Методы и алгоритмы защиты от распределенных сетевых атак типа "отказ в обслуживании" тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат наук Попов Илья Юрьевич

  • Попов Илья Юрьевич
  • кандидат науккандидат наук
  • 2020, ФГАОУ ВО «Национальный исследовательский университет ИТМО»
  • Специальность ВАК РФ05.13.19
  • Количество страниц 240
Попов Илья Юрьевич. Методы и алгоритмы защиты от распределенных сетевых атак типа "отказ в обслуживании": дис. кандидат наук: 05.13.19 - Методы и системы защиты информации, информационная безопасность. ФГАОУ ВО «Национальный исследовательский университет ИТМО». 2020. 240 с.

Оглавление диссертации кандидат наук Попов Илья Юрьевич

СОДЕРЖАНИЕ

РЕФЕРАТ

SYNOPSIS

ВВЕДЕНИЕ

ГЛАВА 1. КОНЦЕПТУАЛЬНАЯ МОДЕЛЬ ПРИНИМАЮЩЕГО УЗЛА КОМПЬЮТЕРНОЙ СЕТИ ПОД ВОЗДЕЙСТВИЕМ СЕТЕВЫХ РАСПРЕДЕЛЕННЫХ АТАК ТИПА «ОТКАЗ В ОБСЛУЖИВАНИИ»

1.1 Основания для концептуального моделирования

1.2 Классификация сетевых атак типа «отказ в обслуживании»

1.2.1 Атаки типа «отказ в обслуживании» на уровнях L2-L4 модели OSI

1.2.2 Сетевые атаки типа «отказ в обслуживании» на уровнях L7 модели OSI

1.3 Анализ методов противодействия сетевым атакам типа «отказ в обслуживании»

1.3.1 Методы для противодействия сетевым атакам на уровнях L2-L4 модели OSI

1.3.2 Методы противодействия сетевым атакам типа «отказ в обслуживании» на уровне L7 приложений

1.3.3 Методы, основанные на алгоритмах машинного обучения и нейросетей

1.4 Концептуальное моделирование состояния изменения принимающего узла вследствие сетевых атак типа «отказ в обслуживании»

1.4.1 Выбор метода моделирования

1.4.2 Метод куста событий

1.4.3 Построение правил событий

1.4.4 Построение куста событий для исследования состояния принимающего узла под воздействием атак

1.4.5 Метод формализации сценариев типовых атак типа «отказ в обслуживании»

1.5 Выводы

ГЛАВА 2. МЕТОДЫ ОБНАРУЖЕНИЯ СЕТЕВЫХ АТАК ТИПА «ОТКАЗ ОБСЛУЖИВАНИИ»

2.1 Задача детектирования сетевых атак типа «отказ в обслуживании»

2.2 Анализ сущности сетевой атаки типа «отказ в обслуживании»

2.3 Анализ атрибутов сетевого пакета

2.4 Выбор алгоритма машинного обучения с учителем для детектирования известных атак

2.4.1 Алгоритм к-ближайших соседей

2.4.2 Алгоритм регрессии

2.4.3 Алгоритм деревьев решений

2.4.4 Алгоритм случайного леса

2.4.5 Алгоритм градиентного бустинга

2.5 Метод детектирования раннее известных сетевых атак типа «отказ в обслуживании» на основе алгоритма градиентного бустинга

2.6 Алгоритм выявления сетевых распределенных атак типа «отказ в обслуживании»

2.7 Улучшение разработанного метода в целях детектирования неизвестных сетевых атак типа «отказ в обслуживании» на основе локального уровня выброса

2.7.1 Детектирование аномального сетевого трафика

2.7.2 Сбор данных для выявления неизвестных ранее сетевых атак типа «отказ в обслуживании»

2.7.3 Выбор метода для поиска аномалий в сетевого трафике на наличие сетевых атак типа «отказ о обслуживании»

2.7.4 Алгоритм локальных коэффициентов выброса

2.7.5 Метрики для оценки точности детектирования сетевых атак типа «отказ в обслуживании»

2.7.6 Алгоритм автоматизированного пополнения сценариев сетевых распределенных атак типа «отказ в обслуживании»

2.8 Выводы

ГЛАВА 3. РАЗРАБОТКА СИСТЕМЫ ПОДДЕРЖКИ ПРИНЯТИЯ РЕШЕНИЙ ДЛЯ ОБНАРУЖЕНИЯ СЕТЕВЫХ РАСПРЕДЕЛЕННЫХ АТАК ТИПА «ОТКАЗ В ОБСЛУЖИВАНИИ»

3.1 Алгоритм обнаружения и противодействия известным сетевым атакам типа «отказ в обслуживании»

