Применение комбинированного нейросетевого метода для обнаружения низкоинтенсивных DDoS-атак на web-сервисы

Размещено на http://www.allbest.ru/

Применение комбинированного нейросетевого метода для обнаружения низкоинтенсивных DDoS-атак на web-сервисы

Е.С. Абрамов¹, Я.В. Тарасов²

¹Южный федеральный университет, Ростов-на-Дону

² ЗАО «Инфосистемы Джет», Москва

Аннотация

В статье представлены результаты разработки комбинированного нейросетевого метода обнаружения низкоинтенсивных (low-rate) атак типа «отказ в обслуживании» Разработана модель представления low-rate-атаки в виде аддитивного наложения атакующего воздействия и легального сетевого трафика. Задача разработки метода обнаружения атак представлена как последовательное решение задач выделения гомогенных групп временного ряда на основании моделей распознавания образов и последующего построения для каждой группы отдельной модели прогнозирования.

Обучение SOM происходит на отдельных пакетах, последовательно выбираемых из окна. Перед подачей на SOM и MLP все данные нормирe.ncz в диапазон [0,1]. Сеть Кохонена имеет гексагональную структуру связей нейронов и размеры 25 на 20.

Размер окна вычисляется по формуле 2 и зависит от ограничений технологии Ethernet [19] и загруженности полосы пропускания сети. Используются следующие значения:

- размер окна 1500 пакетов - нормальной утилизации в 1% при скорости сети 100 Мбит/с [19,20];

- размер окна 30 пакетов - минимальное значение, встречающееся в правилах IDS Snort для низкоинтенсивных атак.

- размер окна 180 - соответствует скорости поступления 1 пакет в секунду.

Персептрон имеет следующую структуру - два скрытых и выходной слой, активационная функций в скрытый слоях - гиперболический тангенс, в выходном слое - линейная. Число нейронов в скрытых слоях - 21 и 7 (подобрано в ходе экспериментов). Метод обучения - trainlm.

Для обучения искусственной нейронной сети моделировались два типа сетевого трафика - нормальный и аномальный. Первый содержал пакеты, появляющиеся в сети при обычной работе, а второй имитировал распределённую низконтенсивную атаку с 10 адресов.

Размер нормального набора - 459565 пакетов.

Размер атакующего набора - 428890 пакетов.

Распознавание осуществлялось на тестовой выборке. Оценивалась близость к эталону. Распознавание считалось успешным, если абсолютная разница между эталонными и фактическими значениями для каждой компоненты выходного вектора не превосходила 0.3.

Результаты экспериментального исследования представлены в таблице 2.

Таблица 2. Результаты работы прототипа системы обнаружения атак

Наихудший результат ложных срабатываний не превышает 0,12% в эксперименте № 11. Значение пропуска цели (т.е. эффективность распознавания) поднималось до 0,84% в том же эксперименте. Данный результат предсказуемо обусловлен минимальным размером анализируемых данных и обучающей выборки, использовавшимся в анализируемом эксперименте. низкоинтенсивный атака сетевой трафик

Наилучшие результаты разработанный метод показал в экспериментах 1, 6, 12, что подтверждает теоретические предположения. Результаты 12 эксперимента показывают теоретическую возможность эффективного применения метода на высоких скоростях поступления пакетов [25,26].

Анализ техник противодействия низкоинтенсивным атакам

Рассмотрим техники, применяемые сегодня для обнаружения и противодействия low-rate DDoS атакам. Для этого используют конфигурирование правил межсетевых экранов и систем обнаружения вторжений (IDS). Правила межсетевого экранирования рассматриваются на примере iptables [21], правила систем обнаружения вторжений - на примере Snort [22].

