Оценка мощности атак типа "отказ в обслуживании" с использованием нечеткой логики
Разработка модели оценки уровня мощности DDoS-атак на основе применения нечеткой логики. Анализ характеристик распределенных DDoS-атак. Методика оценки мощности атак типа "отказ в обслуживании" на основе параметров: объем, скорость, продолжительность.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | статья |
| Язык | русский |
| Дата добавления | 17.10.2024 |
| Размер файла | 2,1 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.Allbest.Ru/
Российский экономический университет имени Г.В. Плеханова
Оценка мощности атак типа «отказ в обслуживании» с использованием нечеткой логики
Белоусова А.С., магистр
г. Москва, Россия
Аннотация
В статье была разработана модель оценки уровня мощности DDoS-атак на основе применения нечеткой логики. Проведен анализ количественных и качественных характеристик распределенных DoS-атак. Предлагается методика оценки мощности атак типа «отказ в обслуживании» на основе трех входных параметров - объем, скорость и продолжительность и базе нечетких правил. Смоделированы трехмерные поверхности нечеткого вывода, отображающие зависимость входных лингвистических переменных на выходную.
Ключевые слова: информационная безопасность, информационные технологии, отказ в обслуживании, DDoS-атака, нечеткая логика.
Annotation
Evaluation of the magnitude of distributed denial of service attacks using fuzzy logic
Belousova A.S., master's student Plekhanov Russian University of Economics (Moscow, Russia)
A model for assessing the magnitude level of DDoS attacks based on the use of fuzzy logic was developed in the article. An analysis of the quantitative and qualitative characteristics of distributed DoS attacks has been carried out. A technique for evaluating the magnitude of denial-of-service attacks is proposed based on three input parameters - volume, speed and duration, and is based on fuzzy rules. Three-dimensional surfaces of fuzzy inference are modeled, displaying the dependence of input linguistic variables on the output.
Keywords: information security, information technology, denial of service, DDoS attack, fuzzy logic.
Распределенные атаки типа «отказ в обслуживании» или DDoS-атаки -- это тип кибератак, при которых злоумышленники пытаются перегрузить целевую систему или сеть, создавая огромное количество трафика или запросов. Целью таких атак является временный или длительный отказ в обслуживании для легитимных пользователей. DDoS-атаки представляют серьезную угрозу для организаций и веб-ресурсов, поскольку они могут привести к временной или постоянной недоступности информационных ресурсов, потере данных, снижению производительности и репутационным проблемам. Согласно аналитическому отчету ASERT Team за март 2023 года количество распределенных DoS-атака, направленных на Россию, увеличилось примерно на 230% [1] по сравнению с предыдущими месяцами. Кроме того, в полугодовом отчете IT-компании Netscout об угрозах DDoS-атак представлена статистика по российским секторам, которые наиболее серьезно пострадали во второй половине 2022 года от распределенных атак типа «отказ в обслуживании», основными целями злоумышленников являлись сфера телекоммуникаций, операторы беспроводной и проводной связи, а также центры обработки данных [2].
Существуют несколько методов оценки атак типа «отказ в обслуживании», так как их характеристики и последствия, к которым они могут приводить, сильно варьироваться в зависимости от множества факторов, однако эксперты в области информационной безопасности выделяют три ключевые характеристики для измерения DDoS-атак -- это мощность, частота и их длительность. Мощность распределенных атак типа «отказ в обслуживании» отражает объем трафика или запросов, генерируемых атакующими и направляемых на целевую систему или сеть. Мощность атаки является одним из основных факторов, определяющих ее разрушительность, чем она больше, тем выше вероятность перегрузки и отказа в обслуживании. По данным экспертов информационной безопасности StormWall в начале 2023 года мощность распределенных атак типа «отказ в обслуживании» против объектов Российской Федерации выросла на 17% по сравнению с прошлым годом [3].
