Исследование статистических методов детектирования сетевых атак

Размещено на http://www.allbest.ru/

Исследование статистических методов детектирования сетевых атак

Печенкин Кирилл Алексеевич, бакалавр, студент

Лясин Дмитрий Николаевич, кандидат наук, доцент, доцент

Волгоградский государственный технический университет

В данной статье рассмотрена проблема детектирования сетевых атак с помощью статистических методов. На основе изученных сетевых атак была разработана математическая модель детектирования. Реализованы методы статистического анализа трафика и внедрены в программный модуль. По результатам разработки проведены эксперименты по оценке эффективности программного модуля детектирования сетевых атак статистическими методами.

Современное общество уже не может обойтись без информационных технологий. Информационные технологии проникли во все сферы жизни человека. Их неотъемлемой частью является глобальная сеть Интернет. Конечно же, одной из главных задач является обеспечение безопасности обращения информации внутри сети. Одной из опасностей для безопасности являются сетевые атаки.

Существует ряд закрытых программных продуктов, предоставляющих защиту от сетевых атак, это: Incapsula, AKAMAI, Cloudflare, SUCURI, Alibaba и другие. Существенным минусом по сравнению с разрабатываемой системой является закрытый программный код, а также высокая стоимость предоставления услуг.

Программный модуль детектирования сетевых атак статистическими методами поможет обеспечить защиту от DoS-атак информационным ресурсам, увеличить надежность и доступность ресурса в сети Internet, уменьшит потенциальные расходы на ликвидацию последствий сетевых атак.

Для решения задачи поиска сетевых аномалий предложена методика формирования набора информативных признаков, формализующих нормальное и аномальное поведение системы статистическими методами.

Статистический анализ относится к поведенческим методам определения нарушений и основан на сопоставлении текущего состояния сети с некими определенными заранее признаками, характеризующими обычное состояние сети.

Процесс перехвата пакетов представляет собой заполнение окна анализа и вычисление статистических характеристик. После обработки входящего Ethernet-кадра он переносится в окно анализа и участвует в формировании распределения интенсивности сетевого трафика, которое является предметом статистического анализа.

При заполнении окна анализа происходит его сдвиг, новые пакеты попадают в него и происходит динамичное обновление статистических характеристик. За счет обновления распределения интенсивности сетевого трафика формируется и запоминается поведение сети при штатном режиме. Для формирования показательного поведения достаточно нескольких минут прослушивания входящего сетевого трафика.

Для анализа интенсивности сетевого трафика в штатном режиме был произведен захват пакетов, причем было однозначно известно, что во время сбора никакой сетевой атаки не производится, затем были вычислены и сохранены следующие статистические характеристики: выборочное среднее, выборочная дисперсия, коэффициент асимметрии, коэффициент эксцесса, энтропийный коэффициент и контрэксцесс.

После завершения анализа сетевого трафика в штатном режиме и определения эталонных значений статистических характеристик при отсутствии сетевой атаки программный модуль анализатора запускается в режиме бесконечного прослушивания и анализа входящего трафика.

В режиме прослушивания входящего сетевого трафика происходит перехват входящих пакетов и заполнение окна статистического анализа. При заполнении окна анализа происходит сравнение текущего поведения сетевого трафика с эталонными данными, на основе этого сопоставления делается предположение о наличии или отсутствии сетевой атаки.

Анализ статистических характеристик аномальных вторжений предполагает вычисление для каждого нового набора значений окна статистического анализа следующих статистических характеристик:

· выборочное среднее: , где S -- показатель активности сетевого трафика.

· выборочная (исправленная) дисперсия:

· коэффициент асимметрии: , определяющий степень асимметричности плотности вероятности относительно оси, проходящей через ее центр тяжести.

· коэффициент эксцесса: , показывающий, насколько острую вершину имеет плотность вероятности по сравнению с нормальным распределением.

· контрэксцесс, который определяется как: где -- параметр эксцесса, определяемый как:

Для сопоставления распределений, сформированных для каждой статистической характеристики, используется критерий согласия Пирсона, который характеризует существование линейной зависимости между двумя распределениями.

Сетевая атака представляет собой увеличение неоднородности сетевой активности, при которой кроме валидных пользователей web-сервиса, в качестве клиентских подключений добавляются зараженные злоумышленником устройства, имеющие доступ в интернет. Зараженные устройства начинают вести себя как полноценные клиенты и кардинально изменяют поведение входящего сетевого трафика, что в свою очередь отражается на статистических показателях окна анализа.

При планомерном смещении окна анализа и очередном сравнении с эталонными значениями статистических характеристик детектируется аномалия поведения сетевого трафика и делается предположение о наличии сетевой атаки. Схема описанного поведения представлена на рисунке 1.

Рисунок 1. Схема взаимодействия сетевого трафика и модуля детектирования сетевых атак.

На примере атаки типа HTTP-flood (начало атаки: 12 секунд, длина окна статистического анализа: 45 секунд, момент обновления окна анализа: 57 секунд) рассмотрено поведение представленных статистических характеристик.

Как видно на графике, в момент осуществления атаки (рис. 2) показатель выборочного среднего начинает линейно возрастать и достигает своего максимума и перестает возрастать в момент полного обновления значений окна статистического анализа, начиная с момента атаки (57 -- 12 = 45).

Рисунок 2. Распределение значения выборочного среднего.

