказ в обслуживании»

Задачей алгоритма обнаружения сетевых атак является осуществление разделения запросов к веб-ресурсу на относящиеся к легитимным пользователям и вредоносному трафику. Алгоритм состоит из нескольких этапов:

этап сбора данных;
этап анализа полученных данных;
этап обучения;
этап отбора информативных признаков;
этап исключения недообучения и переобучения;
этап оценки классификации;

Этап сбора данных

Для проведения классификации необходимо наличие признаков, характеризующих класс, к которому принадлежит та или иная атака. Исходными данными для решения этой задачи являлись выборки сетевого трафика, собранные с помощью библиотек, обеспечивающих взаимодействие с драйвером сетевого интерфейса. В ходе выполнения работы было выявлено, что атрибуты сетевого трафика при проведении одного и того же типа атаки могут отличаться в зависимости от программных инструментов,

используемых злоумышленником. Вследствие этого в процессе сбора данных для обучения были задействованы несколько программных средств для каждого типа атак (таблица 3.1), что повысило разнообразие сетевого трафика и позволило точнее выделить информативные признаки [156].
Таблица 3.1. Используемое программное обеспечение для проведения атак

Тип атаки	Программное обеспечение
Атаки MAC-flood	MacOf Tool [157]
Атаки ICMP-flood	hping3 [158], hyenae [159]
Атаки SYN-flood, UDP- flood, TCP-flood	hping3, fudp [160], spru [161]
Атаки через SSL	the-ssl-dos, sslstrip [162]
Атаки HTTP-flood	torshammer [163], goldeneye [164], ddosim [165], slowhttptest [166]
Amplification-атаки	saddam, ufonet [167]

При решении задач машинного обучения важно представить данные в понятном компьютеру формате. Полученные в результате захвата данные конвертировались в формат CSV [168] для проведения дальнейшего анализа. Собранный сетевой трафик состоял из нескольких типов данных [156]:

трафика различных DDoS-атак, сгенерированных с помощью скриптов и программ, перечисленных в табл. 3;
легитимных запросов к защищаемому устройству, в том числе пакетов, необходимых для работы устройства, которыми обмениваются установленные на нем сервисы.

При построении модели классификации использовались метрики из заголовков HTTP-запросов (7 уровень OSI), заголовков TCP-пакетов (4 уровень OSI) и IP-пакетов (3 уровень OSI).
Собранный набор данных имеет 2160668 собранных пакетов сетевого трафика для последующего тестирования классификатора [181]. Собранные метаданные для набора данных представлены в таблице 3.2.
Таблица 3.2. Метаданные сетевого пакета

№	Метаданные пакета		№	Метаданные пакета

Download 2,31 Mb.

Do'stlaringiz bilan baham:

1 ... 27 28 29 30 31 32 33 34 ... 47

Концептуальная модель принимающего узла компьютерной сети под воздействием сетевых

ГЛАВА 3. РАЗРАБОТКА СИСТЕМЫ ПОДДЕРЖКИ ПРИНЯТИЯ РЕШЕНИЙ ДЛЯ ОБНАРУЖЕНИЯ СЕТЕВЫХ РАСПРЕДЕЛЕННЫХ АТАК ТИПА «ОТКАЗ В ОБСЛУЖИВАНИИ»

ГЛАВА 3. РАЗРАБОТКА СИСТЕМЫ ПОДДЕРЖКИ ПРИНЯТИЯ РЕШЕНИЙ ДЛЯ ОБНАРУЖЕНИЯ СЕТЕВЫХ РАСПРЕДЕЛЕННЫХ АТАК ТИПА «ОТКАЗ В ОБСЛУЖИВАНИИ»

Алгоритм обнаружения и противодействия известным сетевым атакам типа «отказ в обслуживании»

Этап сбора данных