Мощность атак типа «отказ в обслуживании» определяется на основании трех параметров: объем; скорость; продолжительность [4]. Объем DDoS-атак измеряется в битах в секунду (bits per seconds, BPS). C 2019 и по 2023 гг. объем данного типа атак составил в среднем от 100 мегабит (Mbps) до 1 гигабита (Gbps) в секунду [5]. Скорость атаки обычно измеряется в пакетах в секунду (packets per second, PPS). Эта метрика указывает на количество пакетов, генерируемых злоумышленниками и направляемых на целевой ресурс в единицу времени. По оценкам аналитиков Cloudflare, большинство DDoS-атак сетевого уровня в 2022 году составляли ниже 50 000 пакетов в секунду, средний мировой показатель находился в диапазоне от 10 000 до 50 000 пакетов в секунду [6]. Продолжительность DDoS-атак измеряется в минутах, 46% от общего числа распределенных атак типа «отказ в обслуживании» в первом квартале 2023 года длились от 5 до 15 минут [7]. Данные характеристики мощности атак типа «отказ в обслуживании» часто выражают через различные качественные показатели, например, если говорят про длительность атаки, то обычно выделяют «короткие» и «длинные», вопрос «насколько массовая была DDoS-атака?» обычно относится именно к объему атаки, его различают на «слабые» и «сильные». Перечисленные словесные формулировки зависят от экспертной оценки и носят в большей степени субъективный характер, поэтому применение нечеткой логики в качестве математического аппарата целесообразно в случае оценки мощности атак типа «отказ в обслуживании».
Для создания модели оценки уровней мощности распределенных DoS- атак необходимо разработать экспертную систему, которая была бы реализована в виде системы нечеткого вывода и позволяла определять мощность на основе трех ключевых параметров, рассмотренных нами ранее. Проектирование и моделирование системы на основе нечеткой логики будет проводиться посредством пакета расширений Fuzzy Logic Toolbox в математическом программном обеспечении MATLAB. В качестве входных данных будут использованы три лингвистические переменные, представленные в таблице 1.
Выходной переменной будет являться уровень мощности распределенной атаки типа «отказ в обслуживании», обозначим ее за Y, терм-множество данной лингвистической переменной: T(Y) = {«Незначительный», «Средний», «Высокий»}.
Таблица 1
Входные лингвистические переменные
|
№ |
Обозначение |
Название переменной |
Терм-множество |
|
|
1 |
*1 |
Объем |
Тг = {«Низкий», «Средний», «Большой»} |
|
|
2 |
*2 |
Скорость |
Т2 = {«Низкая», «Средняя», «Выше среднего», «Высокая»} |
|
|
3 |
*3 |
Продолжительность |
Т3 = {«Короткая», «Средняя», «Длинная»} |
После определения входных и выходных переменных необходимо сформировать базу правил нечеткого вывода, данная база будет составлена из нечетких высказываний, содержащих формулировку «если то», а также функций принадлежности для лингвистических терминов [8]. Всего было сформулировано 36 правил, фрагмент нечеткой базы знаний представлен на рисунке 1.
Рис. 1. Правила нечеткого вывода
Функции принадлежности задаются различными типовыми формам кривых, но наибольшее распространение получили три следующие - это треугольная, трапецеидальная и гауссова. Для графического представления функций принадлежности входной переменной «Объем» будет использоваться трапецеидальная форма. Параметры лингвистического терма «низкий» - [0 0 80 150], терма «средний» - [100 200 600 700], терма «высокий» - [650 800 1000 1000]. Универсальным множеством будут являться значения от 0 до 1000, что соответствуют объему от 0 мегабит до 1 гигабита в секунду.
Для графического представления функций принадлежности входной переменной «Скорость» используются как трапецеидальный, так и треугольные формы. Параметры лингвистического терма «Низкая» - [0 0 25 50], терма «Средняя» - [45 180 300], терма «Выше среднего» - [250 500 750], терма «Высокая» - [700 800 1000 1000]. Универсальным множеством будут являться значения от 0 до 1000, что соответствуют скорости от 0 до 1000 килопакетов в секунду. На рисунке 2 представлены параметры входных лингвистических переменных «Скорость» и «Объем».
Рис. 2. Параметры входных переменных «Скорость» и «Объем»
ddos атака нечеткий логика отказ обслуживание
Для входной переменной «Продолжительность» функции принадлежности будут трапецеидальными и треугольными. Параметры лингвистического терма «Короткая» - [0 0 7 15], терма «Средняя» - [10 20 30], терма «Длинная» - [25 45 60 60]. Универсальным множеством будут являться значения от 0 до 60, что соответствуют количеству минут. На рисунке 3 представлены параметры входной лингвистической переменной «Продолжительность».
