Обнаружение низкоактивных распределенных атак типа "отказ в обслуживании" в компьютерных сетях тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Щерба, Мария Витальевна

ВВЕДЕНИЕ

Актуальность работы

Интенсивное развитие информационных технологий и электронных информационных ресурсов, а также мировых и национальных компьютерных сетей, повлекло за собой устойчивый рост числа компьютерных преступлений по всему миру. Несмотря на различные оценки рынка компьютерных преступлений, никто сегодня не сможет назвать точную цифру суммарных потерь. Одной из основных тенденций последних лет в сфере компьютерных преступлений является рост количества и сложности атак на доступность информации (ресурсов автоматизированной системы), как один из трех основных критериев (наряду с конфиденциальностью и целостностью) информационной безопасности объекта. Данные атаки образуют класс атак типа «отказ в обслуживании» (DoS-атаки). В этот класс попадают атаки на компьютерную систему, цель которых - довести систему до такого состояния, в котором её легитимные пользователи не смогут получить доступ к предоставляемым системой ресурсам (серверам, сервисам), либо этот доступ будет затруднён. Если атака выполняется одновременно с большого числа компьютеров, имеет место DDoS-атака (Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»). За последние несколько лет количество таких атак выросло многократно и на сегодня данный класс атак имеет максимальную долю от общего числа атак. Так, в 2010 году была зафиксирована DDoS-атака с мощностью потока более 100 Гбит/сек., которая является самой мощной атакой за все время наблюдений. А в 2011 году был поставлен абсолютный рекорд по суммарному объему DDoS-трафика, который превысил трафик за все вместе взятые года предыдущих исследований [12, 40].

В целях минимизации последствий DDoS-атак, их обнаружение и классификация является крайне важной и вместе с тем сложной задачей.

Данная проблема широко рассматривается в работах П.Д. Зегжды, Б.Н. Оныкия, А.А. Молдовяна, А.В. Лукацкого, И. Яблонко, K.J. Houle, С. Patrikakis и других исследователей [9, 34, 36, 44, 49]. Основной способ распознавания DDoS-атаки заключается в обнаружении аномалий в структуре трафика. Традиционные механизмы обеспечения безопасности - межсетевые экраны и системы обнаружения вторжений - не являются эффективными средствами для обнаружения DDoS-атак и защиты от них, особенно атак трафиком большого объема [14, 20]. Фундаментальной предпосылкой для обнаружения атак является построение контрольных характеристик трафика при работе сети в штатных условиях с последующим поиском аномалий в структуре трафика (отклонения от контрольных характеристик). Аномалия сетевого трафика - это событие или условие в сети, характеризуемое статистическим отклонением от стандартной структуры трафика, полученной на основе ранее собранных профилей и контрольных характеристик. Любое отличие в структуре трафика, превышающее определенное пороговое значение, вызывает срабатывание

сигнала тревоги.

Вместе с тем, существующие методы обнаружения DDoS-атак, позволяющие эффективно распознавать DDoS-атаки транспортного уровня (SYN-флуд, UDP-флуд и другие), малоэффективны для обнаружения низкоактивных DDoS-атак прикладного уровня («медленный» HTTP GET флуд и «медленный» HTTP POST флуд) [34]. Данный класс DDoS-атак возник сравнительно недавно и на сегодняшний день представляет основную угрозу доступности информации в распределенных компьютерных сетях. Отличить трафик, генерируемый в ходе данных атак, от легального НТТР-трафика достаточно сложно, кроме того, каналы передачи данных практически не перегружаются. Данные атаки приводят к потерям запросов и ответов, т.е. фактическому отказу веб-серверов на основе Microsoft IIS, Apache и других систем. Кроме того, атака может быть адаптирована для воздействия на SMTP и даже DNS-серверы.

Таким образом, разработка методики обнаружения низкоактивных распределенных атак типа «отказ в обслуживании» является актуальной и практически важной задачей.

Цель работы

В связи с этим цель диссертационной работы заключается в разработке и практической реализации методики обнаружения распределенных атак типа «отказ в обслуживании» транспортного и прикладного уровней в компьютерных сетях. Для достижения поставленной цели были определены и

решены следующие задачи:

1. Анализ проблемы обнаружения распределенных атак типа «отказ в обслуживании» и классификация существующих ОБо8-атак, методов и

средств их обнаружения.