3.1.1 Этап сбора данных

3.1.2 Программные инструменты для анализа полученных данных

3.1.3 Этап обучения

3.1.4 Отбор наиболее информативных признаков

3.4.5 Исключение недообучения и переобучения

3.4.6 Результаты классификации

3.2. Алгоритм обнаружения и противодействия ранее неизвестным сетевым атакам типа «отказ в обслуживании»

3.2.1 Наблюдение за активностью пользователя

3.2.2 Анализ наблюдаемых данных

3.2.3 Детектирование потенциальных сетевых атак

3.2.4 Результат кластеризации

3.3 Блокировка сетевых распределенных атак типа «отказ в обслуживании»

3.3.1 Списки контроля доступа

3.3.2 Алгоритм работы списков контроля доступа для блокировки вредоносного трафика

3.4 Выводы

ГЛАВА 4. ОЦЕНКА РЕЗУЛЬТАТОВ РАБОТЫ МЕТОДОВ ЗАЩИТЫ ОТ СЕТЕВЫХ АТАК ТИПА «ОТКАЗ В ОБСЛУЖИВАНИИ»

4.1 Выбор компонентов для разрабатываемого средства

4.2 Описание и обоснование выбранной архитектуры

4.2.1 Описание архитектуры

4.2.2 Обоснование принимаемых принципиальных конструкционных решений

4.3 Функциональная схема программно-аппаратной платформы

4.3.1 Обобщенный алгоритм противодействия сетевым атакам типа «отказ в обслуживании» на основе программируемой логической интегральной схемы

4.3.2 Алгоритм детектирования сетевых атак типа «отказ в обслуживании» на основе машинного обучения

4.4 Тестирование разработанных методов и алгоритмов для противодействия сетевым распределенным атакам типа «отказ в обслуживании»

4.4.1 Архитектура тестового стенда

4.4.2 Описание принципов тестирования предлагаемых в работе методов и алгоритмов

4.4.3 Тестирование принимающего узла с применением разработанных методов, алгоритмов для противодействия сетевым атакам типа «отказ в обслуживании»

4.4.4 Оценка результатов предлагаемых методов при детектировании комбинированных сетевых распределенных атак типа «отказ в обслуживании» и сравнение с аналогами

4.5 Выводы

ЗАКЛЮЧЕНИЕ

СПИСОК РИСУНКОВ

СПИСОК ТАБЛИЦ

СПИСОК ЛИТЕРАТУРЫ

ПРИЛОЖЕНИЯ

Приложение А. Акты о применении и внедрении

Приложение В. Результаты интеллектуальной деятельности

Приложение С. Основные публикации по теме диссертации

РЕФЕРАТ

Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК

Введение диссертации (часть автореферата) на тему «Методы и алгоритмы защиты от распределенных сетевых атак типа "отказ в обслуживании"»

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность. Одним из наиболее распространённых видов сетевых атак являются атаки типа «отказ в обслуживании». Характерной чертой данных атак является их выполнение с большого числа компьютеров, поэтому они носят характер распределенного сетевого вторжения. Данный тип атак приводит к тому, что из-за переполнения полосы пропускания атакуемого сервера доступ к веб-ресурсу легитимных пользователей оказывается существенно затруднен. Фактически данные атаки могут привести к полной блокировке системы на программном и аппаратном уровнях.

Для организации атак этого типа злоумышленнику необходимо использование большого числа зараженных компьютеров вирусом, которые предоставляют ему удаленный доступ к своим вычислительным ресурсам. Атакующий получает возможность отправки избыточного количества запросов на сервер жертвы, превышая допустимую вычислительную нагрузку сервера для обработки входящих сетевых пакетов. На первый взгляд, справиться с данной задачей по силам далеко не каждому злоумышленнику ввиду необходимости использования больших распределенных сетей, но на деле такие атаки получили широкое распространение из-за предоставления доступа недобросовестных компаний к ресурсам миллионов зараженных компьютеров пользователей - бот-сети.

Атаки типа «отказ в обслуживании» происходят на разных уровнях сетевой инфраструктуры. Они способны поражать практически все её компоненты: канал передачи, брандмауэр, на встроенные сервисы, веб-ресурсы. С развитием компьютерных технологий атаки типа «отказ в обслуживании» стали многовекторными. Если еще совсем недавно атака состояла из одного воздействия на систему, то теперь атака направлена на переполнение не только сетевых ресурсов, но и вычислительных ресурсов

сервера одновременно и защититься от нее становится значительно труднее. Резко возросло количество атак на прикладном уровне сети, направленных на уязвимость веб-ресурсов.

