Обнаружение распределённых атак отказа в обслуживании в крупномасштабных сетях на основе методов математической статистики и искусственного интеллекта тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат наук Алексеев Илья Вадимович

  • Алексеев Илья Вадимович
  • кандидат науккандидат наук
  • 2020, ФГАОУ ВО «Санкт-Петербургский политехнический университет Петра Великого»
  • Специальность ВАК РФ05.13.19
  • Количество страниц 134
Алексеев Илья Вадимович. Обнаружение распределённых атак отказа в обслуживании в крупномасштабных сетях на основе методов математической статистики и искусственного интеллекта: дис. кандидат наук: 05.13.19 - Методы и системы защиты информации, информационная безопасность. ФГАОУ ВО «Санкт-Петербургский политехнический университет Петра Великого». 2020. 134 с.

Оглавление диссертации кандидат наук Алексеев Илья Вадимович

ВВЕДЕНИЕ

1 Анализ угроз информационной безопасности в сети интернет от распределенных атак отказа в обслуживании и существующие методы их обнаружения

1.1 Примеры и особенности построения современных сетей

1.2 Анализ компонентов, входящих в состав топологий сетей

1.3 Анализ DDOS угроз ПО компонентов сети

1.4 Введение DDOS атак

1.5 Классификация DDOS атак

1.5.1 Объемные атаки

1.5.1.1 Атака UDP flood

1.5.1.2 Атака ICMP flood

1.5.2 Атаки на основе спецификации сетевых протоколов

1.5.2.1 Атака SYN flood

1.5.2.2 Атака с использованием IP-фрагментации

1.5.2.3 Атака RTP flood

1.5.3 Атаки на уровне приложений

1.5.3.1 Атака Slowloris

1.6 Механизмы реагирования на DDOS атаки

1.7 Выводы

2 Исследование существующих подходов и методов обнаружения ddos атак

2.1 Сигнатурные подходы к обнаружению DDOS атак

2.1.1 Анализ перехода состояний

2.1.2 Экспертные системы

2.1.3 Сети Петри

2.2 Методы, основанные на аномалиях

2.2.1 Статистический подход

2.2.2 Обнаружение на основе интеллектуального анализа данных

2.2.3 Подход, основанный на машинном обучении

2.3 Гибридные системы

2.4 Сравнительный анализ рассмотренных методов обнаружения и предотвращения DDOS атак

2.5 Проблемы при обнаружении DDOS атак для их предотвращения

2.6 Выводы

3 Подход к обнаружению ddos атак в крупномасштабных сетях на основе методов математической статистики и искусственного интеллекта

3.1 Вейвлет-преобразование для обнаружения аномалий

3.2 Исследование существующих подходов на основе вейвлет-преобразований

3.3 Предложенный метод метод двухступенчатой системы обнаружения DDOS атак в крупномасштабных сетях на основе отобранных параметров сетевых пакетов с использованием вейвлет-преобразования, методов математической статистики и искусственного интеллекта

3.4 Выводы

4 Прототип системы обнаружения ddos атак в крупномасштабных сетях и результаты экспериментальных исследований

4.1 Блок адаптации, обеспечивающий коррекцию параметров выполнения метода двухступенчатой системы обнаружения DDOS атак в крупномасштабных сетях относительно изменений интенсивности сетевой нагрузки и разнородности сети

4.2 Экспериментальные исследования

4.3 Выводы

ЗАКЛЮЧЕНИЕ

СПИСОК СОКРАЩЕНИЙ И УСЛОВНЫХ ОБОЗНАЧЕНИЙ

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

ПРИЛОЖЕНИЕ А

ПРИЛОЖЕНИЕ Б

ПРИЛОЖЕНИЕ В

ВВЕДЕНИЕ

Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК

Введение диссертации (часть автореферата) на тему «Обнаружение распределённых атак отказа в обслуживании в крупномасштабных сетях на основе методов математической статистики и искусственного интеллекта»

Актуальность работы

В настоящее время самым распространенным способом реализации атак на конечные устройства, будь то персональный компьютер пользователя или датчики и контроллеры в системе Интернета вещей, являются сетевые атаки. С помощью сетевых атак возможны: эксплуатация уязвимостей в ПО устройства, удаленное управление через внедренное ВПО, создание ботнет-сетей, а также выведение из строя узлов, связанных с критическими отраслями деятельности человека, что может привести к серьёзным последствиям.

Доступ к сети Интернет пользователю предоставляет провайдер. Глобально провайдеры соединены между собой магистральными опорными сетями, скорость данных в которых достигает более 100Гб/с-1Тб/с. Крупномасштабные сети, включают в себя как сетевые потоки легитимных пользователей, так и трафик атакующих лиц. Очевидно, что обнаружение аномалий на уровне маршрутизаторов крупномасштабных сетей позволит обеспечить предотвращение атак на конечных пользователей.

Распределенные атаки типа «отказ в обслуживании» ^БОБ) привели к значительным финансовым потерям во всем мире [1]. Представленные результаты соответствуют растущему числу устройств, подключенных к Интернету. Подобный рост обусловлен популяризацией Интернета вещей и

характеризуется концепцией подключения любого устройства в любом месте в любое время. Одним из самых опасных вредоносных трафиков в Интернете являются высоконагруженные атаки ББОБ, которые отвечают за более чем 65% всех подобных атак [2]. При данном типе ББОБ атаки злоумышленники координируют отправку большого количества случайных данных в попытке

перегрузить вычислительные ресурсы жертвы или ближайшие сетевые соединения. Однако помимо высоконагруженных ВБОБ атак, становятся распространены и малонагруженные импульсные атаки [3]. Это более скрытый тип атаки: события происходят быстро, сама атака разбивается на несколько импульсов и обычно длится меньше часа. Из-за скорости и специфики сложно определить, что ресурс подвергается атаке, поскольку обычные инструменты не обнаруживают этот тип угрозы.

Решение задачи обнаружения распределённых атак отказа в обслуживании в крупномасштабных сетях осложняется рядом причин. Во-первых, это высокая гетерогенность поступающих данных ввиду большого числа разнообразных устройств, подключенных к сети Интернет. Во-вторых, это высокий объем интенсивно поступающего трафика, что накладывает серьезные ограничения на обнаружение аномалий, проявляющихся в виде небольших отклонений, которые сглаживаются на больших объемах данных. Таким образом, задача обнаружения распределённых атак отказа в обслуживании в крупномасштабных сетях актуальна и обоснована.

Существующие подходы к обнаружению ББОБ атак прежде всего направлены на выявление вредоносного сетевого трафика в слабонагруженных сетях, и в малой степени охватывают уязвимости, обусловленные сетевыми нагрузками. Ограниченное число исследований предлагают решение задачи обнаружения и предотвращения ББОБ атак в крупномасштабных сетях на основе строгой фильтрации сетевых пакетов, применения разнообразных политик безопасности и методов математической статистики. Однако отсутствует решение, применяющее методы искусственного интеллекта для решения поставленной задачи с целью динамического реагирования на изменяемый сетевой трафик. Данная работа направлена на решение проблем, связанных с обеспечением информационной безопасности в крупномасштабных сетях и выявлением ББОБ атак в них.

Степень разработанности темы исследования

Проблеме обнаружения ББОБ атак посвящено множество исследований российских и иностранных ученых, таких как О.И. Шелухин, А.В. Гармашев, В.В, Платонов, Ю. Гао, Ф.А. Сильвейра, Дж. Вентре, С.Ф.Чуи, Р. Робинсон, А.В. Лукацкий, Я.В. Тарасов, О.С. Терновой, И.И. Слеповичев, П.В. Ирматов, М.С. Комарова, А.А. Бежин.

Проблемам обнаружения ББОБ атак в крупномасштабных сетях посвящены работы П.Д. Зегжды, Д.С. Лавровой, Ли Юеминг, Сун-Хо Ким, Лукаса Руфа, А. Вагнера, Б. Платтнера.

Объектом исследования является крупномасштабный сетевой трафик, содержащий ББОБ атаки.

Предметом исследования являются методы и алгоритмы обеспечения информационной безопасности, выполняющие обнаружение сетевых ББОБ атак.

Цель и задачи исследования

Цель - повышение достоверности выявления вредоносного сетевого трафика, содержащего ББОБ атаки, в крупномасштабных сетях за счет совместного применения аппарата вейвлет-преобразований, методов математической статистики и искусственного интеллекта.

Для достижения поставленной цели в работе решались следующие задачи:

1. Исследовать угрозы информационной безопасности в сети Интернет от распределенных атак отказа в обслуживании и существующие методы их обнаружения.