2. Построение математической модели атак типа «отказ в обслуживании» в сетях массового обслуживания и метода их обнаружения.

3. Разработка архитектуры и реализация программно-аналитического комплекса для имитационного моделирования и расчета статистических характеристик сетей массового обслуживания.

4. Разработка архитектуры и реализация программно-аналитического комплекса, предназначенного для обнаружения низкоактивных атак типа «отказ в обслуживании» в распределенных компьютерных сетях на основе разработанной методики.

Объект и предмет исследования

Объектами исследования являются компьютерные сети, процессы передачи информации и конкретные реализации атак распределенных типа «отказ в обслуживании» на ресурсы информационной системы.

Предметами исследования выступают модели и методы моделирования вычислительных сетей сетями массового обслуживания, а также методы обнаружения распределенных атак типа «отказ в обслуживании».

Методы исследований

В диссертационной работе используются методы математического моделирования, теории вероятностей и математической статистики, теории систем и сетей массового обслуживания. Полученные теоретические результаты подтверждены экспериментальными исследованиями, выполненными с применением среды программирования Microsoft Visual С++ и библиотек OpenMP, Boost, WinPcap.

Достоверность

Достоверность результатов работы обеспечивается корректной постановкой задач, строгостью применения математических моделей, непротиворечивостью полученных результатов, а также практическим применением разработанных методов.

Научная новизна

В диссертационной работе получены следующие научные результаты:

1. Доказана сходимость разработанной итерационной процедуры аппроксимации сети массового обслуживания с конечными очередями сетью Джексона для вычисления интенсивностей входящих в узлы потоков заявок (для различных топологий исходной сети).

2. Предложена методика построения цепи Маркова на основе характеристик сети массового обслуживания для оценки вероятности потери произвольной заявки в сети.

3. Исследована и экспериментально обоснована адекватность предложенных математических моделей низкоактивных атак типа «отказ в обслуживании» в сетях массового обслуживания.

4. Разработана и исследована методика обнаружения низкоактивных атак типа «отказ в обслуживании» в компьютерных сетях на основе оценки вероятности потерь заявок.

Практическая значимость

Практическая значимость результатов подтверждена внедрением разработанного программно-аналитического комплекса в систему защиты распределенной информационно-телекоммуникационной сети Администрации города Омска. Результаты диссертационного исследования отмечены дипломом Ш-степени на XIX Международной студенческой конференции-школе-семинаре «Новые информационные технологии» (2011г.). Основные результаты работы внедрены и используются при преподавании дисциплин кафедры «Комплексная защита информации» в Омском государственном техническом университете. Представленные в диссертации модели и методы могут быть использованы в качестве базы для дальнейших исследований.

Апробация работы

Результаты работы прошли апробацию в виде выступлений на научных конференциях и семинарах:

1. Региональная молодежная научно-техническая конференция «Омское время - взгляд в будущее» (2010, г. Омск).

2. Международный информационный конгресс «МИК-2010» (2010, г. Омск).

3. III Всероссийская молодёжная научно-техническая конференция «Россия молодая: передовые технологии - в промышленность!» (2010, г. Омск).

4. III Международная научно-практическая конференция «Перспективы развития информационных технологии» (2011, г. Новосибирск).

5. XIX Международная студенческая конференция-школа-семинар «Новые информационные технологии» (2011, г. Судак).

Публикации

Результаты диссертации отражены в 9 публикациях, в том числе 2 публикации в изданиях, рекомендованных ВАК для публикации основных научных результатов диссертации.

Структура и объём работы

Диссертационная работа состоит из введения, трех глав, заключения, списка литературы и двух приложений. Общий объем работы составляет 123 страницы, в том числе 20 рисунков и 5 таблиц.

Личный вклад

Все исследования, изложенные в диссертационной работе, проведены автором в процессе научной деятельности. Все результаты, выносимые на защиту, получены автором лично. Из совместных публикаций включен лишь тот материал, который непосредственно принадлежит диссертанту, заимствованный материал обозначен в работе ссылками.

Основные результаты, выносимые на защиту

1. Итерационная процедура аппроксимации сети массового обслуживания с конечными очередями сетью Джексона для вычисления интенсивностей входящих в узлы потоков заявок.

2. Методика обнаружения низкоактивных распределенных атак типа «отказ в обслуживании» в компьютерных сетях на основе оценки вероятности потерь заявок.

