Моделирование функционирования команд интеллектуальных агентов бот-сетей и систем защиты

Размещено на http://www.allbest.ru/

Моделирование функционирования команд интеллектуальных агентов бот-сетей и систем защиты

А.М. Коновалов (konovalov@comsec.spb.ru)

И.В. Котенко (ivkote@comsec.spb.ru)

А.В. Шоров (ashorov@comsec.spb.ru)

СПИИРАН, Санкт-Петербург

Аннотация

бот сеть интеллектуальный защита

В работе предлагается подход к исследованию бот-сетей и механизмов защиты от них, основанный на их представлении в виде команд интеллектуальных агентов и применении методов агентно-ориентированного моделирования. Рассматриваются формальная модель бот-сетей и механизмов защиты, разработанная среда моделирования и проведенные эксперименты по исследованию механизмов функционирования бот-сетей и кооперативных механизмов защиты от них.

Введение

В настоящее время наблюдается все более очевидная тенденция в использовании злоумышленниками в Интернет так называемых бот-сетей. Бот-сети позволяют использовать вычислительные мощности огромного количества скомпрометированных компьютеров в целях выполнения таких вредоносных действий, как реализация атак типа “распределенный отказ в обслуживании” (DDoS), рассылка спама, получение конфиденциальной информации. Исследование бот-сетей и механизмов защиты от них является актуальной задачей в области применения методов искусственного интеллекта и, в частности, многоагентных систем и агентно-ориентированного моделирования [Тарасов, 2002]; [Городецкий и др., 2005]. Эти методы обеспечивают адекватные средства для концептуализации и понимания процессов, происходящих в Интернет, и предоставляют возможность исследовать и создавать приложения защиты информации, разработать которые с использованием традиционных подходов практически невозможно [Котенко и др., 2006]. Данная задача является также актуальной предметной областью для отработки различных теорий командной работы агентов и методов координации действий между командами и отдельными агентами.

Настоящая работа направлена на исследовательское агентно-ориентированное моделирование бот-сетей и механизмов защиты с целью разработки эффективных методов и средств их обнаружения и противодействия бот-сетям. В работе представляется подход к исследованию бот-сетей и механизмов защиты от них, базирующийся на объединении методов моделирования на основе дискретных событий, моделирования сетевых событий и протоколов, моделирования команд агентов бот-сетей и механизмов защиты компьютерных сетей.

В отличие от предыдущих публикаций авторов, в том числе [Котенко и др., 2006], [Котенко и др., 2008], в настоящей работе акцент делается на спецификации сценариев функционирования агентов бот-сетей и команд защиты, дальнейшем развитии используемой среды агентно-ориентированного моделирования и представлении проведенных экспериментов по исследованию механизмов защиты от бот-сетей.

Работа структурирована следующим образом. В первом разделе описываются релевантные работы и особенности предлагаемого подхода. Во втором разделе рассматривается предлагаемая модель бот-сетей и механизмов защиты. В третьем разделе представляется разрабатываемая среда и параметры моделирования. В четвертом разделе кратко охарактеризованы результаты проведенных экспериментов. В заключении указываются основные результаты и направления будущих работ.

1. Релевантные работы и предлагаемый подход

Базисом для исследований, проводимых в настоящей работе, являются работы по многоагентным системам и методам командной работы агентов, основанным на комбинации теорий общих намерений и планов [Tambe, 1997], [Paruchuri et al., 2006], [Kaminka et al., 2007]. Среди проводимых в настоящее время исследований, непосредственно посвященных разработке методов выявления бот-сетей и методов противодействия, следует выделить работы по распознаванию коллективных действий бот-узлов в сети [Gu et al., 2008], определению сигнатур коммуникационного трафика, инициируемого ботами [Goebel et al., 2007], [Binkley et al., 2006], и обнаружению соответствующих типов атак, проводимых бот-сетями [Chen et al., 2005], [Mirkovic et al., 2004]. Одним из наиболее опасных классов атак, которые могут выполнять бот-сети, являются атаки типа “распределенный отказ в обслуживании” (DDoS) [Mirkovic et al., 2004]. Традиционные механизмы защиты от атак данного типа реализуются на основе последовательного выполнения процедур распознавания атаки бот-сети и противодействия атакующим действиям бот-сети.