1) Статический лимит соединений

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit \

--connlimit-above 5 --connlimit-mask 32 -j DROP

iptables -I INPUT -p tcp --dport 80 -j ACCEPT

Правила ограничивают число соединений пятью с одного узла. При превышении этого лимита попытка соединения запрещается. Если у атакующего достаточно большой ботнет, он всё равно может успешно атаковать. Также значение connlimit должно быть очень низким, чтобы защитить web-сервер. Это может существенно затруднить использование сервера легитимными клиентами и вызывает большое число ложных срабатываний (false positives). Такие правила затрудняют или исключают использование NAT и proxy-серверов.

2) Динамический лимит соединений

iptables -I INPUT -p tcp -m state --state NEW --dport 80\

-m recent --name slowloris --set

iptables -I INPUT -p tcp -m state --state NEW --dport 80\

-m recent --name slowloris --update \

--seconds 15 --hitcount 10 -j DROP

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Первые два правила проверяют новые соединения и число соединений с одного ip-адреса. Если с одного ip-адреса создаётся более 10 соединений в течение 15 секунд, то такие пакеты блокируется. Для такого набора правил характерно неприемлемо большое число ложных срабатываний [23]. Легитимные подключения хостов через один NAT и proxy-сервер также будут удовлетворять этим правилам и будут блокироваться межсетевым экраном.

3) Применение правил IDS

Правила Snort, входящие в состав набора правил по умолчанию [24], основаны на поиске строковых шаблонов, специфичных для определённых сценариев атак, и контроле пороговых значений пакетов в единицу времени.

alert tcp any any -> any any (msg:"low-rate DDoS";

flow:to_server,established; content:”some DoS tool user-agent specific content”

detection_filter:track by_src, count 20, seconds 20;

metadata:service http; classtype:attempted-dos; sid:1234572; rev:2;)

Такие правила легко обходятся, поскольку параметры сценария и user-агента легко реконфигурируются. Кроме того, как и в случае правил межсетевого экрана, основанных на контроле числа соединений, эти правила IDS генерируют много ложных срабатываний.

Заключение

В статье представлено описание разработанного метода обнаружения низкоинтенсивных атак «отказ в обслуживании», основанного на использовании гибридной нейронной сети.

Результаты сравнительного анализа применяемых методов обнаружения low-rate атак показывают, что методы защиты серверов, основанные на изменении конфигурации сервера или применении правил межсетевых экранов и IDS не позволяют эффективно защищаться от low-rate DDoS. Для этих методов характерно высокий уровень ложных срабатываний (ошибок первого рода).

Экспериментальная оценка эффективности предложенного в статье метода показала высокий процент обнаружения атак за счёт снижения числа необнаруженных атак (ошибок второго рода) и низкий уровень ложных срабатываний, при этом скорость работы метода зависит лишь от скорости обработки поступающих пакетов.

Литература

1. Moustis D., Kotzanikolaou P. Evaluating security controls against HTTP-based DDoS attacks Fourth International Conference on Information, Intelligence, Systems and Applications (IISA), 2013. URL: ieeexplore.ieee.org/abstract/document/6623707/

2. C. Douligeris and A. Mitrokotsa, “DDoS attacks and defense mechanisms: classification and state-of-the-art,” Elsevier Computer Networks, vol. 44, no. 5, pp. 643-665, April 2004.

3. E. Damon, J. Dale, E. Laron, J. Mache, N. Land, and R. Weiss, “Hands-on denial of service lab exercises using slowloris and rudy,” in Proceedings of the 2012 Information Security Curriculum Development Conference, ser. InfoSecCD '12. New York, NY, USA: ACM, 2012, pp. 21-29. URL: doi.acm.org/10.1145/2390317.2390321

4. Ievgen Duravkin; Anastasiya Loktionova; Anders Carlsson Method of slow-attack detection 2014 First International Scientific-Practical Conference Problems of Infocommunications Science and Technology URL:http://ieeexplore.ieee.org/document/6992341/

5. Maurizio Aiello; Enrico Cambiaso; Silvia Scaglione; Gianluca Papaleo A similarity based approach for application DoS attacks detection 2013 IEEE Symposium on Computers and Communications (ISCC). URL: ieeexplore.ieee.org/document/6754984/

6. Абрамов Е.С., Сидоров И.Д., Метод обнаружения распределённых информационных воздействий на основе нейронной сети // Известия ЮФУ. Технические науки, 2009, №. 11 (100) С. 154-164.