Исследования разных лет показывают, что возросла не только сложность кибератак, но и их продолжительность по времени. Если еще в 2016 году максимальная детектированная атака составляла 8 дней, то в 2018-2019 году длительность атак типа «отказ в обслуживании» выросла до полугода.

Обнаружение атак направленные на отказ в обслуживании является чрезвычайно сложной и трудоемкой задачей. Существующие системы обнаружения вторжений требуют постоянного обновления набора правил для заблаговременного обнаружения сетевых атак. Тем не менее, даже периодического обновления набора правил может быть недостаточно для того, чтобы система всегда оставалась в актуальном состоянии. С каждым годом пропускная способность интернет-канала растет, поэтому применение лишь аппаратных средств детектирования сетевого трафика нецелесообразно. При этом использование классических средств защиты, таких, как межсетевые экраны, на сегодняшний день малоэффективно ввиду использования определенного набора правил, в соответствии с которым осуществляется фильтрация всех данных. Чаще всего для детектирования таких атак проводится анализ аномалий сетевого трафика, то есть при штатных условиях работы сети ведется поиск отклонений от контрольных характеристик трафика.

Таким образом, с повышением количества и сложности сетевых распределенных атак типа «отказ в обслуживании» необходимо повышение точности и скорости детектирования сетевых атак. Современное состояние компьютерных наук позволяет повысить точность детектирования за счет использования алгоритмов машинного обучения и комплексного применения аппаратных и программных средств защиты от такого рода атак. Отсюда непосредственно вытекает актуальность и практическая направленность данной диссертационной работы.

Степень разработанности темы. Разработка и совершенствование методов детектирования и защиты от сетевых атак типа «отказ в обслуживании» является перспективным направлением исследований. Об этом свидетельствуют исследования таких учёных, как Кузьмоновича A., Найтли E., Чистоходова А.А., Сидорова И.Д., Хаяма С., Абрамова Е.С., Тарасова Я.В., Тумояна Е.П., Левоневского Д.К., Пичугина Ю.А., Фаткиева Р.Р., Минга Луо, Тао Пенга, Леки С., данная тематика широко обсуждается на таких международных конференциях, таких как BlackHat, HighLoad++, Kaspersky DDoS Protection, IDC IT Security Roadshow и др.

В то же время, полученные на сегодняшний день результаты помогают решить лишь некоторые частные задачи защиты принимающего узла компьютерной сети во время сетевых атак типа «отказ в облуживании». Современное состояние развития технических и компьютерных наук позволяет повысить точность детектирования за счет использования алгоритмов машинного обучения и комплексного применения аппаратных и программных средств защиты от такого рода атак. Отсюда непосредственно вытекает актуальность и практическая направленность данной диссертационной работы.

Целью диссертационной работы является повышение точности и скорости обнаружения сетевых атак типа «отказ в обслуживании» на принимающий узел компьютерной сети на основе разработки методов и алгоритмов, реализуемых в средствах программно-аппаратной защиты.

Научной задачей при этом является разработка научно аппарата защиты от сетевых распределенных атак типа «отказ в обслуживании» на принимающие узлы компьютерных сетей.

Данная цель предполагает решение следующих задач:

1. Провести анализ методов противодействия сетевым атакам типа «отказ в обслуживании».

2. Сформировать модель принимающего узла компьютерной сети под воздействием сетевых атак типа «отказ в обслуживании».

3. Разработать метода формализации сценариев типовых атак для выявления информативных признаков и разметки набора данных для идентификации сетевых атак типа «отказ в обслуживании».

4. Построить алгоритм выявления сетевых распределенных атак типа «отказ в обслуживании» для последующей реализации на программно-аппаратном платформе.

5. Построить алгоритм автоматизированного пополнения сценариев сетевых распределенных атак типа «отказ в обслуживании».

6. Сформировать метод обнаружения сетевых распределенных атак типа «отказ в обслуживании» на более ранних этапах реализации их сценариев.

7. Разработать систему защиты принимающих узлов компьютерной сети от распределенных сетевых атак с последующей реализацией на программно-аппаратной платформе.

8. Провести вычислительный эксперимент и оценить результаты защиты от сетевых распределенных атак типа «отказ в обслуживании» с существующими аналогами.

В соответствии с заявленными целью и задачами работы объектом исследования являются принимающие узлы компьютерной сети.

Предметом исследования выступают атаки типа «отказ в обслуживании» на принимающий узел компьютерной сети.

На защиту выносятся следующие основные положения:

1. Разработанный метод формализации сценариев типовых атак позволяет производить выявление информативных признаков и разметку набора данных для систем обнаружения сетевых распределенных атак типа «отказ в обслуживании».

2. Предложенный алгоритм выявления сетевых распределенных атак типа «отказ в обслуживании» позволяет сократить пространство признаков для принятия решения о детектировании атак, подлежащий реализации на программно-аппаратном уровне.