Показатель выборочной дисперсии начинает квадратично возрастать и достигает своего максимума в момент 50% обновления окна статистического анализа и начинает также уменьшаться до среднего показателя между значением «в момент атаки» и полного обновления окна статистического анализа (рис. 3).

Рисунок 3. Распределение значения выборочной дисперсии.

Как видно на графике, в момент осуществления атаки показатель коэффициента асимметрии резко достигает своего максимума, а затем демонстрирует экспоненциальное уменьшение и достигает своего минимума к моменту полного обновления окна статистического анализа (рис. 4).

Рисунок 4. Распределение значения коэффициента асимметрии.

Коэффициент эксцесса достигает своего максимума в момент начала атаки, а затем демонстрирует экспоненциальное уменьшение и на момент 50% обновления окна анализа возвращается к своему начальному значению (рис. 5).

Рисунок 5. Распределение значения коэффициента эксцесса.

Как видно на графике (рис. 6), в момент осуществления атаки показатель коэффициента контрэксцесса резко уменьшается и достигает своего минимума, затем наблюдается квадратичное возрастание и к моменту 50% обновления окна значение достигает своего максимума и начинает постепенно восстанавливаться к начальному значению.

Рисунок 6. Распределение значения коэффициента контрэксцесса.

Для оценки качества были проделаны эксперименты: оценка эффективности обнаружения атаки при различных конфигурационных значениях, зависимость скорости обнаружения атаки от значений конфигурационных параметров, оценка распределения статистических характеристик при возникновении атаки.

Для повышения эффективности обнаружения той или иной сетевой атаки, необходимо правильно настроить модуль детектирования. Главным параметром, определяющим эффективность определения, а также минимизацию сложных срабатываний, является размер окна статистического анализа, в котором и происходит анализ сетевого трафика (рис. 7).

Рисунок 7. Результаты оценки эффективности обнаружения атаки при различных значениях входных параметров.

Так как общее количество срабатываний не дает полного понимания эффективности модуля детектирования, для достижения более полной картины был произведен подсчет ложных срабатываний (рис 8).

Рисунок 8. Отношение срабатываний на атаку к ложным.

Коэффициент эффективности для каждого значения размера окна статистического анализа будет рассчитан по формуле:

где P₁ -- это значение вероятности для краткосрочной атаки, P₂ -- значение вероятности для среднесрочной атаки и P₃ -- значение вероятности для долгосрочной атаки. А К_s это коэффициент успешных срабатываний.

На графике изображена зависимость вероятности успешного детектирования атаки от длины атаки для каждого из размеров окна статистического анализа (рис. 9).

Рисунок 9. Зависимость вероятности успешного детектирования атаки от длины атаки

Согласно результатам измерений коэффициентов эффективности наибольшую эффективность демонстрирует окно, значение которого равно 90 секундам. Полученные результаты эксперимента представлены на рисунке 10.

Рисунок 10. Распределение коэффициентов эффективности для различных значений размера окна статистического анализа.

Для программного обеспечения, направленного на детектирование сетевых атак принципиальном показателем, является скорость обнаружения сетевых атак. Для определения оптимального показателя скорости детектирования атаки была проведена серия экспериментов определяющая зависимость между размером окна сетевого анализа, длины атаки и скорости детектирования сетевой атаки.

Результаты эксперимента формируют равномерное распределение что говорит о том, что единственным информативными признаком, влияющим на скорость детектирования сетевой атаки, является размер окна статистического анализа.

Рисунок 11. Зависимость скорости детектирования атаки от значений входных параметров.

Для оценки распределения значений статистических характеристик необходимо реализовать функцию расчета коэффициента корреляции Пирсона. Так как для каждой статистической характеристики формируется распределение, которое в случае сетевой атаки является одним из известных видов распределения случайной величины, то важнейшим моментом в статистическом анализе является правильное сопоставление сформированного распределения с одним из известных.

В качестве примера рассмотрим распределение значений дисперсии во время проведения атаки HTTP-flood. Точкой отсчета является момент, когда окно статистического анализа полностью заполнилось с момента запуска (через 90 секунд после запуска, с учетом того, что длина окна анализа равна девяносто секунд). Сетевая атака началась через 28 секунд с начала отсчета и завершилась на 147, детектирование сетевой атаки произошло на 120 секунде, через 92 секунды с момента начала ее проведения (120 -- 28 = 92).

Рисунок 12. График распределения значений выборочной дисперсии.

программный сеть атака компьютерный

Коэффициент корреляции Пирсона для данного распределения равняется: K_pearson = 0,9141

Значение коэффициента корреляции Пирсона (рис. 12) означает что выбранный участок на 91 % коррелирует с примером нормального распределения, что говорит о наличии сетевой атаки.

Анализируя полученные результаты можно сделать вывод об эффективности разработанного модуля детектирования сетевых атак. Реализация программного модуля детектирования сетевых атак привела к возможности предоставления сетевой защиты удаленным серверным машинам.

Список литературы

1. Печенкин К.А., Лясин Д.Н. Исследование статистических методов детектирования сетевых атак // Материалы X Международной студенческой электронной научной конференции «Студенческий научный форум»

2. Ребро И. В., Носенко В. А., Короткова Н. Н. Прикладная математическая статистика (для технических специальностей). 2011. с. 15-50.

3. Шелухин О.И., Филинова А.С., Васина А.В. Обнаружение аномальных вторжений в компьютерные сети статистическими методами // T-Comm: Телекоммуникации и транспорт. 2015. Том 9. №10. с. 42-49

Размещено на Allbest.ru