2. Создать метод двухступенчатой системы обнаружения ББОБ атак в крупномасштабных сетях, включающий:

2.1. Формирование критерия выявления ББОБ атаки на основе отобранных параметров сетевых пакетов с использованием вейвлет-преобразования и методов математической статистики, а именно коэффициентов множественной корреляции.

2.2. Уточнение результата с помощью метода искусственного интеллекта за счет проведения кластерного анализа полученных статистических оценок.

3. Разработать подход к достоверности обнаружения ББОБ атак.

4. Представить теоретическое обоснование метода двухступенчатой системы обнаружения ББОБ атак.

5. Разработать блок адаптации, обеспечивающий коррекцию параметров выполнения метода двухступенчатой системы обнаружения ББОБ атак в крупномасштабных сетях относительно изменений интенсивности сетевой нагрузки и разнородности сети.

6. Разработать архитектуру системы обнаружения ББОБ атак с применением принципа модульности.

7. Провести экспериментальные исследования эффективности его применения для выявления угроз безопасности в крупномасштабных сетях.

Научная новизна

1. Предложен метод двухступенчатой системы обнаружения ББОБ атак в крупномасштабных сетях на основе отобранных параметров сетевых пакетов с использованием вейвлет-преобразования, методов математической статистики и искусственного интеллекта. Данный метод использован в программе для ЭВМ и зарегистрирован Федеральной Службой по Интеллектуальной Собственности под номером №2018660604.

2. Разработан блок адаптации, обеспечивающий коррекцию параметров выполнения метода двухступенчатой системы обнаружения ББОБ атак в крупномасштабных сетях относительно изменений интенсивности сетевой нагрузки и разнородности сети.

3. Впервые предложено использовать сочетание методов математической статистики и искусственного интеллекта для решения задачи определения вредоносного сетевого трафика в крупномасштабных сетях.

Предложенные методы и алгоритмы позволяют существенно повысить результативность процесса выявления ББОБ атак в крупномасштабных сетях.

Теоретическую значимость работы составляют предложенный двухступенчатой системы обнаружения ББОБ атак в крупномасштабных сетях на основе отобранных параметров сетевых пакетов с использованием вейвлет-преобразования, методов математической статистики и искусственного интеллекта, а также блок адаптации, обеспечивающий коррекцию параметров выполнения метода двухступенчатой системы обнаружения ББОБ атак в крупномасштабных сетях относительно изменений интенсивности сетевой нагрузки и разнородности сети.

Практическая значимость результатов работы заключается в возможности применения предложенного метода к обнаружению ББОБ атак в крупномасштабных сетях за счет проведения анализа сетевого трафика, проходящего через точки обмена сети Интернет. Предложенные методы и алгоритмы могут быть использованы провайдерами крупномасштабных сетей для улучшения существующих систем выявления и анализа сетевых атак. Предложенный метод выявления ББОБ атак на основе методов машинного обучения и математической статистики также может быть использован для построения средств выявления сетевых ББОБ атак и защиты от целенаправленных атак.

Методология и методы исследования составили методы математической статистики, теории искусственного интеллекта и анализа данных.

Положения, выносимые на защиту:

1. Метод двухступенчатой системы обнаружения ББОБ атак в крупномасштабных сетях, включающий:

1.1. Формирование критерия выявления ББОБ атаки на основе отобранных параметров сетевых пакетов с использованием вейвлет-преобразования и методов математической статистики, а именно коэффициентов множественной корреляции.

1.2. Уточнение результата с помощью метода искусственного интеллекта за счет проведения кластерного анализа полученных статистических оценок.

2. Блок адаптации, обеспечивающий коррекцию параметров выполнения метода двухступенчатой системы обнаружения ББОБ атак в крупномасштабных сетях относительно изменений:

2.1. Интенсивности сетевой нагрузки.

2.2. Разнородности сети.

Научная специальность и отрасль науки, которым соответствует диссертация.

Диссертация соответствует специальности 05.13.19 - «Методы и системы защиты информации, информационная безопасность» отрасли технических наук -пп. 3, 5, 9 раздела 2 «Области исследований» паспорта специальности: «Методы, модели и средства выявления, идентификации и классификации угроз нарушения информационной безопасности объектов различного вида и класса»; «Методы и средства (комплексы средств) информационного противодействия угрозам нарушения информационной безопасности в открытых компьютерных сетях, включая Интернет»; «Модели и методы оценки защищенности информации и информационной безопасности объекта».

Степень достоверности результатов исследования подтверждается всесторонним анализом предшествующих научных работ в данной области, полученными экспериментальными данными, апробацией результатов в научных публикациях и докладах на конференциях, их внутренней непротиворечивостью и адекватностью физическим представлениям об исследуемом процессе.

Внедрение результатов работы.

Результаты диссертационной работы нашли свое отражение в научной деятельности при финансовой поддержке Министерства образования и науки Российской Федерации в рамках ФЦП «Исследования и разработки по приоритетным направлениям развития научно-технологического комплекса

России на 2014-2020 годы» (соглашение № 14.578.21.0231, уникальный идентификатор соглашения RFMEFI57817X0231), в проектной деятельности АО «НПК «ТРИСТАН» (приложение Б), а также в учебном процессе Института кибербезопасности и защиты информации ФГАОУ ВО «Санкт-Петербургский политехнический университет Петра Великого» при организации дисциплин «Программно-аппаратные средства обеспечения информационной безопасности», «Сети и системы передачи информации» и «Безопасность компьютерных сетей» в виде методических рекомендаций по проведению лекционных, практических и лабораторных занятий, а также для сопровождения научной деятельности аспирантов и докторантов по специальности 05.13.19 «Методы и системы защиты информации, информационная безопасность» (приложение В).

Апробация результатов работы.

Основные результаты исследований и научных разработок докладывались и обсуждались на научно-технической конференции «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2018)

Публикации по теме работы. Результаты научно-квалификационной работы отражены в 6 публикациях, в том числе 3 публикаций в рецензируемых журналах из перечня ВАК РФ, 1 публикация в изданиях из перечня Scopus и Web of Science, свидетельство РФ о регистрации программы для ЭВМ.

Объем и структура работы

Научно-квалификационная работа состоит из введения, четырех глав, заключения, списка использованных источников из 129 наименований и списка сокращений и условных обозначений. Общий объем работы составляет 134 страниц, в том числе 24 рисунка и 3 таблицы.

Во введении обоснована актуальность темы исследования, поставлена цель и определены основные задачи. Сформулированы основные научные результаты исследований и положения, выносимые на защиту. Раскрыта научная новизна, теоретическая и практическая значимость полученных результатов. Представлены

сведения по апробациям и публикациям по теме исследований. Приведена краткая аннотация содержания диссертации по главам. Рассмотрены возможности практического применения предложенных в работе подходов и методов.

В первой главе приведены результаты исследования угроз информационной безопасности в сети Интернет и существующих методов обнаружения распределенных атак отказа в обслуживании. Описаны примеры сетевых топологий, представлен анализ особенностей построения сети, приведен перечень компонентов сети и указание их функционального назначения.

Представлен анализ известных уязвимостей в компонентах сети, демонстрирующий DDOS уязвимости. Разработана классификация DDOS атак, представлены примеры по каждой категории DDOS атаки.

Современные магистральные сети имеют пропускную способность более 4 Тбит/с в пике и более 2 Тбит/с в среднем. DDOS атаки являются одной из самых опасных атак, нарушающих информационную безопасность целевой системы, в 2020-ом году число атак возросло примерно в 2 раза по сравнению с прошлым годом. Средняя нагрузка DDOS атаки составляет 5-10 Гб/с. Основным типов DDOS атак по состоянию на 2019 год является TCP SYN-flood атака. При этом АО и ПО, применяемое компаниями для организации веб-сервисов и услуг доступа, до сих пор содержат уязвимости, которые не всегда оперативно исправляют. Спецификации сетевых протоколов изначально разработаны и эксплуатируются «как есть». Для исправления уязвимостей применяются расширения сетевых протоколов, различные политики безопасности, фильтрации и эвристики. Однако каждая компания применяет данные техники локально и отсутствуют популярные и эффективные коммерческие решения для обнаружения DDOS атак в магистральных сетях.

Во второй главе приводятся результаты исследования подходов и методов обнаружения DDOS атак. Приведен сравнительный анализ рассмотренных

подходов к выявлению DDOS атак. Выявлены ограничения в их практическом применении.