3. Программно-аналитический комплекс, предназначенный для:

- имитационного моделирования атак типа «отказ в обслуживании» и расчета статистических характеристик сетей массового обслуживания под воздействием атак;

- обнаружения низкоактивных распределенных атак типа «отказ в обслуживании» в компьютерных сетях на основе оценки вероятности потерь заявок в сети.

Результаты работы внедрены и используются при преподавании дисциплин кафедры «Комплексная защита информации» в Омском государственном техническом университете.

Диссертационная работа является законченным на данном этапе научным исследованием, в котором предложена и обоснована методика обнаружения низкоактивных распределенных атак типа «отказ в обслуживании» в компьютерных сетях.

ЗАКЛЮЧЕНИЕ

В результате проведенных исследований получены следующие основные научные и практические результаты:

1. Произведен анализ и классификация существующих атак типа «отказ в обслуживании», обобщены и систематизированы основные подходы к обнаружению атак данного типа в распределенных компьютерных сетях. Указаны их ограничения.

2. Разработана итерационная процедура аппроксимации сети массового обслуживания с конечными очередями сетью Джексона для вычисления интенсивностей входящих в узлы потоков заявок (для различных топологий исходной сети).

3. Предложена методика построения цепи Маркова на основе характеристик сети массового обслуживания для оценки вероятности потерь заявок в сети.

4. Разработана методика обнаружения низкоактивных атак типа «отказ в обслуживании» на основе их моделирования в сетях массового обслуживания и оценки вероятности потерь в стационарном режиме функционирования сети.

5. Разработана архитектура и реализован программно-аналитический комплекс, предназначенный для:

- имитационного моделирования атак типа «отказ в обслуживании» и расчета статистических характеристик сетей массового обслуживания под воздействием атак;

- обнаружения низкоактивных распределенных атак типа «отказ в обслуживании» в компьютерных сетях на основе оценки вероятности потерь заявок в сети.

6. Произведена экспериментальная оценка эффективности и сравнительный анализ разработанного программно-аналитического комплекса для обнаружения атак типа «отказ в обслуживании» в компьютерных сетях.

СПИСОК ЛИТЕРАТУРЫ

1. Башарин, Г.П. Лекции по математической теории телетрафика: Учеб. пособие / Т.П. Башарин. -М.: Изд-во РУДН, 2004. - 186 с.

2. Бодягин, И. Эпоха параллельности. Способы выживания в эпоху многоядерного параллелизма // И. Бодягин. - RSDN Magazine. - M.: The RSDN Group, 2009. - № 3. - [Электронный ресурс]. - Режим доступа: http://www.rsdn.ru/article/dotnet/ParallelFX3.xml, свободный (дата обращения: 28.02.2012).

3. Вентцель, А.Д. Курс теории случайных процессов. 2-е изд., доп. / А.Д. Вентцель. - М.: Наука, 1996. - 400 с.

4. Кельберт М.Я. Вероятность и статистика в примерах и задачах. Том II. Марковские процессы как отправная точка теории случайных процессов и их приложения / М.Я. Кельберт, Ю.М. Сухов. - М.: МЦНМО, 2010. - 560 с.

5. Краснов, М.В. DirectX. Графика в проектах Delphi / M.B. Краснов. - СПб.: БХВ-Петербург, 2003. - 416 с.

6. Краснов, M.B. OpenGL. Графика в проектах Delphi / M.B. Краснов. -СПб.: БХВ-Петербург, 2002. - 352 с.

7. Крылов, В. В. Теория телетрафика и её приложения / В.В. Крылов, С.С. Самохвалова. - СПб.: БХВ-Петербург, 2005. - 288с.

8. Леохин, Ю.Л. Научные основы управления параметрами структур корпоративных сетей: дис. ... докт. техн. наук: защищена 27.10.2009 / Ю.Л. Леохин. - М.: МИЭМ, 2009. - 361 с.

9. Лобанов В.Е. Архитектура системы защиты Грид от атак типа «отказ в обслуживании» и «распределенный отказ в обслуживании» / В.Е. Лобанов, Б.Н. Оныкий, A.A. Станкевичус // Безопасность информационных технологий. - 2010. - №2010-3. - С. 136-139.

10. Математическая энциклопедия / Главный редактор И. М. Виноградов — М.: «Советская энциклопедия», 1979. - Т. 4. - 1104 с.