7. “Slowloris http dos,” URL: ha.ckers.org/slowloris, Tech. Rep.

8. Тарасов Я.В. Модель низкоинтенсивной сетевой атаки "отказ в обслуживании" // МГТУ им. Баумана, В сборнике трудов VII всероссийской научно-технической конференции "Безопасность информационных технологий " (BIT - 2016).

9. Chuchueva I.A. Model prediction of time series based on a sample of maximum similarity // PhD degree work. M.:2012.

10. Fogler H.R. A pattern recognition model for forecasting // Management science. 1974, No.8. pp. 1178 - 1189.

11. Discovering Patterns in Electricity Price Using Clustering Techniques / F. Martinez Alvarez [at al.] // ICREPQ International Conference on Renewable Energies and Power Quality, Spain, Sevilla, 2007: URL:http://www.icrepq.com/icrepq07/245-martinez.pdf.

12. Haykin. Neural Networks: A Comprehensive Foundation. Prentice Hall, Upper Saddle River, New Jersey, 2nd edition, 1999, 842 p.

13. Lee Giles, Steve Lawrence, Ah Chung Tsoi Noisy Time Series Prediction using Recurrent Neural Networks and Grammatical Inference // Machine Learning July 2001, Volume 44, Issue 1, pp 161-183.

14. Fodor, I. (2002) "A survey of dimension reduction techniques". Center for Applied Scientific Computing, Lawrence Livermore National, Technical Report UCRL-ID-148494

15. Van der Maaten, L.J.P.; Hinton, G.E. (Nov 2008). "Visualizing High-Dimensional Data Using t-SNE" (PDF). Journal of Machine Learning Research 9: pp. 2579-2605.

16. Kohonen, T. Self-Organizing Maps. Third, extended edition. Springer, 2001.

17. Ghost, A.K., et al. “Detecting Anomalous and Unknown Intrusions Against Programs in Real-Time”. DARPA SBIR Phase I Final Report. Reliable Software Technologies.

18. Command-line packet analyzer tcpdump. URL: tcpdump.org/

19. Robert Graham, "What's the max speed on Ethernet?" // URL: blog.erratasec.com/2013/10/whats-max-speed-on-ethernet.html#.UlbwuNK8Dp8

20. Stephen Northcutt, Judy Novak (2002) “Network Intrusion Detection An Analyst's Handbook” // Sams Publishing, 346 pp.

21. “The netfilter iptables project,” URL: netfilter.org/projects/iptables/index.html.

22. “The snort project,” URL: snort.org.

23. “Slowloris dos mitigation guide,” URL:.funtoo.org/wiki/Slowloris DOS Mitigation Guide.

24. “Snort: snort-rules,” URL: snort.org/snort-rules/.

25. Бабенко Г.В., Белов С.В. Анализ трафика TCP/IP на основе методики допустимого порога и отклонения // Инженерный вестник Дона, 2011, №2 URL: ivdon.ru/ru/magazine/archive/n2y2011/446.

26. Георгица И.В., Гончаров С.А., Мохов В.А. Мультиагентное моделирование сетевой атаки типа DDoS // Инженерный вестник Дона, 2013, №3 URL: ivdon.ru/ru/magazine/archive/n3y2013/1852.

References

1. Moustis D., Kotzanikolaou P. Evaluating security controls against HTTP-based DDoS attacks. Fourth International Conference on Information, Intelligence, Systems and Applications (IISA), 2013 URL:http://ieeexplore.ieee.org/abstract/document/6623707/

2. C. Douligeris and A. Mitrokotsa, “DDoS attacks and defense mechanisms: classification and state-of-the-art,” Elsevier Computer Networks, vol. 44, no. 5, pp. 643-665, April 2004.