3. Предложенный алгоритм пополнения сценариев сетевых атак типа «отказ в обслуживании» позволяет детектировать неизвестные сценарии.

4. Разработанный метод обнаружения сетевых атак типа «отказ в обслуживании» позволяет увеличить скорость и точность обнаружения атак.

Научную новизну диссертации составляют:

1. Метод формализации сценариев типовых атак, основанный на модели куста событий, ранее не использовавшегося в информационной безопасности и позволяющего выявлять информативные признаки и разметку набора данных для последующей идентификации и классификации сетевых распределенных атак типа «отказ в обслуживании».

2. Алгоритм выявления сетевых распределенных атак типа «отказ в обслуживании», отличающийся использованием совокупности информативных признаков для принятия решения о детектировании атак, подлежащий реализации на программно-аппаратной платформе.

3. Алгоритм автоматизированного пополнения сценариев сетевых атак типа «отказ в обслуживании», отличающийся от известных способностью обнаруживать раннее не установленные типы атак с применением анализа сетевых трафика на наличие аномалий.

4. Метод обнаружения сетевых атак типа «отказ в обслуживании» с использованием выявленных информативных признаков, отличающийся от существующих применением разработанных метода формализации сценариев атак и алгоритма выявления сетевых атак.

Достоверность изложенных в настоящей диссертации результатов обеспечивается последовательным сравнением результатов, использованием математического аппарата и теоретических подходов по данной тематике. Основные результаты диссертации представлены на международных конференциях, изложены в реферируемых журналах.

Практическая значимость результатов диссертационной работы состоит в реализации и внедрении предложенных методов в программно -аппаратной платформе для защиты от сетевых распределенных атак типа «отказ в обслуживании» на высокоскоростных серверах центров обработки данных.

Методы исследования. Для достижения научной задачи исследования использовались методы и подходы теории информационной безопасности и теории информации, методология инженерии динамического знания, методы математической статистики, алгоритмы машинного обучения, теоретические положения теории вероятности, математической статистики и методов защиты информации.

Апробация работы.

Основные результаты работы были представлены на следующих конференциях:

1. IX Научно-практическая конференция молодых ученых «Программная инженерия и компьютерная техника» (MICSECS-2017). (г. Санкт-Петербург, 2017 г.).

2. VII, VIII Всероссийский конгресс молодых ученых. (г. Санкт-Петербург, 2018 г., 2019 г.).

3. ^&ГГ'18 Международный конгресс по интеллектуальным системам и информационным технологиям. (П. Дивноморское, г. Геленджик, 2018 г.).

4. VIII, IX Научно-практическая конференция молодых ученых «Вычислительные системы и сети (Майоровские чтения)». (2016 г., 2017 г.).

5. Международная научно-практическая конференция «Новая наука: опыт, традиции, инновации» (МНКП-123). (г. Оренбург, 2017 г.).

6. ХЬ"УШ научная и учебно-методическая конференция НИУ ИТМО. (г. Санкт-Петербург, 2019 г.).

7. Проблемы и перспективы в международном трансфере инновационных технологий (НК-233). (г. Волгоград, 2020 г.).

8. I Всероссийский студенческий форум «Инженерные кадры - будущее инновационной экономики России» (г. Йошкар-Ола, 2015 г.).

9. V международной научной конференции «Приоритетные направления инновационной деятельности в промышленности». (г. Казань, 2020 г.).

Внедрение результатов.

Результаты диссертационной работы были внедрены и использовались при проведении прикладных научных исследований:

— в федеральном государственном автономном образовательном учреждении высшего образования «Национальный исследовательский университет ИТМО»;

— в рамках научно-исследовательской и опытно-конструкторской работы № АААА-А18-118033090104-4 «Программно-аппаратная платформа противодействия сетевым распределенным атакам на отказ в обслуживании»;

— в рамках научно-исследовательской работы № 619296 «Разработка методов создания и внедрения киберфизических систем»;

— ООО «ОПУС ТЭК».

Публикации.

По результатам диссертационного исследования автором опубликовано 10 работ, из них статей в журналах ВАК РФ - 4, журналах, индексируемых в базе данных «Scopus» - 1.

Получено свидетельство о регистрации программ для ЭВМ - 2.

Личный вклад автора.

Автор лично участвовал в проведении теоретических и экспериментальных исследований по теме диссертации, их обсуждении, в анализе и интерпретации полученных результатов. Содержание диссертации и основные положения, выносимые на защиту, отражают персональный вклад автора в опубликованных работах, а также апробированы в научно-

исследовательской и опытно-конструкторской работе. Эксперименты и оценка результатов проведена автором самостоятельно.