Предлагаемые в работе модели и средства моделирования бот-сетей и механизмов защиты отличаются от известных средств агентно-ориентированного моделирования, в первую очередь, использованием в качестве базиса средств имитационного моделирования, позволяющих адекватно имитировать сетевые протоколы и процессы защиты. Предлагаемый подход основан на представлении сетевых систем в виде комплекса команд взаимодействующих агентов, которые могут быть в состоянии антагонистического противостояния, безразличия или кооперации. Агрегированное поведение системы выражается в локальных взаимодействиях агентов.

2. Модель бот-сетей и механизмов защиты

В работе проведена формализация описания различных аспектов общей модели бот-сети и механизмов защиты с использованием формальных теоретико-множественных конструкций.

Общая модель бот-сети и механизмов защиты представлена в виде кортежа Q=<N, L, S, O>, где N - узлы (хосты) вычислительной сети, L - связи между узлами вычислительной сети, S - сценарный компонент, O - компонент, описывающий наблюдателя (необходимого для оценки эффективности функционирования бот-сети и механизмов защиты).

Элементы множества N узлов вычислительной сети заданы в виде N=<T, R, P, F>, где T - множество типов оборудования, соответствующее узлу, R -- множество функциональных ролей узла вычислительной сети, P - множество компонентов программного обеспечения, используемого узлами, - функция, реализующая отображение функциональных ролей узла на компоненты программного обеспечения.

Сценарный компонент S=<S_B, S_D, S_N> включает в себя сценарии S_B функционирования бот-сети, сценарии S_D сдерживания бот-сети и противодействия атакам, а так же сценарии S_N легитимной деятельности вычислительной сети.

Каждый сценарий S_B, S_D или S_N содержит следующие элементы: цель сценария; алгоритм достижения цели; узлы, участвующие в сценарии; множество включаемых в общий сценарий подсценариев.

Процесс детализации каждого сценария можно итеративно продолжить. В этом случае каждый промежуточный сценарий, входящий в состав данного сценария, становится объектом последующей декомпозиции (например, сценарий “распространение” может состоять из сценариев “сканирование” и “инфицирование”).

Таким образом, сценарий j-го уровня (S_j) представляется в виде:

,

где S_j,n _ n-й сценарий, уровня j; T_n _ цель сценария S_j,n; H_n _ множество узлов-участников сценария S_j,n (и соответственно агенты, реализующие сценарий S_j,n); AS_n _ алгоритм достижения цели, оперирующий объектами сценария; S_j-1,k _ k-й сценарий уровня j-1.

Алгоритм достижения цели отображает цель сценария в последовательность подсценариев более низкого уровня. Этот алгоритм может оперировать объектами и сущностями, участвующими в процессе как непосредственно, так и посредством более низкоуровневых сценариев. Таким образом, отношения между сценариями различных уровней образуют древовидную структуру, что позволяет применять методы структурного анализа.

В сценарии S_B функционирования бот-сети входят следующие типы агентов: “хозяин”, “командный центр”, узлы “зомби”.

Сценарии S_D сдерживания бот-сети и противодействия атакам включают следующие классы агентов: первичной обработки информации (“сенсор”); вторичной обработки информации (“сэмплер”); обнаружения атаки (“детектор”); фильтрации (“фильтр”); “расследования”; управления нагрузкой на коммуникационные каналы (“ограничитель”).

Сценарии S_B=<S_E, S_C, S_A> функционирования бот-сети состоит из сценариев S_E распространения бот-сети, сценариев S_C управления бот-сетью и сценариев S_A реализации атак.

Сценарии S_D=<S_DE, S_DC, S_DA> содержат подсценарии S_DE противодействия распространению бот-сети, подсценарии S_DC противодействия управлению бот-сетью и подсценарии S_DA противодействия реализации атак.

Сценарии S_N легитимной деятельности сети предназначены для генерации паттернов легитимного трафика.

Для представления и оптимизации механизмов функционирования команд агентов в настоящее время авторы используют различные комбинации моделей: (1) традиционные BDI-модели (BDI _ belief-desire-intention), определяемые схемами функционирования агентов бот-сети и команд защиты; (2) методы распределенной оптимизации на основе ограничений, использующие локальные взаимодействия при поиске локального или глобального оптимума; (3) методы распределенного принятия решений на основе частично-наблюдаемых Марковских сетей, позволяющие реализовать координацию командной работы при наличии неопределенности в действиях и наблюдениях; (4) теоретико-игровые модели, использующие “рыночные (аукционные)” механизмы принятия решений.