11. Мейерс, С. Эффективное использование STL. Библиотека программиста / С. Мейерс. - СПб.: Питер, 2002. - 224 с.

12. Обзор DDoS-атак во втором квартале 2011 года. - [Электронный ресурс].

Режим доступа:

http ://www. securelist.com/ru/analy sis/208050712/Obzor_DDoS_atak_vo_vtor om_kvartale_2011_goda, свободный (дата обращения: 28.02.2012).

13. Предотвращение атак с распределенным отказом в обслуживании (DDoS).

[Электронный ресурс]. - Режим доступа:

http://www.cisco.com/web/RU/products/ps5887/products_white_paper0900aec d8011e927_.html, свободный (дата обращения: 28.02.2012).

14. Решение Cisco Systems «Clean Pipes» по защите от распределенных DOS атак для операторов связи их клиентов. - [Электронный ресурс]. - Режим доступа: http://www.cisco.com/web/RU/downloads/CleanPipes_rus.pdf, свободный (дата обращения: 28.02.2012).

15. Рихтер, Д. Windows для профессионалов / Д. Рихтер. - 4-е изд.: Пер. с англ. - СПб.: Питер; М.: Русская редакция, 2001. — 752 с.

16. Розанов, Ю.А. Случайные процессы / Ю.А. Розанов. - М.: Наука, 1979. -184 с.

17. Руссинович, М. Внутреннее устройство Microsoft Windows: Windows Server 2003, Windows XP и Windows 2000 / M. Руссинович, Д. Соломон, пер. с англ. - 4-е издание - М.: Русская Редакция; СПб.: Питер, 2005. -992 с.

18. Семенов, Ю. А. Телекоммуникационные технологии. NetBIOS. [Электронный ресурс]. - Режим доступа: http://citfomm.rU/nets/semenov/4/42/nbio_423 .shtml, свободный (дата обращения: 28.02.2012).

19. Степаненко, О.С. Настройка персонального компьютера. Установки BIOS. Самоучитель / О.С. Степаненко. - 2 изд. - М.: «Диалектика», 2007. - 480 с.

20. Технический отчет: Угрозы DDoS - риски, устранение и лучшие практические приемы. - [Электронный ресурс]. - Режим доступа: http://www.cisco.com/web/RU/netsol/ns480/networking_solutions_white_pape

r0900aecd8032499e.html, свободный (дата обращения: 28.02.2012).

21. Филимонов, А.Ю. Построение мультисервисных сетей Ethernet / А.Ю. Филимонов. - СПб.: БХВ-Петербург, 2007. - 577 с.

22. Щерба М.В. Анализ комплексного подхода к защите информации при её передаче в распределенных беспроводных сетях / В.И. Никонов, Е.В. Щерба, М.В. Щерба // Омский научный вестник. Серия «Приборы, машины и технологии». - 2011. - №2(100). - С. 193-197.

23. Щерба М.В. Методика оценки надёжности и защищенности распределенных компьютерных сетей / М.В. Щерба // Перспективы развития информационных технологий: сборник материалов III Международной научно-практической конференции. - Новосибирск: Издательство НГТУ, 2011. - Ч. 1. - С. 229-233.

24. Щерба М.В. Методика оценки надёжности и защищенности распределенных компьютерных сетей / М.В. Щерба // Информационные системы и технологии: сборник материалов Международной научно-технической Интернет-конференции, г. Орёл, апрель-май 2011. - Орёл: ФГОУ ВПО «Госуниверситет-УНПК», 2011. - Т. 1. - С. 193-196.

25. Щерба М.В. Методика разработки системы защиты информации комплекса муниципальных информационных систем / М.В. Щерба // Информационные технологии моделирования и управления. - 2009. -

Выпуск 6(58). - С. 850-854.

26. Щерба М.В. Методика разработки системы защиты информации комплекса муниципальных информационных систем / М.В. Щерба, О.Т.

Данилова // Международный и региональный опыт построения информационного общества: сборник материалов Международного информационного конгресса «МИК-2010». - Омск: Правительство Омской области, 2011. -Ч. 1. - С. 403-406.

27. Щерба М.В. Некоторые аспекты построения системы защиты информации комплекса муниципальных информационных систем / М.В. Щерба // Омское время - взгляд в будущее: матер, регион, молодеж. науч.-техн. конф. - Омск: Изд-во ОмГТУ, 2010. - Кн. 1. - С. 294-296.

