|
II. AVAILABLE DATASETS
В этом разделе мы оцениваем несколько общедоступных наборов данных о DDoS-атаках за период с 2007 по 2018 год и объясняем необходимость всеобъемлющего и надежного набора данных для тестирования и проверки систем обнаружения DDoS-атак.
Набор данных CAIDA «DDoS Attack 2007» [4] содержит час трассировки трафика. Они представлены в формате pcap и подробно описывают трафик атаки, направляемый жертве, а также ответы на атаку со стороны жертвы. Следы анонимизируются с помощью CrytoPAn, сохраняющего анонимность с помощью одного ключа. Полезная нагрузка удалена из всех пакетов. Они отмечают, что трассировки трудно собрать органически из-за простоты IP-спуфинга, отсутствия состояния IP-маршрутизации, канального уровня или подмены MAC-адресов и современных инструментов атаки, позволяющих легко реализовать интеллектуальные методы атаки.
В [3] проводится обзор различных типов атак и методов DDoS-атак, а также средств их противодействия. В них выделяются два основных типа DDoS-атак: атаки на уязвимости, когда злоумышленники отправляют искаженные пакеты, чтобы запутать протокол или приложение; и атаки лавинной рассылки, когда лавинная рассылка на сетевом, транспортном уровне или уровне приложений прерывает подключение или услуги законного пользователя. Многие методы защиты анализируют как соответствующие преимущества, так и недостатки, с различными местами развертывания. Также исследуются механизмы отслеживания, включая отслеживание IP-адресов для лавинных атак на мониторы угроз в Интернете с использованием приманок. Этот метод уравновешивает сравнительно низкие накладные расходы и отсутствие прямого повреждения сервера с задержками обработки и затратами. Они
пришли к выводу, что практическую защиту сети реального времени сложно спроектировать, а идеальное обнаружение невозможно. Необходимо учесть и сбалансировать различные рабочие параметры.
Набор данных DARPA [5] состоит из трех уникальных наборов данных, каждый из которых был получен в соответствии с консенсусом, достигнутым на встрече Wisconsin Re-Think и на встрече PI в июле 2000 года на Гавайях. Первый набор данных LLDOS 1.0 включает DDoS-атаку, запущенную начинающим злоумышленником против наивного защитника. Второй набор данных, LLDOS 2.0.2, включает DDoS-атаку, проводимую более скрытным злоумышленником, хотя и новичком, против наивного защитника. Третий набор данных - это набор данных об атаках Windows NT, который включает NT-аудит дневного трафика и атаки на NT-машину. Хотя это универсальный набор данных, он создается наивным злоумышленником и не исследует методы опытных злоумышленников.
III. DDOS ATTACKS TAXONOMY
Существует ряд исследований, предлагающих таксономию в отношении DDoS-атак. Mirkovic and Reiher et. al. [11] представили таксономии для классификации DDoS-атак и возможных механизмов защиты. Атаки были разделены на следующие категории: автоматизация, уязвимость, достоверность адреса источника, динамика скорости атаки, характеристика, настойчивость агентов, жертва и воздействие на жертву. В методах, основанных на автоматизации, злоумышленник ищет уязвимую машину вручную / автоматически. Авторы исследовали классификацию механизма защиты от DDoS-атак на основе уровня активности, степени взаимодействия (выполняет защитные меры самостоятельно или в сотрудничестве с другими объектами в Интернете) и места развертывания).
Асошех и Рамезани [12] предложили таксономию, основанную на известных потенциальных атаках, и категоризировали атаки на основе восьми характеристик, а именно архитектуры, степени автоматизации, воздействия, уязвимости, динамики скорости атаки, стратегии сканирования, стратегии распространения и содержимого пакета. Авторы также предложили таксономию защитного механизма и разделили стратегии защитных механизмов на две группы, то есть предотвращение и обнаружение. Авторы утверждали, что лучшая стратегия предотвращения / обнаружения DDoS-атак состоит в том, чтобы сосредоточить внимание на развертывании, откуда произошла атака, то есть целевой сети (исходный источник атаки) и промежуточной сети (вторичные цели). Авторы завершили статью, предложив структуру, которая может автоматически обнаруживать DDoS-атаки с использованием кластерного алгоритма, такого как k-ближайший сосед. Однако никаких экспериментов для подтверждения предложенной классификации не проводится.
Do'stlaringiz bilan baham: |