На основе выполненного анализа формулируются характеристики, которыми должен обладать алгоритм, позволяющий эффективно обнаруживать DDOS атаки.

1. Способность эффективно обнаруживать DDOS атаки.

2. Алгоритм должен обладать низким уровнем ложноположительных и ложноотрицательных срабатываний.

3. Способность эффективно обнаруживать атаки в крупномасштабных

сетях.

Алгоритм должен быть реализуемым, обладать внутренней непротиворечивостью и адекватностью. Наиболее перспективными с точки зрения точности обнаружения DDOS атак являются гибридные методы, основанные на использовании алгоритмов машинного обучения. Эффективность методов обнаружения DDOS атак, основанных на гибридном подходе, определяется сочетанием эвристической параметризации входных данных, применения статистического анализа для их обработки и методов машинного обучения.

В третьей главе описан разработанный подход к выявлению вредоносного сетевого трафика, представляющего DDOS атаку, в крупномасштабных сетях на основе математической статистики и искусственного интеллекта, включающий:

- критерий определения вредоносного сетевого трафика на основе анализа отобранных параметров сетевых пакетов с использованием вейвлет-преобразования и коэффициентов множественной корреляции;

- алгоритм предварительной оценки потенциальной опасности анализируемого трафика на основе кластерного анализа сетевого трафика в крупномасштабных сетях, что позволяет сократить множество анализируемых сетевых пакетов;

- определение набора сетевых параметров протоколов TCP и UDP достаточного для дальнейшего анализа с целью выявления DDOS атак;

- алгоритм обнаружения DDOS атак в крупномасштабных сетях на основе методов машинного обучения и математической статистики.

Предлагается следующий подход - рассматривать временные интервалы со смещением друг относительно друга так, чтобы в интервале преобладала неизменная часть трафика из предыдущего окна. Так как в определенном интервале времени сетевой трафик протокола одного типа разнороден, атака отказа в обслуживании внесет определенную однородность по ряду параметров. Следовательно, на стыках разнородного потенциально безопасного трафика и однородного потенциально вредоносного трафика происходят всплески частот ДВП, которые и предлагается отслеживать.

Всплески становится легче отследить если интервалы временные вычислять внахлест друг на друга. Таким образом, в результате предобработки исследователь получает набор данных, составленный из окон следующего вида:

¡Временной ряд для параметрах Временной ряд для параметра2 , (1) Временной ряд для параметра3

где / - номер окна, - смещение по времени, х - номер смещения.

Таким образом, если временной интервал выбран в 10сек, а смещение в 5сек, то будут составлены следующие окна:

[[Осек - 10сек],[5сек - 15сек]], [[10сек - 20сек], [15сек - 25сек]],

[[п * 10 сек - (п + 1) * 10 сек], [ п * 10 + 5 сек - (п + 1) * 10 + 5 сек]], (2)

При этом группировка данных должна быть выполнена по первому интервалу, так как именно относительно данного смещения рассматривается динамика изменения состава трафика.

Затем каждая полученная последовательность подается на вход дискретному вейвлет-преобразованию, на выходе из которого наибольший интерес представляют коэффициенты детализации, 2^—м ^ 2М-М

= ^ ^ т,к Е1, (3)

'-т.К тт,1

к=1 т=1 к=1

где - базисная масштабирующая функция, ф т1к& ¿) - базисная

вейвлет-функция, амк, Лтк - аппроксимирующие и детализирующие коэффициенты, т,к - параметры масштаба и сдвига в пространстве целых чисел I, N - максимальный уровень разложения.

Для того, чтобы охарактеризовать поведение сетевого трафика в заданном временном окне предлагается отслеживать степень зависимости разных параметров сетевого пакета. В качестве метрики, позволяющей определять данную степень зависимости, может быть использован коэффициент множественной корреляции, который для последовательностей х, у, г вычисляется по следующей формуле:

Ку(х,г)

22

'ху + 1 гу 2 'ху 1 гу 'хг ^^

1 - у2

х г

\

где тху,ггу,гхг - парные коэффициенты корреляции, которые вычисляются следующим образом:

_ 1(х1-< х>)* (У1-< у >)

Т*ху = I- (5)

^1(х1-< х >)2 * Ш-< у >)2

Отклонение коэффициента множественной корреляции Яу(х1г) от порогового значения указывает на наличие в сетевом трафике аномалии. Чем теснее связаны сетевые пакеты на исследуемом интервале, тем выше значение коэффициента множественной корреляции, тем меньше вероятность наличия DDOS атаки на данном интервале. Данный выбор обусловлен высокой вероятностью изменения

значений коэффициентов множественной корреляции на стыках трафика с атакой и без.

Таким образом, данное исследование демонстрирует возможность обнаружения DDOS атак, составляющих не менее 15% от анализируемого временного интервала сетевого трафика.

На основании данного заключения, предлагается использовать методы искусственного интеллекта с целью применения алгоритмов машинного обучения для создания адаптивной модели обнаружения DDOS атак.

Для того, чтобы применить методы машинного обучения, необходимо унифицировать число параметров - коэффициентов множественной корреляции -внутри каждого временного интервала. Данные коэффициенты сгруппированы по временным интервалам, но внутри временного интервала может находиться различное число коэффициентов в зависимости от интенсивности сетевого трафика. Для того, чтобы унифицировать трафик в рамках каждого временного окна, предлагается использовать среднеквадратичное отклонение над заданными интервалами. СКО определяется следующей формулой:

где х - среднее арифметическое выборки, определяемое следующей формулой:

Унифицированные данные предлагается использовать для обучения искусственного интеллекта, применяя алгоритм кластеризации К-средних. В данном алгоритме определяются центры кластеров с наибольшим числом элементов сконцентрированных в данной области, и далее алгоритм стремится

N

минимизировать суммарное квадратичное отклонение точек кластеров от центров

этих кластеров по следующей формуле:

к

где к - число кластеров, 5 - полученные кластеры, ^ центры всех масс векторов х из кластера .

Предлагаемый подход состоит из двух итераций.

1. Первая итерация выполняет определение участков всплесков, содержащих потенциально вредоносный трафик, определенный алгоритмом кластеризации.

1.1. Исследуемый трафик разбивается на пересекающиеся временные окна.

1.2. Из сетевых пакетов извлекаются необходимые сетевые параметры.

1.3. Над временными окнами, содержащими различные списки извлеченных сетевых параметров, применяется ДВП.

1.4. Над коэффициентами ДВП вычисляется коэффициент множественной корреляции, чтобы вычислить общий коэффициент для каждого множества коэффициентов в рамках одного окна.

1.5. Над коэффициентами множественной корреляции вычисляется СКО для унификации данных.

1.6. Над унифицированными данными проводится кластеризация по алгоритму К-средних.

2. Вторая итерация определяет участки всплесков, содержащих вредоносный трафик для 1Р-получателя, определенный алгоритмом кластеризации.

2.1. Временные окна, содержащие потенциально вредоносный трафик, разбиваются на списки по ГР-адресу получателя.

2.2. Из сетевых пакетов извлекаются необходимые сетевые параметры.

¿ = 1 хе^

2.3. Над временными окнами, содержащими различные списки извлеченных сетевых параметров, применяется ДВП.

2.4. Над коэффициентами ДВП вычисляется коэффициент множественной корреляции, чтобы вычислить общий коэффициент для каждого множества коэффициентов в рамках одного окна.

2.5. Над коэффициентами множественной корреляции вычисляется СКО для унификации данных.

2.6. Над унифицированными данными проводится кластеризация по алгоритму К-средних.

Первая итерация позволяет вычислить в магистральных сетях участки всплесков в сетевом трафике. Так как первая итерация позволяет определить потенциально вредоносный трафик, а, следовательно, DDOS атаку, то на второй итерации разбиение подозрительных временных интервалов сетевого трафика по ^-адресам получателя позволяет дифференцировать выборку относительно предполагаемой жертвы. Во время выполнения второй итерации на обнаруженных участках трафик сортируется по ГР-адресам получателей и снова происходит отбор параметров, вычисление ДВП, коэффициентов множественной корреляции, приведение к СКО и запуск алгоритма К-средних. Данная итерация позволяет отбросить большинство ложноположительных всплесков, которые могут появиться в основном в ПОР трафике.

Следует отметить, что вычисление СКО используется для унификации параметров для второй итерации, так как по различным I P-адресам интенсивность трафика может различаться, из-за чего на различных интервалах может получиться различное число коэффициентов, в то время как кластеризацию необходимо проводить для равного числа параметров. Тем не менее для унификации модели на каждой итерации выполняются одинаковые шаги.