Структура и объем работы. Диссертационная работа состоит из введения, четырех разделов, заключения, списка литературы и приложения. Общий объем работы составляет 239 страниц, в том числе библиографический список из 211 наименований, 38 рисунков и 13 таблиц.

СОДЕРЖАНИЕ ДИССЕРТАЦИИ

Во введении обоснована актуальность темы диссертационной работы; определены цель, общая научная задача и частные задачи исследования; раскрыты принципы используемых подходов и методики; показана научная новизна и практическая ценность полученных результатов, а также их достоверность, сформулированы положения, выносимые на защиту; приведены сведения об апробации результатов исследования.

В первой главе рассмотрены современные методы противодействия сетевым распределенным атакам на отказ в обслуживании. Методы классифицированы на методы противодействия атакам на сетевых уровнях L2-L4 модели OSI и на прикладном уровне (уровень приложений) L7. Проведен анализ, выявлены достоинства и недостатки данных методов.

Приведена классификация подходов к противодействию сетевым атакам на отказ в обслуживании в зависимости от глубины анализа входящих сетевых пакетов. В зависимости от проведенной атаки на конкретный уровень модели OSI, анализ пакетов можно разделить на 3 уровня: глубокий, средний и поверхностный анализ.

Большинство существующих методов позволяют эффективно анализировать входящий трафик и противодействовать атакам на уровнях L1-L3 за счет анализа заголовков пакетов. Существенный вклад в проблематику данной области внесли работы Ванга Х., Занга Д., Родионова А.С., Шахова В.В. Дикерсона Д. Поверхностный анализ пакетов не предъявляет высоких требований к вычислительным ресурсам системы, поэтому данная технология получила широкое распространение во множестве сетевых устройств и маршрутизаторов. В тоже время, работоспособность данных методов ограничивается лишь сетевым уровнем модели OSI.

Методы, основанные на средней глубине анализе пакетов, строятся на статистическом анализе трафика, использующем информацию о формате передаваемых данных. В отличие от поверхностного анализа пакетов, в котором применяются списки управления доступом к объекту, здесь

используются листы анализа входящего трафика (parse list). Это позволяет не обращаться лишь к конечным IP-адресам, а рассматривать непосредственно формат данных входящих пакетов. Данное решение реализовано во многих сетевых устройствах и программных продуктах фирм: Checkpoint©, Cisco, Symantec™ и McAfee™. В тоже время, применение данной технологии имеет существенный недостаток: с увеличением ширины канала данные методы требуют назначение отдельного «шлюза» для каждой команды и протокола, что сильно ограничивает его применение на высокоскоростных интерфейсах.

Методы и подходы, основанные на глубоком анализе трафика, относятся к классу высокоскоростных решений, использующих вычислительную способность современных процессоров. Это позволяет использовать данный подход для более точного и быстрого анализа сетевого трафика на предмет нелегитимного поведения (работы Кузьмоновича A., Найтли E., Чистоходова А.А., Сидорова И.Д., Хаяма С., Абрамова Е.С., Тарасова Я.В., Тумояна Е.П., Левоневского Д.К., Пичугина Ю.А., Фаткиева Р.Р., Минга Луо, Тао Пенга, Леки С.). Технология глубокого анализа трафика в настоящее время является текущим стандартом для сетевой безопасности.

Изменение состояния принимающего узла компьютерной сети под воздействием атак типа «отказ в обслуживании» — это последовательность событий, возникающих в среде под целенаправленным воздействием внешних факторов. Подобные ситуации удобно исследовать путем построения визуальных моделей. Для этого разработан ряд методом визуализации и концептуализации на основе теории помеченных графов. Данным условиям для моделирования изменения состояния принимающего узла под воздействием сетевых атак типа «отказ в обслуживании», удовлетворяет метод куста событий.

Для классификации сетевых распределенных атак в зависимости от уровней модели OSI, была спроектирована модель изменения принимающего узла сети под воздействием атак типа «отказ в обслуживании». Обобщенная модель куста событий представлена на Рисунке 1.

Рисунок 1 - Обобщенная модель куста событий изменения состояния принимающего узла под воздействием сетевых распределенных атак типа

«отказ в обслуживании» Данная модель была специфицирована относительно всех уровней модели 0Б1 и всех возможных реализациях сетевых атак типа «отказ в обслуживании» на каждом уровне, а также кумулятивного эффекта накопления неполадок от низших уровней к высшим. На основе данной модели сформировано множество сценариев сетевых распределенных атак типа «отказ в обслуживании» (Рисунок 2).