Рис. 3. Параметры входной переменной «Продолжительность»
Для выходной переменной «Уровень мощности» функции принадлежности также будут являться трапецеидальными и треугольными. Параметры лингвистического терма «Незначительный» - [00 20 30], терма «Средний» - [25 40 55], терма «Высокий» - [50 60 70], терма «Критический» - [65 80]. На рисунке 4 представлены параметры лингвистической переменной «Уровень мощности».
Рис. 4. Параметры выходной переменной «Уровень мощности»
В качестве примера для оценки уровня мощности рассмотрим DDoS- атаку, для которой соответствуют следующие входные данные: объем составил 750 Мбит/с, скорость атаки равна 900 килопакетов/с, продолжительность - 15 минут. Вводим полученные значения в графическое окно нечеткого вывода в Fuzzy Logic Designer. Согласно введенным нами значениям, уровень мощности атаки типа «отказ в обслуживании» будет равняться 84.6 (критический уровень мощности), что соответствует правилу №35 «Если объём - большой и скорость - высокая и продолжительность - средняя, тогда уровень мощности - критический». На рисунке 5 представлен фрагмент результатов вычислений нечеткого вывода для оценки мощности.
Рис. 5. Окно вывода графического представления правил нечеткого вывода
Взаимосвязь между входными параметрами «Объем», «Скорость» и выходным параметром «Уровень мощности», а также входными параметрами «Продолжительность», «Скорость» и выходным параметром «Уровень мощности» представлена на рисунке 6.
Разработанная модель с использованием нечеткого вывода позволяет оценить уровень мощности DDoS-атак на базе программного обеспечения MATLAB, что может быть использовано для планирования и защита инфраструктуры, так как определение уровня мощности помогает организациям заранее принимать соответствующие решения для защиты своих информационных ресурсов. Зная, насколько мощные могут быть атаки, компании могут разработать и внедрить адекватные организационные и технические меры по обеспечению информационной безопасности для минимизации потенциального ущерба. Кроме того, определение уровня мощности распределенных атак типа «отказ в обслуживании» может помочь создать систему предупреждения и реагирования на такие атаки. Мониторинг и анализ показателей мощности позволяет рано обнаружить атаку и быстро принять меры для снижения ее воздействия.
Рис. 6. Поверхности зависимостей выходной переменной «Уровень мощности» от входных
Список литературы
1. DDoS Threat Landscape - Russia // Netscout [Электронный ресурс].
2. Netscout DDoS threat intelligence report: Findings from 2nd half 2022, Russian Federation // Netscout [Электронный ресурс].
3. Кильдюшкин Р. Эксперты зафиксировали рост мощности DDoS-атак в России // Интернет-издание Газета.ру [Электронный ресурс].
4. The Imperva Global DDoS Threat Landscape Report 2023 [Электронный
ресурс] // Imperva [Электронный ресурс].
5. Netscout DDoS threat intelligence report: Findings from 2nd half 2022: Global Highlights // Netscout [Электронный ресурс].
6. Yoachimik O. DDoS attack trends for 2022 Q2 // Cloudflare [Электронный ресурс].
7. The 2023 DDOS threat landscape report // Arelion [Электронный ресурс].
8. Штовба С.Д. Проектирование нечетких систем средствами MATLAB / С.Д. Штовба. - М.: Горячая линия - Телеком, 2007. - 288 c.
Размещено на Allbest.Ru
...Подобные документы
DDoS атаки. Спасение от DDoS атак. Предотвращение DDoS атак. Аппаратная защита программного обеспечения, компьютера и информации, сети. Хакинг, как сфера исследования. Типы хакеров. Методы хакинга. Защита от программ Microsoft. CMOS SETUP.
курсовая работа [39,5 K], добавлен 06.02.2007Модели нарушителей глобальной информационной системы Интернет. Классификация угроз в соответствии с IT-Baseline Protection Manual. Реализация DoS/DDos атак. Программная реализация Snort: установка, препроцессоры и структура модулей обнаружения и вывода.