В четвертой главе описана архитектура спроектированного экспериментального макета системы обнаружения DDOS атак в крупномасштабных сетях. Представлены результаты тестирования разработанного макета на сформированной выборке сетевого трафика. Полученные экспериментальные результаты подтверждают эффективность предложенных методов, демонстрируя высокий процент вероятности обнаружения атаки.

При анализе ТСР трафика вероятность обнаружения атаки составляет 98.2% (ТР), 1.8% ложноотрицательных ^К). При анализе ПОР трафика вероятность обнаружения атаки составляет 97.3% (ТР), 0.7% ложноотрицательных (КЫ) и 2% ложноположительных ^Р).

Ниже приведена сравнительная таблица различных подходов обнаружения DDOS атак. Основным критерием отбора существующих подходов являлась масштабируемость. Анализ демонстрирует отсутствие общего подхода, позволяющего с одинаковой эффективностью обнаруживать различные типы DDOS атак на различных наборах данных.

Таблица 1 - Сравнительная таблица различных подходов обнаружения

DDOS атак.

Название подхода ТСР трафик иБР трафик

ТР FN FP ТР FN FP

Предлагаемый алгоритм на основе методов математической статистики и искусственного интеллекта 98.2 1.8 0 97.3 0.7 2

Алгоритм на основе фильтрации параметров 86.81 3.1 10.1 87.67 3.23 9.1

Фильтрация + анализ потоков 91 2.2 6.8 87.67 3.23 9.1

Фильтрация + статистический анализ 91.9 1.1 7.0 98.19 0.63 1.18

Название подхода ТСР трафик иБР трафик

ТР FN FP ТР FN FP

Модель принятия решений - - - 97.4 2.4

Статистический SYN анализ 93-95 5-7 - - -

Применение разработанного прототипа системы обнаружения DDOS атак в крупномасштабных сетях на сформированном сетевом трафике продемонстрировало факт обнаружения атаки, при условии, что атакующим трафиком являлось лишь 15% сетевых пакетов. Полученные экспериментальные результаты подтверждают эффективность предложенного подхода и разработанных методов и алгоритмов, демонстрируя эффективное обнаружение DDOS атак в крупномасштабных сетях.

В заключении приведены основные результаты и выводы, полученные в ходе выполнения работы.

1 АНАЛИЗ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СЕТИ ИНТЕРНЕТ ОТ РАСПРЕДЕЛЕННЫХ АТАК ОТКАЗА В ОБСЛУЖИВАНИИ И СУЩЕСТВУЮЩИЕ МЕТОДЫ ИХ

Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК

Список литературы диссертационного исследования кандидат наук Алексеев Илья Вадимович, 2020 год

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. D. Anstee, C. F. Chui, P. Bowen, G. Sockrider Worldwide Infrastructure Security Report, Arbor Networks Inc., Westford, MA, USA, 2017 - [Электронный ресурс]. - Режим доступа: https://www.hindawi.com/journals/scn/2019/1574749/

2. Y. Cao, Y. Gao, R. Tan, Q. Han, Z. Liu Understanding internet DDoS mitigation from academic and industrial perspectives // IEEE Access. - 2018. № 6, С. 66641-66648

3. Pulse Wave Heavy DDoS Attack to Take Down Multiple Protected Target Networks. - [Электронный ресурс]. - Режим доступа: https://gbhackers.com/new-ddos-attack-pulse-wave/

4. Network Toplogies Explained & Compared. - [Электронный ресурс]. -Режим доступа: https://www.comparitech.com/net-admin/network-topologies-advantages-disadvantages/

5. Э. Таненбаум, Д. Уэзеролл Компьютерные сети. 5-е изд.: Спб: Питер. -2012. - 960с.

6. Backbone Networks. - [Электронный ресурс]. - Режим доступа: http ://www.angelfire. com/ut/cnst/Chap8.html

7. Магистральная сеть связи. - [Электронный ресурс]. - Режим доступа: https://www.company.rt.ru/about/net/magistr/#

8. Terrestrial Cables. - [Электронный ресурс]. - Режим доступа: https://www.submarinenetworks.com/systems/eurasia-terrestrial

9. Internet Exchange Report - [Электронный ресурс]. - Режим доступа: https://bgp.he.net/report/exchanges

10. Introduction to architecting systems for scale. - 2011. - [Электронный ресурс]. - Режим доступа: https://lethain.com/introduction-to-architecting-systems-for-scale/#platform_layer

11. Reverse proxy topology. - [Электронный ресурс]. - Режим доступа: http://www.setgetweb.com/p/WAS70/ND/planning/5-3-4.htm

12. The System Design Primer - [Электронный ресурс]. - Режим доступа: https://github.com/donnemartin/system-design-primer

13. What Is a Firewall? - [Электронный ресурс]. - Режим доступа: https://www.cisco.com/c/en/us/products/security/firewalls/what-is-a-firewall.html

14. What is an Intrusion Prevention System? - [Электронный ресурс]. - Режим доступа: https://www.paloaltonetworks.com/cyberpedia/what-is-an-intrusion-prevention-system-ips

15. Computer Network Components. - [Электронный ресурс]. - Режим доступа: https://www.javatpoint.com/computer-network-components

16. What Is A Reverse Proxy? | Proxy Servers Explained. - [Электронный ресурс]. - Режим доступа: https://www.cloudflare.com/learning/cdn/glossary/reverse-proxy

17. What is DNS? DNS Explained. - [Электронный ресурс]. - Режим доступа: https://ns1.com/resources/what-is-dns

18. What is a CDN? | How do CDNs work? - [Электронный ресурс]. - Режим доступа: https://www.cloudflare.com/learning/cdn/what-is-a-cdn

19. What Is Load Balancing? - [Электронный ресурс]. - Режим доступа: https://www.nginx.com/resources/glossary/load-balancing

20. 11 Tips to Design a Secure, Efficient, and Scalable Network. -[Электронный ресурс]. - Режим доступа: https ://technologyfirst.org/magazines/2016/71 -july/1171-11 -tips-to-design-a-secure-efficient-and-scalable-network.html

21. Алексеев И.В., Зегжда П.Д., Классификация уязвимостей сетевых протоколов на основе спецификаций // Проблемы информационной безопасности. Компьютерные системы. - 2020. - № 1.

- С. 24-32.

22. Request For Comments [Электронный ресурс]. - Режим доступа: https://www.ietf.org/rfc/

23. Institute of Electrical and Electronics Engineers [Электронный ресурс]. -Режим доступа: https://www.ieee.org/

24. The Industrial Control Systems Cyber Emergency Response Team. US-CERT [Электронный ресурс]. - Режим доступа: https://www.us-cert.gov/ics/advisories

25. US National Vulnerability Database [Электронный ресурс]. - Режим доступа: https://nvd.nist.gov/

26. Банк данных угроз безопасности информации ФСТЭК РФ. Список уязвимостей [Электронный ресурс]. - Режим доступа: https://bdu.fstec.ru/vul

27. Exploit Database - Exploits for Penetration Testers [Электронный ресурс].

- Режим доступа: https://www.exploit-db.com

28. Immunity Canvas Exploit Pack [Электронный ресурс]. - Режим доступа: https://www.immunityinc.com/products/canvas/

29. GLEGSCADA+ Exploit Pack Packs [Электронный ресурс]. - Режим доступа: http ://gleg.net/agora_scada.shtml

30. Metasploit Framework [Электронный ресурс]. - Режим доступа: https://www.metasploit.com/

31. DDoS attacks in Q1 2020. - [Электронный ресурс] - Режим доступа: https://securelist.com/ddos-attacks-in-q1-2020/96837/

32. Vivek Ganti, Omer Yoachimik, Network-layer DDoS attack trends for Q2 2020. - [Электронный ресурс]. - Режим доступа: https://blog.cloudflare.com/network-layer-ddos-attack-trends-for-q2-2020

33. Usage statistics of web servers. - [Электронный ресурс]. - Режим доступа: https://w3techs.com/technologies/overview/web_server

34. Current CVSS Score Distribution For All Vulnerabilities, [Электронный ресурс]. - Режим доступа: https://www.cvedetails.com/

35. Shibiao Lin, Tzi-cker Chiueh, A Survey on Solutions to Distributed Denial of Service Attacks - 2006. - [Электронный ресурс]. - Режим доступа: https://studylib.net/doc/11607459/a-survey-on-solutions-to-distributed-denial-of-service-at...