28. Щерба М.В. Разработка системы анализа надёжности и защищенности распределенных компьютерных сетей / М.В. Щерба // Новые информационные технологии: тезисы докладов XIX Международной студенческой конференции-школы-семинара. - Москва: МИЭМ, 2011. -С. 274-275.

29. Щерба М.В. Система анализа устойчивости распределенных компьютерных сетей к атакам на «отказ в обслуживании» / М.В. Щерба // Омский научный вестник. Серия «Приборы, машины и технологии». -2012. - №1(106). - С. 282-285.

30. Щерба М.В. Электронная информационная система для определения реабилитационного потенциала и прогноза у детей-инвалидов / Ю.В. Наумова, Е.В. Щерба, М.В. Щерба // Россия молодая: передовые технологии - в промышленность: матер. III Всерос. молодежи, науч.-техн. конф. - Омск: Изд-во ОмГТУ, 2010. - Кн. I. - С. 283-286.

31. Юань, Ф. Программирование графики для Windows. / Ф. Юань. - СПб: Питер, 2002. - 1072 с.

32. Bowman, Т. UDP Flood Denial of Service. - [Электронный ресурс]. -Режим доступа: http://www.giac.org/paper/gcih/206/udp-flood-denial-service/101057, свободный (дата обращения: 28.02.2012)

33. Brodsky, В. Nonparametric Methods in Change-Point Detection / B. Brodsky, B. Darkhovsky. - The Netherlands: - Kluwer Academic Publishers, 1993 - p. 209.

34. Chee, W.O. Brennan, T. OWASP AppSec DC 2010. HTTP POST DDoS. -[Электронный ресурс]. - Режим доступа: https://www.owasp.Org/images/4/43/Layer_7_DDOS .pdf, свободный (дата обращения: 28.02.2012).

35. Copty N. Введение в OpenMP: API параллельных программ для многопроцессорных систем с общей памятью. - [Электронный ресурс]. -Режим доступа:

http://developers.sun.ru/index.php?option=com_content&task=view&id=7,

свободный (дата обращения: 28.02.2012).

36. Feinstein, L. Statistical Approaches to DDoS Attack Detection and Response / L. Feinstein // Proc. DARPA Information Survivability Conf. and Exposition. -2003.-pp. 303-314.

37. Gupta B.B. An ISP Level Solution to Combat DDoS Attacks using Combined Statistical Based Approach / В. B. Gupta, M. Misra, R. C. Joshi // Journal of Information Assurance and Security 2 (2008), pp. 102-110.

38. Hussain, A. A framework for classifying denial of service attacks / A. Hussain, J. Heidemann, C. Papadopoulos // Proceedings of ACM SIGCOMM, Karlsruhe, Germany, 2003, pp.99-110.

39. Karlsson, B. Beyond the С++ Standard Library: An Introduction to Boost / B. Karlsson. - Addison Wesley Professional, 2005. - 432 p.

40. Kaspersky DDoS Prevention. - [Электронный ресурс]. - Режим доступа:

http://www.kaspersky.ru/downloads/pdf/k_ddosjprevention_rus.pdf,

свободный (дата обращения: 28.02.2012).

41. Kim, S.S. Detecting traffic anomalies using discrete wavelet transform, in: Proceedings of International Conference on Information Networking (ICOIN) /

S.S. Kim, A.L.N. Reddy, M. Vannucci // Busan, Korea, 2004, vol. Ill, pp. 1375-1384.

42. Kullback, S. Information theory and statistics / S. Kullback. - Gloucester: Peter Smith, 1978.-399 p.

43. Lu, K. Robust and efficient detection of DDoS attacks for large-scale internet / K. Lu, D. Wu, J. Fan, S. Todorovic, A. Nucci // Computer Networks 51 (2007), pp. 5036-5056.

44. Manna, M.E. Review of syn-flooding attack detection mechanism / M.E. Manna, A. Amphawan // International Journal of Distributed and Parallel Systems (IJDPS). - Vol.3, No.l. - 2012. - pp. 99-117.

45. Microsoft Dev Center. QueryPerformanceCounter function. - [Электронный ресурс]. - Режим доступа: http://msdn.microsoft.com/en-us/library/windows/desktop/ms644904%28v=vs.85%29.aspx, свободный (дата обращения: 28.02.2012).