3. E. Damon, J. Dale, E. Laron, J. Mache, N. Land, and R. Weiss, “Hands-on denial of service lab exercises using slowloris and rudy,” in Proceedings of the 2012 Information Security Curriculum Development Conference, ser. InfoSecCD '12. New York, NY, USA: ACM, 2012, pp. 21-29. URL: doi.acm.org/10.1145/2390317.2390321

4. Ievgen Duravkin; Anastasiya Loktionova; Anders Carlsson Method of slow-attack detection 2014 First International Scientific-Practical Conference Problems of Infocommunications Science and Technology URL: ieeexplore.ieee.org/document/6992341/

5. Maurizio Aiello; Enrico Cambiaso; Silvia Scaglione; Gianluca Papaleo A similarity based approach for application DoS attacks detection 2013. IEEE Symposium on Computers and Communications (ISCC) URL: ieeexplore.ieee.org/document/6754984/

6. Abramov E.S., Sidorov I.D., Izvestiya YuFU. Tekhnicheskie nauki, 2009, No. 11 (100).

7. “Slowloris http dos,” URL: ha.ckers.org/slowloris, Tech. Rep.

8. Tarasov Y.V. MSTU Bauman, in proceedings of VII All-Russian Scientific and Technical Conference "Safety of information technology" (BIT - 2016).

9. Chuchueva I.A. PhD degree work. M.:2012.

10. Fogler H.R. Management science. 1974, No.8. pp. 1178 - 1189.

11. Discovering Patterns in Electricity Price Using Clustering Techniques. F. Martinez Alvarez [at al.] ICREPQ International Conference on Renewable Energies and Power Quality, Spain, Sevilla, 2007: URL:http://www.icrepq.com/icrepq07/245-martinez.pdf.

12. Haykin. Neural Networks: A Comprehensive Foundation. Prentice Hall, Upper Saddle River, New Jersey, 2nd edition, 1999, 842 pages.

13. Lee Giles, Steve Lawrence, Ah Chung Tsoi Machine Learning July 2001, Volume 44, Issue 1, pp. 161-183.

14. Fodor,I. (2002) "A survey of dimension reduction techniques". Center for Applied Scientific Computing, Lawrence Livermore National, Technical Report UCRL-ID-148494.

15. Van der Maaten, L.J.P.; Hinton, G.E. (Nov 2008). "Visualizing High-Dimensional Data Using t-SNE" (PDF). Journal of Machine Learning Research 9: 2579-2605.

16. Kohonen, T. Self-Organizing Maps. Third, extended edition. Springer, 2001.

17. Ghost, A.K., et al. “Detecting Anomalous and Unknown Intrusions Against Programs in Real-Time”. DARPA SBIR Phase I Final Report. Reliable Software Technologies.

18. Command-line packet analyzer tcpdump. URL: tcpdump.org/.

19. Robert Graham, "What's the max speed on Ethernet?" URL: blog.erratasec.com/2013/10/whats-max-speed-on-ethernet.html#.UlbwuNK8Dp8

20. Stephen Northcutt, Judy Novak (2002) “Network Intrusion Detection An Analyst's Handbook”. Sams Publishing, 346 pp.

21. “The netfilter iptables project,” URL: netfilter.org/projects/iptables/index.html.

22. “The snort project,” URL: snort.org.

23. “Slowloris dos mitigation guide,” URL: funtoo.org/wiki/Slowloris DOS Mitigation Guide.

24. “Snort: snort-rules,” URL: snort.org/snort-rules/.

25. Babenko G.V., Belov S.V. Inћenernyj vestnik Dona (Rus), 2011, №2. URL: ivdon.ru/ru/magazine/archive/n2y2011/446.

26. Georgica I.V., Goncharov S.A., Mohov V.A. Inћenernyj vestnik Dona (Rus), 2013, №3. URL: ivdon.ru/ru/magazine/archive/n3y2013/1852.

Размещено на Allbest.ru