Рисунок 2 - Метод формализации сценариев типовых атак типа «отказ в

облуживании»

При использовании разработанного метода произведена разметка набора данных для последующей идентификации и классификации сетевых

распределенных атак типа «отказ в обслуживании». Тем самым, сформирован метод формализации сценариев типовых атак, что является положением, выносимым на защиту.

В современных средствах защиты от сетевых распределенных атак типа «отказ в обслуживании» используются системы, реализованные с помощью методов машинного обучения. Применение такого рода систем помогает обнаружить атаки с помощь различных алгоритмов обучения с учителем, так и без учителя. Первый метод обладает более высокой эффективностью обнаружения, когда имеются точные и корректные атрибуты атак, но не может обнаруживать неизвестные атаки. Второй, напротив, может детектировать ранее неизвестную атаку.

Большинство существующих методов классификации сетевых распределенных атак типа «отказ в обслуживании» основаны на различных алгоритмах машинного обучения. В тоже время, некоторые алгоритмы работают неэффективно в ситуации, когда имеются разреженные данные в сетевом трафике. Наиболее часто используемым является алгоритм деревьев решений. Несмотря на высокую скорость работы алгоритма, его ограничением является нестабильность процесса: даже незначительные изменения в наборе данных ведут к изменениям во всем дереве приятия решений, что негативно сказывается на классификации. Для исправления ошибок классификатора, необходимо, чтобы алгоритм имел возможность учиться на собственных ошибках и строить финальную модель с минимальной вероятностью ошибок предсказаний результата. Как известно из математической статистики, одним из перспективных методов для решения данной проблемы является градиентный бустинг.

Во второй главе разрабатывается математический аппарат для применения метода градиентного бустинга в задачах автоматической классификации сетевых угроз типа «отказ в обслуживании».

В результате диссертационного исследования было установлено, что для классификации сетевых атак необходимо учитывать множество параметров

сетевого трафика. В качестве атрибутов классификации должны использоваться атрибуты пакетов сетевого, транспортного и прикладного уровней модели ОБ! Обобщенная последовательность действий метода бустинга для классификации объектов выглядит следующим образом: вначале формируется набор признаков и инициализируются веса для каждого сетевого пакета, далее происходит Т повторений классификатора, до тех пор, пока не будет сформирован окончательный итоговый предиктор (линейная комбинация Г-классификаторов). Совокупность всех решающих правил алгоритма градиентного бустинга для итогового предсказания является моделью машинного обучения.

Представлена разработанная модель машинного обучения для классификации распределенных сетевых атак типа «отказ в обслуживании».

В модели на основе обучающей выборки сетевого трафика задаем функцию /(хт) от входных параметров, которая при наименьшем количестве ошибочно классифицированных пакетов предсказывает результирующий класс атаки у для любых новых значений х. Выходные значения берутся из дискретного множества У, включающего все предопределенные значения классов.

¥={У1,У2,-,Ут}, (!)

где т-количество результирующих классов. Таким образом,

/: X ^У, (2)

где X - это набор векторов атрибутов сетевых пакетов, У - набор наименований классов распределенных сетевых атак. Значения целевой зависимости f известны только на объектах конечной обучающей выборки:

хт = {{Х1,у2), ■■■,(хт,ут)}. (3)

С помощью алгоритма градиентного бустинга необходимо восстановить зависимость у = f(x) путем приближения f(x), для минимизации используем функцию потерь L(y,f(x)У:

f(x) = arg min EXiV [L(y, f(x))], (4)

при этом общая функция ошибки будет суммой ошибок на каждом тренировочном примере:

Е(в) = Iii=1Ei(f(x,e),y), (5)

где в - ограничение параметра поиска функции.

Итоговая модель градиентного бустинга будет иметь вид:

f(x)=Tj=0fi(x) (6)

Параметры для оптимизации модели выбраны следующие:

— Количество итераций n_estimators.

— Скорость обучения learning_rate.

— Высота обучающего дерева max_depth.

— Количество дочерних деревьев min_child_samples.

Для оценки использовались метрики, предсказывающие принадлежность каждого объекта одному из классов. Матрица классификации приведена в таблице 1. у - ответ алгоритма на объекте, у-истинный класс объекта. Таблица 1. Матрица ошибок классификации

y=1 y=0

9 = 1 Истинно положительная(ТР) Ложно положительная(БР)

у = 0 Ложно отрицательная^^ Истинно отрицательная(ТК)

Для оценки правильности работы модели классификатора использовались следующие метрики:

оценка точности предсказаний целевой переменной для расчета точности:

TP+TN

accuracy =-; (7)

J TP+TN+FP+FN v '

оценки качества классификации объектов для расчета кривой анализа:

ROC — AUC — 2*Precision*recal1

precision+recall

мера различий между значениями предсказанной моделью и значением выборки:

RMS = J±Z?=1(di-pi)2,

(9)

где ^ - количество верно предсказанных объектов, р^ - общее количество объектов выборки.