46. Microsoft Dev Center. QueryThreadCycleTime function. - [Электронный ресурс]. - Режим доступа: http://msdn.microsoft.com/en-us/library/windows/desktop/ms684943%28 v=vs. 85 %29. aspx, свободный (дата обращения: 28.02.2012).

47. Microsoft Support. Performance counter value may unexpectedly leap forward.

[Электронный ресурс]. - Режим доступа:

http://support.microsoft.com/kb/274323/en, свободный (дата обращения: 28.02.2012).

48. Mirkovic, J. Attacking DDoS at the Source / J. Mirkovic, G. Prier, P. Reiher // Proc. of 10th IEEE International Conference on Network Protocols. Paris, 1215 November, 2002. -Piscataway : IEEE, 2002, pp. 312-321.

49. Muhai Li , Ming Li , Xiuying Jiang, DDoS attacks detection model and its application, WSEAS Transactions on Computers, v.7 n.8, 2008, pp.1159-1168.

50. Peng, T. Leckie, C. Ramamohanarao, K. Detecting distributed denial of service attacks using source IP address monitoring. In Proceedings of the Third

International IFIP-TC6 Networking Conference (Networking 2004), pp. 771782.

51. Peng, T. Prevention from distributed denial of service attacks using history-based IP filtering / T. Peng, C. Leckie, K. Ramamohanarao // In Proceeding of the 38th IEEE International Conference on Communications (ICC 2003) (Anchorage, Alaska), pp. 482-486.

52. Trends in Denial of Service Attack Technology. - [Электронный ресурс]. -Режим доступа: www.cert.org/archive/pdf/DoS_trends.pdf, свободный (дата обращения: 28.02.2012)

53. Understanding ICMP Flood Attacks. - [Электронный ресурс]. - Режим доступа: http://www.juniper.net/techpubs/software/junos-security/junos-security95/junos-security-swconfig-security/id-25581 .html, свободный (дата обращения: 28.02.2012).

54. Wang, H. Detecting SYN flooding attacks / H. Wang, D. Zhang, K.G. Shin // Proceedings of IEEE INFOCOM'2002, New York City, NY, 2002, pp. 15301539.

55. WinPcap Documentation. - [Электронный ресурс]. - Режим доступа: http://www.winpcap.org/docs/docs_412/html/main.html, свободный (дата

обращения: 28.02.2012).

56. Yaar, A. StackPi: New packet marking and filtering mechanisms for DDoS and IP spoofing defense / A. Yaar, A. Perrig, D. Song // IEEE Journal on Selected Areas in Communications, 2006, vol. 24, pp. 1853-1863.

57. Gavrilis, D. Real-time detection of distributed denial-of-service attacks using RBF networks and statistical features / D. Gavrilis, E. Dermatas // Computer Networks and ISDN Systems. - Vol. 48, Iss. 2. - 2005. - pp. 235-245.

58. Karimazad, R. An Anomaly-Based Method for DDoS Attacks Detection using RBF Neural Networks / R. Karimazad, A. Faraahi // 2011 International Conference on Network and Electronics Engineering. - IACSIT Press: Singapore, 2011. - pp. 44-48.

59. Leu, F.-Y. A DoS/DDoS Attack Detection System Using Chi-Square Statistic Approach / F.-Y. Leu, I-L. Lin // Journal of Systemics, Cybernetics and Informatics. - Vol. 8, №2. - 2010. - pp. 041-051.

60. Liu, C. A bidirectional-based DDoS detection mechanism / C. Liu, S. Zhang // WiCOM'09 Proceedings of the 5th International Conference on Wireless communications, networking and mobile computing. - IEEE Press Piscataway: NJ, USA, 2009. - pp. 4482-4485.

61. Preetha, G. Combat model-based DDoS detection and defence using experimental testbed: a quantitative approach / G. Preetha, B.S. Kiruthika Devi, S. Mercy Shalinie // International Journal of Intelligent Engineering Informatics archive. - Vol. 1, Iss. 3/4. - 2011. - pp. 261-279.

62. Zhong, R. DDoS Detection System Based on Data Mining / R. Zhong, G. Yue // Proceedings of the Second International Symposium on Networking and Network Security (ISNNS '10). - 2010. - pp. 062-065.