36. Global Information Assurance Certification Paper. - [Электронный ресурс]. - Режим доступа: https://www.giac.org/paper/gsec/28/distributed-denial-service-attack-tools-trinoo-

wintrinoo/100225#:~:text=Trinoo%20(also%20known%20as%20trin00,the%20offendi ng%20daemons%20were%20contacted

37. MIT Technology Review. - [Электронный ресурс]. - Режим доступа: https://www.technologyreview.com/2019/04/18/103186/the-first-ddos-attack-was-20-years-ago-this-is-what-weve-learned-since

38. Eric Chou, Rich Groves Distributed Denial of Service (DDoS): O'Reilly Media, Inc. - 2018 - [Электронный ресурс]. - Режим доступа: https://www.oreilly.com/library/view/distributed-denial-of/9781492026181/ch01.html

39. Платонов В.В. Программно-аппаратные средства защиты информации - М.: Издательский центр «Академия». - 2013. - 336 с.

40. Aarti Singh, Dimple Juneja, Agent Based Preventive Measure for UDP Flood Attack in DDoS Attacks //International Journal of Engineering Science and Technology. - 2010. - № 2. - С. 3405-3411.

41. UDP Flood. - [Электронный ресурс]. - Режим доступа: https://www.imperva.com/learn/application-security/udp-flood

42. What is an ICMP Flood Attack? - [Электронный ресурс]. - Режим доступа: https://www.netscout.com/what-is-ddos/icmp-flood

43. Qijun Gu, Peng Liu, Denial of Service Attacks // In Handbook of Computer Networks - 2012. - №3. - С. 454-468.

44. Guide to DDoS Attacks // Multi-State Information Sharing and Analysis Center - 2017. - [Электронный ресурс]. - Режим доступа: https://www.cisecurity.org/wp-content/uploads/2017/03/Guide-to-DDoS-Attacks-November-2017.pdf

45. IP Fragmentation Attack - [Электронный ресурс]. - Режим доступа: https://www.imperva.com/learn/application-security/ip-fragmentation-attack-teardrop

46. Mike Adams, Minseok Kwon, Vulnerabilities of the Real-Time Transport (RTP) Protocol for Voice over IP (VoIP) Traffic // Conference: Consumer Communications and Networking Conference - 2009. - [Электронный ресурс] - Режим доступа: https://www.cs.rit.edu/~jmk/papers/voipsec.pdf

47. G.Vennila, MS K Manikandan, A Scalable Detection Technique for Realtime Transport Protocol (RTP) Flooding Attacks in VoIP Network //6th International Conference on Advances In Computing & Communications. - 2016. - С. 893-901.

48. Arjan Durresi, Raj Jain, RTP, RTCP, and RTSP - Internet Protocols for Real-Time Multimedia Communication // The Industrial Information Technology Handbook. - 2005. - С.1-11. - [Электронный ресурс] - Режим доступа: https://www.cse.wustl.edu/~jain/books/ftp/rtp.pdf

49. Types of DDoS Attacks: General Breakdown [Электронный ресурс] -Режим доступа: https://www.pentasecurity.com/blog/ddos-attacks-types-explanation

50. Slowloris. - [Электронный ресурс] - Режим доступа: https://www.imperva.com/learn/application-security/slowloris

51. Azeem Aqil, Patrick D. McDaniel Detection of Stealthy TCP-based DoS Attacks // MILCOM 2015 - 2015 IEEE Military Communications Conference - 2015 [Электронный ресурс] - Режим доступа: https://web.cs.ucdavis.edu/~rowe/papers/stealthyDoS_MILCOM15.pdf

52. What is Blackhole Routing [Электронный ресурс] - Режим доступа: https://www.cloudflare.com/learning/ddos/glossary/ddos-blackhole-routing

53. Job Sniders, DDoS Damage Control Cheap & Effective - 2005. [Электронный ресурс] - Режим доступа: https://ripe68.ripe.net/presentations/176-RIPE68_JSnij ders_DDo S_Damage_Control.pdf

54. Patrick Holl, Exploring DDoS Defense Mechanisms // Network Architectures and Services. - 2015. - №1. - С. 25-32.

55. Derya Erhan, Suleyman Ozdel, Emin Anarim, DDoS Detection Using Statistical Modelling // Digital Image & Signal Processing. - 2019. - [Электронный ресурс] - Режим доступа: https://www.researchgate.net/publication/334084377_DDoS_Detection_Using_Statistic al_Modelling

56. Fouda, Kareem M.I.A. Payload based signature generation for DDoS attacks. Master Thesis 2017. - c.69.

57. Anshu Gangwar, Sandeep Sahu, A survey on anomaly and signature based intrusion detection system (IDS) //Journal of Engineering Research and Applications. -2014. - №4 - С.67-72.

58. Partneet Kaur, Manish Kumar, Abhinav Bhandari, A review of detection approaches for distributed denial of service attacks //Systems Science & Control Engineering. - 2017. - №5 - С.301-320.

59. Neminath Hubballi, Jonathan Santini, Detecting TCP ACK storm attack: a state transition modelling approach //IET Networks. - 2018. - №7 - С.429-434.

60. Jie Wang, Raphael C.-W. Phan, John N. Whitley, David J. Parish, Augmented Attack Tree Modeling of Distributed Denial of Services and Tree Based Attack Detection Method. //10th IEEE International Conference on Computer and Information Technology - 2010. - [Электронный ресурс] - Режим доступа: https ://ieeexplore .ieee. org/document/5578489

61. M. Gyanchandani, J.L. Rana, R.N. Yadav, Taxonomy of Anomaly Based Intrusion Detection System: A Review //International Journal of Scientific and Research Publications. - 2012. - №2 [Электронный ресурс] - Режим доступа: http ://www.ij srp. org/research-paper- 1212/ijsrp-p1232.pdf

62. H.S. Vaccaro, G.E. Liepins, Detection of anomalous computer session activity. - 2002. - [Электронный ресурс] - Режим доступа: https://ieeexplore.ieee.org/abstract/document/36302/similar#similar

63. Xinlei Li, Di Li, A Network Attack Model based on Colored Petri Net //Journal Of Networks. - 2014. - №9 - С.1883-1891.

64. Sandeep Kumar, Eugene H. Spafford, A Pattern Matching Model For Misuse Intrusion Detection. - 1970. [Электронный ресурс] - Режим доступа: https://www.researchgate.net/publication/2595618_A_Pattern_Matching_Model_For_ Misuse_Intrusion_Detection

65. Swapneel Mehta, Prasanth Kothuri, Daniel Lanza Garcia, Anomaly Detection for Network Connection Logs. - 2018 [Электронный ресурс] - Режим доступа: https ://arxiv. org/ftp/arxiv/papers/ 1812/1812.01941.pdf

66. J. Udhayan, T. Hamsapriya Statistical Segregation Method to Minimize theFalse Detections During DDoS Attacks // International Journal of Network Security., - 2011. - №13. - С.152-160.

67. James Cannady, Jay Harrell, A Comparative Analysis of Current Intrusion Detection Technologies // In Proc. of the Fourth Technology for Information Security Conference - 1996. - [Электронный ресурс] - Режим доступа: https://pdfs.semanticscholar.org/71af/e0b39f3edf2a56aabf9c609f3bdf60ffbc0f.pdf

68. Vasilios A. Siris, Fotini Papagalou, Application of anomaly detection algorithms for detecting SYN flooding attacks // Computer Communications. - 2005. №29 - С.1433-1442.

69. Lawrence R. Rabiner, A Tutorial on Hidden Markov Models and Selected Applications in Speech Recognition // PROCEEDINGS OF THE IEEE. - 1989. - №77 -С.257-286.

70. W. Bongiovanni, A. E. Guelfi, E. Pontes, A. Silva, F. Zhou, S. T. Kofuji Viterbi Algorithm for Detecting DDoS Attacks // 40th Annual IEEE Conference on Local Computer Networks. - 2015. - С.209-212.

71. Wentao Wang, Xuan Ke, Lingxia Wang, A HMM-R Approach to Detect L-DDoS Attack Adaptively on SDN Controller // Future Internet. - 2018. №10. -[Электронный ресурс] - Режим доступа: https://www.mdpi.com/1999-5903/10/9/83/pdf

72. B. A. Khalaf, S. A. Mostafa, A. Mustapha, M. A. Mohammed, W. Mustafa Abduallah, Comprehensive Review of Artificial Intelligence and Statistical Approaches in Distributed Denial of Service Attack and Defense Methods // IEEE Access. - 2019. -№7. - С.51691-51713.