3. Среда и параметры моделирования

В настоящее время авторы используют и продолжают разработку многоуровневой инструментальной среды имитационного моделирования сетевых процессов для приложений в области защиты информации [Котенко и др., 2006]. Среда представляет собой программный комплекс, включающий в качестве нижнего уровня систему моделирования дискретных событий, реализованный на языке низкого уровня, а так же ряд компонентов, реализующих сущности более высокого уровня.

Архитектура среды моделирования включает четыре основных компонента: базовую систему имитационного моделирования (Simulation Framework), модуль имитации сети Интернет (Internet Simulation Framework), подсистему агентно-ориентированного моделирования (Agent-based Framework), а также модуль процессов предметной области (Subject Domain Library), включающий сценарный компонент модели бот-сетей и механизмов защиты.

С использованием симулятора OMNeT++, библиотек INET Framework, ReaSE, а так же собственных программных компонент, представленная архитектура была реализована для многоагентного моделирования бот-сетей, атак “распределенный отказ в обслуживании” (DDoS) и механизмов защиты от воздействия бот-сети в виде модели противоборства команд интеллектуальных агентов.

Для проведения экспериментов производилось моделирование сетей, состоящих из 5-10 автономных систем (АС). В каждой автономной системе присутствует примерно 300 конечных узлов. Оборудование узлов представлено типами “маршрутизатор” и “хост”. Оборудование типа “хост” представлено следующим множеством функциональных ролей: веб-сервер, веб-клиент, почтовый сервер, сервер мультимедийного контента, сервер “командный центр”, “уязвимый сервис”, “хозяин”, IP-фильтр.

Для команды атаки в проведенных экспериментах определялся один узел “хозяин”, один или несколько узлов “командный центр” и множество узлов с уязвимым программным обеспечением, которые потенциально могут превратиться в “зомби”-машины. Одним из примеров реализованных сценариев атаки бот-сети является атака вида UDP Flood, проводимая по отношению к некоторому узлу (подсети), IP-адрес которого (которой) указан в составе команды начала атаки.

В работе реализовано несколько сценариев сдерживания бот-сети и противодействия атакам, направленных на защиту от атак DDoS: без кооперации команд агентов [Kotenko et al., 2008]; с кооперацией команд агентов типа DefCOM [Mirkovic et al., 2005]; с кооперацией команд агентов типа COSSACK [Papadopoulos et al., 2003] и с полной кооперацией команд агентов [Kotenko et al., 2008].

В сценарии защиты без кооперации используется только одна команда защиты. В этом случае команда может использовать следующие общие классы агентов: “сенсор”, “сэмплер”, “детектор”, “фильтр”, “расследования” и “ограничитель”. В остальных сценариях защиты используется несколько взаимодействующих команд агентов, которые защищают различные сегменты компьютерной сети и различные способы взаимодействия. Например, сценарий полной кооперации определяется следующими классами агентов защиты: “сенсор”, “сэмплер”, “детектор”, “фильтр” и “агент расследования”. При данном сценарии агенты защиты атакуемой подсети могут свободно получать информацию от агентов защиты из других подсетей (других команд защиты) и управлять механизмами фильтрации на узлах других подсетей.

4. Эксперименты

Размещено на http://www.allbest.ru/

Оценка результатов сценариев реализации атак и сценариев защиты проводилась по следующим двум классам параметров: количество входящих пакетов, принадлежащих атакующему трафику, до и после фильтрации, выполняемой командами, защищающими атакуемую сеть (узел); количество ошибок первого и второго рода (оценки false positive (FP) и false negative (FN)), характеризующих обнаружение атак, реализуемых командами агентов защиты.

Результаты процесса фильтрации оценивались по величинам оценок false positive (FP) и false negative (FN). Например, значения ошибок первого и второго рода для одного из экспериментов, в котором исследовался сценарий защиты без кооперации, были следующими: FN=0.09, FP=0.002.

На Рис.1 показан уровень трафика атаки внутри атакуемой подсети в случае применения сценариев сдерживания бот-сети и противодействия атакам посредством схемы без кооперации (используется только одна команда агентов, уровень трафика обозначен ромбами), использования схем кооперации COSSACK (уровень трафика обозначен треугольниками), DefCOM (уровень трафика обозначен кружками), и схемы полной кооперации (уровень трафика обозначен квадратами).

Реализованные эксперименты показали, что схема полной кооперации агентов демонстрирует лучшие результаты. Следующий по эффективности метод DefCOM. Далее следуют метод защиты без кооперации и метод COSSACK.

Заключение

В настоящей работе предложен подход к исследовательскому моделированию бот-сетей и механизмов защиты от них в сети Интернет на основе агентно-ориентированного моделирования.