Задача классификации является оптимальным средством для детектирования сетевых атак. Использование машинного обучения с учителем обладает высокой точностью детектирования, когда имеются точные и конкретные атрибуты атак.

Для каждого рода сетевой атаки типа «отказ в обслуживании», характерно своё признаковое пространство. В случае атаки на уровне Ь2 модели 0Б1 -МЛСЕ1ооё, фильтрация сетевого трафика происходит с учетом информации, содержащиеся в заголовке пакета: МЛС-адрес отравителя и получателя. В тоже время, для атак на уровнях Ь3-Ь7 признаковое пространство не будет включать данные о МЛС-адресах, тем самым сокращается время на детектирование сетевых атак. На рисунке 3 представлен алгоритм выявления сетевых распределенных атак типа «отказ в обслуживании», основанный на использовании совокупности информативных признаков, позволяющий сократить пространство признаков для принятия решения о детектировании атак, подлежащий реализации на программно-аппаратном уровне.

Рисунок 3 - Алгоритм выявления сетевых распределенных атак типа

«отказ в обслуживании» Таким образом, положением, выносимым на защиту, является алгоритм выявления сетевых распределённых атак типа «отказ в обслуживании» основанный на использовании совокупности информативных признаков.

В тоже время, классификатор не может обнаружить ранее неизвестные атаки. Для решение данной задачи необходимо проведение поиска сетевых аномалий во входящем трафике с использованием машинного обучения без учителя - LOF (алгоритм локального уровня выброса).

Детектирование аномалий включает в себя три основных этапа: Первый этап. Наблюдение за активностью пользователя:

a. Подсчет среднего времени ответа приложения.

b. Подсчет количества ошибок сервера.

c. Подсчет количества запросов в секунду.

d. Подсчет количества уникальных пользователей.

Второй этап. Анализ наблюдаемых данных:

a. Ввод порога времени ответа приложения.

b. Ввод порога доли ошибок.

c. Ввод порога количества запросов.

Данный анализ необходим до того, как перестало отвечать приложение. Анализ количества данных, переданных приложению, в случае если атакующие вытесняют легитимных пользователей и запрашивают одни и те же ресурсы. Если среднее время ответа растет, а количество пользователей падает, то детектируем атаку.

Третий этап. Детектирование сетевой аномалии.

Каждый собранный пакет имеет набор метаданных, представленных в виде вектора р:

р = (id, date, х±, х2,..., хп), (10)

где n - размерность вектора, id - идентификатор сеанса, date - временная метка, х±,...,хп - направления, адреса и порты отправителя и получателя, размер пакета, тип протокола, различные флаги и поля обслуживания.

Для каждого р должны быть определены ^-ближайших соседей. Для каждой точки вычисляется ее плотность локальной достижимости (LOF).

Если LOF (к) > 1, то точка имеет меньшую плотность, чем у соседей, а следовательно, является аномалией.

Число соседей следует определить по нижней границе на основе наименьшего количества точек в кластере и по верхней границе наибольшим числом ближайших точек, которые потенциально могут быть аномалиями. Тем не менее, такая информация, как правило, не имеется в наличии, а, следовательно, параметры не всегда будут подобраны оптимально.

Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК

Список литературы диссертационного исследования кандидат наук Попов Илья Юрьевич, 2020 год

Литература

1. Muller, А. С. Introduction to Machine Learning with Python: A Guide for Data Scientists / Andreas C. Muller, Sarah Guido. -San Francisco: O'Reilly Media, 2016. - P. 268-328

2. Bhattacharyya, D. K. DDoS Attacks: Evolution, Detection, Prevention, Reaction, and Tolerance / Dhruba Kumar Bhattacharyya, Jugal Kumar Kalita. - London: Chapman and Hall/CRC, 2016. - P. 23-70

3. Garreta, R., Moncecchi G. Learning scikit-learn. Machine Learning in Python / R. Garreta. - Birmingham: Packt, 2013. P. 25-60

4. DDoS-атаки и электронная коммерция: современные подходы к защите [Электронный ресурс] / 1-С Битрикс // Сайт Хабрахабр. - Режим доступа: https://habrahabr.ru/ company/bitrix/blog/267947, свободный. - Загл. с экрана.

5. Машинное обучение: метод ближайших соседей [Электронный ресурс] / Сайт MachineLearning.ru. - Режим доступа: http: / / www.machinelearning.ru/wiki/index.php?title=%DO% 9C%D0%B5%D1%82%D0%BE%D0%B4_%D0%B1%D0%BB%D 0%B8%D0%B6%D0%B0%D0%B9%D1%88%D0%B5%D0%B3%D 0%BE_%D1%81%D0%BE%D1%81%D0%B5%D0%B4%D0%B0, свободный. - Загл. с экрана.