73. B. B. Gupta, R. C. Joshi, Manoj Misra, An Efficient Analytical Solution to Thwart DDoS Attacks in Public Domain // International Conference on Advances in Computing, Communication and Control. - 2009. С.503-509.

74. F. Hashim, M.R. Kibria, Detection of DoS and DDoS attacks in NGMN using frequency domain analysis // 14th Asia-Pacific Conference on Communications. -2008. - №14. - [Электронный ресурс] - Режим доступа: https://www.researchgate.net/publication/224380355_Detection_of_DoS_and_DDoS_at tacks_in_NGMN_using_frequency_domain_analysis

75. Shuyuan Jin, Daniel S. Yeung, A Covariance Analysis Model for DDoS Attack Detection // IEEE Communications Society. - 2004. -[Электронный ресурс] -Режим доступа: https://homepages.laas.fr/owe/METROSEC/DOC/QS02_1.pdf

76. Haining Wang, Danlu Zhang, Kang G. Shin, Detecting SYN flooding attacks // Conference of the IEEE Computer and Communications Societies. 2002. - №22.

- [Электронный ресурс] - Режим доступа: https ://ieeexplore .ieee. org/document/1019404

77. Ramin F Fouladi, Emin Anarim, Time Series Based DDoS Attack Detection Using Statistical Measures // satellite workshop to EUSIPCO. - 2017. -[Электронный ресурс] - Режим доступа: https://www.researchgate.net/publication/319649803_Time_Series_Based_DDoS_Attac k_Detection_Using_Statistical_Measures

78. Tongguang Ni, Xiaoqing Gu, Hongyuan Wang, Yu Li, Real-Time Detection of Application-Layer DDoS Attack Using Time Series Analysis //Journal of Control Science and Engineering. - 2013. - №5. - [Электронный ресурс] - Режим доступа: https://www.researchgate.net/publication/258398888_Real-

Time_Detection_of_Application-Layer_DDoS_Attack_Using_Time_Series_Analysis

79. Haiqin Liu, Min Sik Kim Real-Time Detection of Stealthy DDoS Attacks Using Time-Series Decomposition // IEEE International Conference on Communications.

- 2010. [Электронный ресурс] - Режим доступа: http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.468.4901&rep=rep1&type=p df

80. Alberto Dainotti, Antonio Pescape, Giorgio Ventre, Wavelet-based Detection of DoS Attacks // Proceedings of the Global Telecommunications Conference.

- 2006. - [Электронный ресурс] - Режим доступа: https://www.researchgate.net/publication/221286795_Wavelet-based_Detection_of_DoS_Attacks

81. Yu Chen1, Kai Hwang, Spectral Analysis of TCP Flows for Defense against Reduction-of-Quality Attacks // IEEE International Conference on Communications. -2007. - [Электронный ресурс] - Режим доступа: http://bingweb.binghamton.edu/~ychen/PID364015.pdf

82. Kanwal Garg, Rshma Chawla, Detection Of DDOS Attacks Using Data Mining // International Journal of Computing and Business Research. 2011. - №2 -

[Электронный ресурс] - Режим доступа:

http://researchmanuscripts.com/PapersVol2N1Jan2011/3.pdf

83. Yi-Chi Wu, Huei-Ru Tseng, Wuu Yang, Rong-Hong Jan, DDoS detection and traceback with decision tree and grey relational analysis //International Journal of Ad Hoc and Ubiquitous Computing. - 2011. - №7. - С.121-136.

84. Jin Ye, Xiangyang Cheng, Jian Zhu, Luting Feng, Ling Song, A DDoS Attack Detection Method Based on SVM in Software Defined Network. - 2018. - №1. -С.1-8.

85. J. Seo1, C. Lee1, T. Shon, K.-H. Cho, J. Moon, A New DDoS Detection Model Using Multiple SVMs and TRA // Embedded and Ubiquitous Computing - EUC 2005 Workshops. - С.976-985.

86. Walter Cerroni, Gabriele Monti, Gianluca Moro, Marco Ramilli, Network Attack Detection Based on Peer-to-Peer Clustering of SNMP Data // Quality of Service in Heterogeneous Networks. - 2009.- №6. - С.417-430.

87. Jian Kang, Yuan Zhang, Jiu-bin Ju, Classifying DDoS Attacks by Hierarchical Clustering Based on Similarity // International Conference on Machine Learning and Cybernetics. - 2009 - [Электронный ресурс] - Режим доступа: https://ieeexplore.ieee.org/document/4028522

88. T. Zhang, R. Ramakrishnan, M. Livny, BIRCH: An Efficient Data Clustering Method for Very Large Databases // SIGMOD. - 1996. - №26. - [Электронный ресурс] - Режим доступа: https://www2.cs.sfu.ca/CourseCentral/459/han/papers/zhang96.pdf

89. Martin Ester, Hans-Peter Kriegel, Jiirg Sander, Xiaowei X, A Density-Based Algorithm for Discovering Clusters in Large Spatial Databases with Noise // KDD American Association for Artificial Intelligence. - 1996. - [Электронный ресурс] -Режим доступа: https://www.aaai.org/Papers/KDD/1996/KDD96-037.pdf

90. Alexander Hinneburg, Daniel A. Keim, An Efficient Approach to Clustering in Large Multimedia Databases with Noise // American Association for Artificial

Intelligence. - 1998. - [Электронный ресурс] - Режим доступа: http://resources.mpi-inf.mpg.de/d5/teaching/ss00/proseminar-papers/6/keim-kdd98.pdf

91. L. Zi, J. Yearwood, X. Wu, Adaptive Clustering with Feature Ranking for DDoS Attack Detection // 2010 Fourth International Conference on Network and System Security. - 2010. - С.281-286.

92. Made Indra Wira Pramana, Yudha Purwanto, Fiky Yosef Suratman, DDoS detection using modified K-means clustering with chain initialization over landmark window // 2015 International Conference on Control, Electronics, Renewable Energy and Communications (ICCEREC). - 2015. - [Электронный ресурс] - Режим доступа: http ://ieeexplore .ieee. org/document/7337056

93. Y. Gu, K. Li, Z. Guo, Y. Wang, Semi-Supervised K-Means DDoS Detection Method Using Hybrid Feature Selection Algorithm // IEEE Access. - 2019. -[Электронный ресурс] - Режим доступа: https://www.researchgate.net/publication/333182800_Semi-supervised_K-means_DDoS_Detection_Method_Using_Hybrid_Feature_Selection_Algorithm

94. M. A. Albahar, K. G. Mohamed, Using association rule learning to detect DDoS attack in SPV // Journal of Theoretical and Applied Information Technology. -2019. - №5. - С.1527-1536.

95. O. Olayemi, O. Olufunke, A. E. Olubunmi, Design and Implementation of an Improved Denial of Service (DoS) Detection System using Association Rule // Communications on Applied Electronics. - 2015. - №3. - С.24-29.

96. C. Kruegel, D. Mutz, W. Robertson, F. Valeur, Bayesian Event Classification for Intrusion Detection // 19th Annual Computer Security Applications Conference. - 2004. - [Электронный ресурс] - Режим доступа: https://cs.fit.edu/~pkc/id/related/kruegel03acsac.pdf

97. Abdul Fadil, Imam Riadi, Sukma Aji, A Novel DDoS Attack Detection Based on Gaussian Naive Bayes // Bulletin of Electrical Engineering and Informatics. -2017. - №6. - С.140-148.

98. Yan Li, Yifei Lu, LSTM-BA: DDoS Detection Approach Combining LSTM and Bayes // 2019 Seventh International Conference on Advanced Cloud and Big Data (CBD). - 2019. - [Электронный ресурс] - Режим доступа: https://ieeexplore.ieee.org/document/8916323

99. Zhengmin Xia, Songnian Lu, Jianhua Li, Enhancing DDoS Flood Attack Detection via Intelligent Fuzzy Logic. - 2010. - [Электронный ресурс] - Режим доступа:

https://www.researchgate.net/publication/220166100_Enhancing_DDoS_Flood_Attack _Detection_via_Intelligent_Fuzzy_Logic

100. M. Almseidin, S. Kovacs, Intrusion Detection Mechanism Using Fuzzy Rule Interpolation // Theoretical and Applied Information Technology. - 2018. - №16. - С. 5473-5488.

101. Alka Chaudhary, Gajendra Shrimal, Intrusion Detection System Based on Genetic Algorithm for Detection of Distribution Denial of Service Attacks in MANETs // International Conference on Sustainable Computing in Science, Technology and Management (SUSCOM). - 2019. - С.370-377.