Основным результатом настоящей работы является формальная модель бот-сетей и механизмов защиты, архитектура разрабатываемой среды моделирования, предназначенной для анализа бот-сетей, и ее программная реализация в виде инструмента исследователя, позволяющего осуществлять построение моделей бот-сетей и механизмов защиты от них, и проводить их последующий анализ. Проведенные эксперименты показали применимость предложенного подхода для моделирования бот-сетей и механизмов защиты.

Дальнейшая работа посвящена детальному формальному описанию бот-сетей и механизмов защиты, анализу эффективности функционирования различных команд атаки и защиты, исследованию различных типов внутрикомандного взаимодействия и оптимизации функционирования агентов, разработке и исследованию новых способов защиты, расширению библиотеки агентов атаки и защиты.

Благодарности. Работа выполнена при финансовой поддержке РФФИ (проект № 10-01-00826) и программы фундаментальных исследований ОНИТ РАН (проект № 3.2), а также при частичной финансовой поддержке, осуществляемой в рамках проектов Евросоюза SecFutur, Massif и других проектов.

Список литературы

[Городецкий и др., 2005] Городецкий В., Котенко И.. Концептуальные основы стохастического моделирования в среде Интернет // Труды института системного анализа РАН, том 9. - М.: УРСС, 2005.

[Котенко и др., 2006] Котенко И.В., Уланов А.В. Агентно-ориентированное моделирование поведения сложных систем в среде Интернет // КИИ-2006. X Национальная конференция по искусственному интеллекту с международным участием. Труды конференции. Том 2. - М.: Физматлит, 2006.

[Котенко и др., 2008] Котенко И.В., Уланов А.В. Моделирование адаптации противоборствующих команд интеллектуальных агентов // КИИ-2008. XI Национальная конференция по искусственному интеллекту с международным участием. Труды конференции. Том 1. - М.: URSS, 2008.

[Тарасов, 2002] Тарасов В.Б. От многоагентных систем к интеллектуальным организациям: философия, психология, информатика. - М.: УРСС, 2002.

[Binkley et al., 2006] Binkley J., Singh S. An algorithm for anomaly-based botnet detection // The 2nd conference on Steps to Reducing Unwanted Traffic on the Internet (SRUTI'06), San Jose, CA, 2006.

[Chen et al., 2005] Chen S., Song Q. Perimeter-Based Defense against High Bandwidth DDoS Attacks // IEEE Transactions on Parallel and Distributed System, 2005. Vol.16, No.7.

[Goebel et al., 2007] Goebel J., Holz T. Rishi: Identify bot contaminated hosts by IRC nickname evaluation // First Workshop on Hot Topics in Understanding Botnets (HotBots'07), Cambridge, MA, 2007.

[Gu et al., 2008] Gu G., Perdisci R., Zhang J., Lee W. BotMiner: Clustering analysis of network traffic for protocol- and structure-independent botnet detection // The 17th USENIX Security Symposium (Security'08), San Jose, CA, 2008.

[Kaminka et al., 2007] Kaminka G.A., Yakir A., Erusalimchik D., Cohen N. Towards Collaborative Task and Team Maintenance // Proceedings of AAMAS-07. 2007.

[Kotenko et al., 2008] Kotenko I., Ulanov A. Packet Level Simulation of Cooperative Distributed Defense against Internet Attacks // 16th Euromicro International Conference on Parallel, Distributed and network-based Processing (PDP 2008). Toulouse, France. IEEE Computer Society. 2008.

[Mirkovic et al., 2004] Mirkovic J., Dietrich S., Dittrich D., Reiher P. Internet Denial of Service: Attack and Defense Mechanisms. Prentice Hall PTR, 2004.

[Mirkovic et al., 2005] Mirkovic J., Robinson M., Reiher P., Oikonomou G. Distributed Defense Against DDOS Attacks // University of Delaware CIS Department Technical Report CIS-TR-2005-02, 2005.

[Papadopoulos et al., 2003] Papadopoulos C., Lindell R., Mehringer I., Hussain A., Govindan R. Cossack: Coordinated suppression of simultaneous attacks // DISCEX III, 2003.

[Paruchuri et al., 2006] Paruchuri P., Bowring E., Nair R., Pearce J.P., Schurr N., Tambe M., Varakantham P. Mutiagent Teamwork: Hybrid Approaches // Computer society of India Communications, 2006.

[Tambe, 1997] Tambe M. Towards flexible teamwork // Journal of AI Research. 1997. Vol.7.

Размещено на Allbest.ru