6. Обучение на размеченных данных. Случайные леса [Электронный ресурс] / Сайт coursera.orgio - Режим доступа: https: //ru.coursera.org/learn/supervised-learning/lecture / bejGu/sluchainyie-liesa, свободный. - Загл. с экранаэ

7. Отчет за 2017 год компании Qrator Labs [Электронный ресурс] / Компания Qrator Labs. - Режим доступа: https:// qrator.net/presentations/QratorAnnualRepRus.pdf, свободный. -Загл. с экрана.

8. Технологии анализа данных. Алгоритм CART [Электронный ресурс] / Компания BaseGroup Labs. - Режим доступа: http://docplayer.ru/32842822-Algoritm-cart-m-154. html, свободный. - Загл. с экрана.

9. Отчет по безопасности за 2016 год [Электронный ресурс] / Cisco Systems. - Режим доступа: https://www.cisco.com/с/ dam/m/ru ru/cisco_2016_asr_011116_ru.pdf, свободный. -Загл. с экрана.

10. Воробьева, А. А. История развития программно-аппаратных средств защиты информации / A.A. Воробьева, И.С. Пантюхин - СПб: Университет ИТМО, 2017. - 62 с.

11. Ерохин, С. Д. Влияние фонового трафика на эффективность классификации приложений методами машинного обучения / С.Д. Ерохин, A.B. Ванюшина // T-Comm: Телекоммуникации и транспорт. - 2017. - Т. 11, № 12. - С. 31-36.

12. Кафтанников, И. JI. Особенности применения деревьев решений в задачах классификации / И.Л. Кафтанников, A.B. Парасич // Вестник ЮУрГУ. Серия «Компьютерные технологии, управление, радиоэлектроника». - 2015. - Т. 15, № 3. - С. 26-32.

13. Зубриенко, Г. А. Методы оптимизации выборки данных для определения аномального трафика / Г.А. Зубриенко, O.P. Лапонина // International Journal of Open Information Technologies. - 2016. - Vol. 6, No. 3. - P. 1-8.

14. Котов, В. Д. Современное состояние проблемы обнаружения сетевых вторжений / ВД. Котов, В.И. Васильев // Вестник УГАТУ. - 2012. - Т. 16, № 3. - С. 198-204.

15. Чистяков, С. П. Случайные леса: обзор /С.П.Чистяков // Труды КарНЦ РАН. - 2013. - № 1. - С. 117-136.

16. Мухамедиев, Р. И. Таксономия методов машинного обучения и оценка качества классификации и обучаемости [Электронный ресурс] / Р.И. Мухамедиев, E.JI. Мухамедиева, Я.И. Кучин // Электронный журнал Cloud of science. - 2015. - T. 2, №3. - Режим доступа: https: //cyberleninka.ru/article /v/taksonomiya-metodov-mashimiogo-obucheniya-i-otsenka-kachestva-klassifikatsii-i-obuchaemosti, свободный. - Загл. с экрана.

17. Воронцов, К. В. Комбинаторный подход к оценке качества обучаемых алгоритмов / К.В. Воронцов // Математические вопросы кибернетики / под ред. О.Б. Лупанов. - М.: Физматлит, 2004. - Т. 13. - С. 5-36.

ОС

О

18. Mullin, M. Complete Cross-Validation for Nearest Neighbor Classifiers / M. Mullin, R. Sukthankar // Proceedings of International Conference on Machine Learning. - 2000. -P. 1137-1145.

19. Zargar, S. T. A survey of defense mechanisms against distributed denial of service (DDoS) flooding attacks / Saman Taghavi Zargar, James Joshi and David Tipper // IEEE communications surveys & tutorials 15.4 (2013): 2046-2069.

20. Gupta, Ms. Sh. Application Layer DDOS Attack: A Big Threat / Ms Shaveta Gupta, Dr. Dinesh Grover // Streames Info-Ocean. - June 2016. - Vol. 1, Iss. 1. - P. 30-43.

21. Пантюхин, И. С. Методика проведения постинцидентного внутреннего аудита средств вычислительной техники / И.С. Пантюхин, И. А. Зикратов // Научно-технический вестник информационных технологий, механики и оптики. - 2017. -Т. 17, № 3. - С. 467-474. - doi: 10.17586/2226-1494-201717-3-467-474.

22. Pantiukhin, I. Basics of Computer Forensics / I. Pantiukhin, D. Shidakova // Вестник полиции. - 2016. - № 1 (7). - С. 20-29.

Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.