102. S. M. Lee, D. S. Kim, J. Lee, J. S. Park, Detection of DDoS attacks using optimized traffic matrix // Computers & Mathematics with Applications. - 2012. - №63. - С.501-510.

103. G. Dimitris, T. Ioannis, D. Evangelos, Feature Selection for Robust Detection of Distributed Denial-of-Service Attacks Using Genetic Algorithms // Hellenic Conference on Artificial Intelligence. - 2004. - С. 276-281.

104. Jan Quequezana-Buendia, Julio Santisteban, AL-DDoS Attack Detection Optimized with Genetic Algorithms // Advances in Soft Computing. - 2019. - С.107-117.

105. Reyhaneh Karimazad, Ahmad Faraahi, An Anomaly-Based Method for DDoS Attacks Detection using RBFNeural Networks // International Conference on Network and Electronics Engineering. - 2011. - №11 - С.44-48.

106. Rasool Jalili, Fatemeh Imani-Mehr, Morteza Amini, Hamid Reza Shahriari, Detection of Distributed Denial of Service Attacks Using Statistical Pre-processor and Unsupervised Neural Networks // Information Security Practice and Experience, First International Conference, ISPEC 2005. - 2005. - С. 192-203.

107. Monowar H. Bhuyan, D. K. Bhattacharyya, J. K. Kalita, Network Anomaly Detection: Methods, Systems and Tools // IEEE Communications Surveys. - 2013. -№16. - С.303-336.

108. Michael E. Locasto, Ke Wang, Angelos D. Keromytis, Salvatore J. Stolfo, FLIPS: Hybrid adaptive intrusion prevention // Recent Advances in Intrusion Detection: 8th International Symposium, RAID 2005. - 2005. - С. 82-101.

109. Sandhya Peddabachigari, Ajith Abraham, Crina Grosan, Johnson Thomas, Modeling intrusion detection system using hybrid intelligent systems // Journal of network and computer applications. - 2007. - №30. - С. 114-132.

110. Aboul Ella Hassanien, Intelligent Hybrid Anomaly Network Intrusion Detection System // Communication and Networking. - 2012. - С.209-218.

111. Mouhammd Alkasassbeh, A Novel Hybrid Method for Network Anomaly Detection Based on Traffic Prediction and Change Point Detection // Computer Science.

- 2018. - [Электронный ресурс] - Режим доступа: https://arxiv.org/ftp/arxiv/papers/1801/1801.05309.pdf

112. Chin-Tser Huang, Sachin Thareja, Yong-June Shin, Wavelet-based Real Time Detection of Network Traffic Anomalies // International Journal of Network Security. - 2008. - №6. - С.309-320.

113. M. Steinbuch, M.J.G. van de Molengraft, Wavelet Theory and Applications.

- 2005. - С.49.

114. Козионов А.П., Пяйт А.Л., Мохов И.И., Иванов Ю.П. Вейвлет-преобразование и одноклассовая классификация для мониторинга состояния дамб // Информационно-управляющие системы. 2014. № 4 (71). С. 24-32.

115. Lukasz Saganowski, Tomasz Andrysiak, Rafal Kozik Michal Choras, DWT-based anomaly detection method for cyber security of wireless sensor networks // Security And Communication Networks. - 2016. - №9. - С.2911-2922.

116. X. Tian, J. Wu, C. Ji A unified framework for understanding network traffic using independent wavelet models // IEEE INFOCOM. - 2002.

117. Lan Li, Gyungho Lee DDoS Attack Detection and Wavelets // Computer Communications and Networks. - 2003

118. Antonio Pescape, Giorgio Ventre Wavelet-based Detection of DoS Attacks // Proceedings of the Global Telecommunications Conference, 2006

119. Zhengmin Xia, Songnian Lu, Jianhua Li, Enhancing DDoS Flood Attack Detection via Intelligent Fuzzy Logic. - 2010. - С. 497-507.

120. Francisco Sales de Lima Filho, Frederico A. F. Silveira, Agostinho de Medeiros Brito Junior, Genoveva Vargas-Solar, and Luiz F. Silveira Smart Detection: An Online Approach for DoS/DDoS Attack Detection Using Machine Learning // Security and Communication Networks. - 2019

121. Seong Soo Kim, A. L. Narasimha Reddy, Marina Vannucci, Detecting Traffic Anomalies using Discrete Wavelet Transform. - [Электронный ресурс] - Режим доступа: https://cesg.tamu.edu/wp-content/uploads/2012/04/reddy_papers/icoin_skim03.pdf

122. Wesam S. Bhaya, Mehdi Ebady Manna DDoS attack detection approach using an efficient cluster analysis in large data scale // Information & Communications Technology Applications (NTICT), 2017

123. Dan Tang, Rui Dai, Liu Tang, Xiong Li Low-rate DoS attack detection based on two-step cluster analysis and UTR analysis // Human-centric Computing and Information Sciences volume, 2020

124. Лаврова Д.С., Алексеев И.В., Штыркина А.А. Анализ безопасности на основе контроля зависимостей параметров сетевого трафика с использованием дискретного вейвлет-преобразования //

Проблемы информационной безопасности. Компьютерные системы. - 2018. - № 2. - С. 9-15.

125. Lavrova D.S., Alekseev I.V., Shtyrkina A.A. Security analysis based on controlling dependences of network traffic parameters by wavelet transformation // Automatic Control and Computer Sciences. - 2018. - Т. 52. № 8. - С. 931-935

126. Алексеев И.В., Обнаружение распределенных атак отказа в обслуживании в крупномасштабных сетях на основе методов математической статистики и искусственного интеллекта // Проблемы информационной безопасности. Компьютерные системы. - 2020. - № 2 (42). - С. 46-52.

127. DARPA Intrusion Detection Evaluation. Intrusion Detection Attacks Database. - [Электронный ресурс] - Режим доступа: https://archive.ll.mit.edu/ideval/data/1999/training/week2/index.html

128. Canadian Institute for Cybersecurity DDoS Evaluation Dataset (CICDDoS2019) - [Электронный ресурс] - Режим доступа: https://www.unb.ca/cic/datasets/ddos-2019.html

129. Jiangtao Pei, Yunli Chen, Wei Ji A DDoS Attack Detection Method Based on Machine Learning // Journal of Physics. - 2019.

ПН'ГН Й СТАЛ «ЦВМ цил

RU

2018660604

*№*ЛЬН lH СЛУЖБА

МП ППЛНПШЫмЛ CLNtfTBKHHOLTM

(12) ГОСУДАРСТВЕННАЯ Fl.l MCI FA ЦП iL IL ГШ РА M МЫ ДЛЯ ЭНН

M«>ml|> ptmcipaipii (сщнкиит): 1ШЙШШ

Дата («гmi рмчи: 27-llH-î(IIH

Нчшер н дата шктупнви лии: Ш 86179 84 2*.17Л1Д

Дата iiyÜJiidiiHLdJJL I л

küjfi a^iübit pifkbtijHiu.:

+7 (ftll) $52-61-11, llic.i s[ibsiu.i и

Анкцш:

] I L- ■ JP „I.4JI J JUlL'ltH'l (kl],

.lAk|PLfua Jj^i CtpiMkia (RU^ ЛНШМВ Jl.ib.M flajHiMhiui'i I Kl 1

Прарф&вадатыи

фи iL-|ia.ibiiuu JIHJT.J a L H L-II iHhr »TMHIUfC uû|iJ!UHÂIr.JktUiE ^pra.irKkc hi.il ulli 13 i>b|>a totuiini

vÇiaicTJItTtp^piïial нлиничннвМ унмшрсн tii Hui pa Вешни (ФГАОУ Bl> «ÇDlUlV»)(Rtl}

Название нрш рлм ии длл >tiM:

цПрй! pdAina ДЛЯ uHLIHU loilktlHTI na iiciiihil; kjHl[iim:h ilniLi^iüflcM mfUlt!ipOB ctitiwLii L МИЦШИС диггрг шага i№iib.tiMi|)4;vii|ij)iHi3ji:ii»

Pcfupil:

ПрШраЫЫ* lll^JULiUlLl'IL-IILi _|.|Д DHUUÎHUI ЫВфОЮСГВйЛВаМ KÙffL'.IH НИ II UIJ'ILIIHH

ванришйщиы мДиишрмярняд ирс-исины* ридса. ии^-шлиимых 1]нфнкйи nmciyuihiiDi: сетий, иды йцгтл ргаукыцданыцни энаниылВ с ульи пйируиаи атаки ни врсшвыних Jlpùi piiiMj получал на ия-од ^jrn, содержащий дамп ipji|iiLh.u и фчр.члг

TL'pdump LlJÜlLpCjp. ÇntpUKCk IрафHE ф»1ЛЬТ]»>СIts Iii типу ишифуяшп npÙTOillli, затеи

lid К^АДСГО I ■ LL К J LL IMMHIiVWi IJIÜ'IL ПН* IIL1.IL Г| К [ILL dUL'HJ llhl L LJH Ы ЦирйСШЦЦрт!

щйшпш^. Каадсч? иншпц j fin pu ti5iiuahLTCri tu лрешваив риды ва осиш цдиноп шнраш. Кн> КШ ЫВОЖйСГЕИм [lfi-liMt'hiL'IL-j I'.-j-iifb.HjU|TLL w>hJdMii L. Полу«Ш№ ha

ьыячыс ULTIEUIC i-A jpàt: icfittc i нки moaetu лрсвсцлкисл JU ивдвиклыуи шрреыщиа,

] y. L ь- L11 p y м. I Lu КС [H^IL-MJIM L pjüMJi BJKi L L M С iiujiujunuM. СнЛрЩЁЛеННЦУ аСПЦШЁНШиИ. It

слуив ьылсда. и предки овышчрных границ пдкиpuiua уидыитм польэоаатмл и

ULLI II1131 II атакч.

Ядш програкмн jaa—им; 14 iIloil iïiiirUT-i арограшыдлл >Ю1: 7 КС

АКЦИОНЕРНОЕ О&ЩЕСТбй НПК чТРИСТАНь У :. Лг 3, Мм* и, 1(1 ^ М т:г : ^¡-НЛЗ-Ф?-.! I.

4ж гвиида и^дзяи! д

СЛНКТ-11ЕТРРНУРГГкИЯ (ЬИ.1 НЛ II Гф. НшкфЬшч, зА7г г. СынИпсрГгур-. ти.: фк: (II

(-пи|- пбшяш-а'.пиМ т

йЕРждаЮ

Н МИРПЖГМЬ ЛИрСКТОра

(.-ШЮЕЧ-ГЕ И. Н

АКТ

Ф ЫЫрН им |>И1у.1М а ми; 1РССС1П11 ПИВНОЙ рй6ф[Ы Л-И'кииипи П. см с ПНЛИЧСРИЧЯ На

«Обнйр^тсш! |гаии]жд*:и;.......тс аглк «лнля ц сЫпни и крьнмочлгллабпых сети*

и:н[>№Г нгКш ищттлчниИ £ТаТНе1икн и ШЩЦИНИИИ |[|ггь.т.-ккт4н^ йрпспчинд! «ваше ^ченаЛ пиши ищ иптатиш ншк

■ 141 тимнцпля СМЗЛЗ «МсТОйЫ II (ШГПИЫ Кфты |Г1|ф:1ЕГ,|-|]|.11И, шф'нр-чй Ш1Ы1На.й

ЬшВМшсты»

Наетонщлм а.\-и™ подтверждаем использование р^шищ двссгртшжппюй тмбпи нОйцщттвйе ржгтрел с ленных атак отказа а о&цукнланнн и групирчк.ипд™ыч сетях на оснюьс метилов математический стати и« и и тжуппрсюгогй шгсшшвя в л^юсктаой делвпьяздп СП^Ф ЛО «НС1К ^ТРЩТЛН» для мониторинга к анализа клйь-ру 17171 а икнй иифрппрупурт.

Лко^рт^цччинм работа Института кибврбвмтасЕвдтп ч ташгги н ифчрчаилз! ФГАОУ ВО *0|К1 Петербург СИИ Я ПО.ТНТеЯННЧССКЛЙ >иНВвреЯ№г [Г^гра Пелщгити^ АпеЭИСН ИЛ1Н В«ШНЛГМ прошена СОШаННВО-иЬни^ткнин мт.ш и «ТЖ. ЧТй.

леопмигнчгд^ ЯН1МСТС1 актуальной Заза'икН в- ^(.лпмичх |^|ф[*>пгуй трацсфорМВНИИ ТСЧНШЮГН ЧССи(£Л Инфраструктуры Я К-ЛЛглдлл к уМЛВЧСМПР сетей*] нПГру1КИг ГСТерйГСИНОСШ МТИ л Ч1К11;1

кнбср^трса.

Рнзршктга........ ЛЛСЬХМВНМ И. В. МИЦД ДШуКТуПНПамИ иииттап; ппипрутсенИЧ ССХЗЗ 176*

баз прилеп КЯ СОЗОЛЛИИ аЛШ1ТНВЕЮГ<а МСКаЛНЗыа, СбфСнечГРИОИТО ДННМГЧКИК Преобразовании СОбнрВСМЫХ ЛЗЛЛЫ* ОТноапилыи! Л1М4!1К1Г1гН нчтежИВНОСт ССТеВйИ НаГруЗШ! и тЙрдГвтюСТИ СеТН. на исн^нй игийраппг.гт п;|р,1ичтрои СетеВЫА ПаКК-ЗОи С НС1ШЛ1.-К»Й1ГНСЧ ИЙВЯСТ-ПрСйОрииааним. кииф|||ИЦИСПТ|^п мнсг+еСТВеНЛОЙ КФррСЛЯиИИ, ЦММДеНид к.тж.-гкр:1с1гг> а1галич.

Рщяь±й™ тослсдл^-ишя, изложенные В ЛИИ]Ладли. ин^ют научим: и практиччдко? иипвд. 1Я проевгпг-рИ леятстън-гстл СГТйФ ЛО^НПХ а'П^ИСТАЙи ипимновошг

мкттси йСпгфужшня ОСЮЗ атак в щшшшшйцп «тчя мл основе нетсиов к«таа|ЩЧ«:кий ПВТИСТШСН Н НСКусоТВСНИйГИ ИНМПЛана (глалэ 3 литарпцщмпЯ роботы, и.аршрзф "! 3);

- нритнсзури системы, сбнару^Зи)* [}1Х)Н лтлк ^ пркцчнчннем ШЯПГНВИОГСп япнпдщ, П^ОСПЧ'ШЪЛЮШИЙ юламнчссшс приЛ^рамши^ ЛЛНКЫХ относительно

и1М1;|1?|г|гй нитгисивиостн мтсвоГ! ла^руаии к (теткрагсии^тн' сети ^глага 4 ЛИСССрПацлОнпйН рпб{?ти. параграф 4.1).

СгЭфШНП На>'1Н^Л ИЛ^Дти СПОФ АОИШЖ ОС1ТЙ£ТАН»

4(11 й сг-.1Т»-"||1н 21 ■1м |

Гуя«1пров М. Е.

УТВЕРЖДАЮ

ЧИЧЭРЧАУОЧ РОССИИ

госувдкпстм игшииог

«КМ* ВО СПеЛУа)

ИНИ 7ЯММ0977 ОГРН КШа&ШКт, ЭКОО 0Къ1374 Псгаг»»гж««1 и. М, Сгкир^лг. М5; Я 1«п. >л»; л.'9г ,'гк:. ©-»с•.'|(1В*; «о§»

АКТ

Оп использовании научных и практических ряутпля лиссертшш Алексеева И.В. на гему

«Обнаружение распределенных атак отказа в обслуживании и крупномасштабных сетях на основе метолом ыатема тческо-й статистики н искусственного шпешекта»

Настоящим актом подтверждается, чго результаты диссертационной работы Алексеева Ильм Вадимовича «ОГжзружснке распределенных атак отказа а обслуживании в крупномасштабных сетях на основе методов ма1ематической ечлги стихи и искусственного интеллекта», пре/кпаллеииой на сонскдние ученой степени кандидата технических наук. используются в учебном процессе Института кибербезопасности н зашиты информации ФГАОУ ВО «Санкт-Петербургский политехнический университет Петра Великого» при срсанивдии дисциплин «Программно-аппаратные средства обеспеченна информационной безопасности». «Сети и системы лсрщачи информации» и «Безопасность компьютерных ал ей г. * виде методических рекомендаций по проведению лекционных, практических и лабораторных занятий, а также сопровождения научной деятс.тьнссти аспирантоо и доетораиюв но спехшальностн 05.13.19 «Методы и системы тантиты информации, ннфирмациониаа безопасность».

Директор Инстигута кибербезсшасностн н зашиты информации

ФГАОУ ВОвСИбНУ»

дт.и., профессор, профессор РАН

Дмитрий Пе|рович '5егжда

Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.