дипломная работа [509,5 K], добавлен 05.06.2011Алгоритмы работы протокола STP. Статусы портов в протоколе SpanningTree. Виды, описание протоколов, агрегация каналов. Схемы возможных атак, способы обнаружения. Слияние-расхождение деревьев, локализованный отказ в обслуживании, спровоцированный сниффинг.
курсовая работа [86,8 K], добавлен 07.04.2015Удобство и возможности системы предотвращения атак Snort, типы подключаемых модулей: препроцессоры, модули обнаружения, модули вывода. Методы обнаружения атак и цепи правил системы Snort. Ключевые понятия, принцип работы и встроенные действия iptables.
контрольная работа [513,3 K], добавлен 17.01.2015Классификации атак на отказ, их характеристики: тип, направление, схема и способ. Отраженные распределенные атаки на отказ. Назначение и проведение непрямой компьютерной атаки, функции IRC-ботнетов. Виды прямых атак (HTTP Flood, SYN Flood и прочие).
реферат [122,2 K], добавлен 22.01.2014Обобщенная модель процесса обнаружения атак. Обоснование и выбор контролируемых параметров и программного обеспечения для разработки системы обнаружения атак. Основные угрозы и уязвимые места. Использование системы обнаружения атак в коммутируемых сетях.
дипломная работа [7,7 M], добавлен 21.06.2011Классификация сетевых атак по уровню модели OSI, по типу, по местоположению злоумышленника и атакуемого объекта. Проблема безопасности IP-сетей. Угрозы и уязвимости беспроводных сетей. Классификация систем обнаружения атак IDS. Концепция XSpider.
курсовая работа [508,3 K], добавлен 04.11.2014Компьютерные атаки и технологии их обнаружения. Сетевые системы нахождения атак и межсетевые экраны. Программные средства анализа защищенности и отражения угроз. Внедрение программных средств выявления атак для информационной системы предприятия.
курсовая работа [53,6 K], добавлен 16.03.2015Методы противодействия сетевым атакам. Алгоритм действия на сетевом уровне. Методы осуществления парольных атак. Атаки типа Man-in-the-Middle. Сетевая разведка, несанкционированный доступ. Переадресация портов. Вирусы и приложения типа "троянский конь".
курсовая работа [110,1 K], добавлен 20.04.2015Изучение методов разработки систем управления на основе аппарата нечеткой логики и нейронных сетей. Емкость с двумя клапанами с целью установки заданного уровня жидкости и построение нескольких типов регуляторов. Проведение сравнительного анализа.
курсовая работа [322,5 K], добавлен 14.03.2009Способы применения технологий нейронных сетей в системах обнаружения вторжений. Экспертные системы обнаружения сетевых атак. Искусственные сети, генетические алгоритмы. Преимущества и недостатки систем обнаружения вторжений на основе нейронных сетей.
контрольная работа [135,5 K], добавлен 30.11.2015Исследование наиболее распространенных видов сетевых атак. Сетевая разведка. Характеристика способов защиты от сетевых атак с использованием специальных программ. Изучение преимуществ и недостатков сетевых экранов. Переполнение буфера. Вирусные программы.
реферат [329,2 K], добавлен 23.12.2014Проблема безопасности операционных систем. Функции подсистемы безопасности. Идентификация пользователей, программные угрозы (атаки). Типы сетевых атак. Жизненный цикл разработки безопасных программных продуктов. Оценка атак на программное обеспечение.
презентация [1,4 M], добавлен 24.01.2014Покращення захисту інформаційно-комунікаційних безпек з точки зору вимоги доступності. Класифікація DoS-атак, розробка моделі методики виявлення DoS-атаки та реалізація відповідного програмного засобу. Захист критичних ресурсів корпоративної мережі.
дипломная работа [932,6 K], добавлен 02.09.2016Обзор известных методов обеспечения безопасности Web-транзакций. Протокол SSL/TLS как эффективный метод обеспечения их защищенности. Анализ и моделирование существующих атак на протокол SSL/TLS. Особенности защиты сети "клиент-сервер" от такого рода атак.
дипломная работа [2,6 M], добавлен 05.06.2011Концепция адаптивного управления безопасностью. Средства анализа защищенности сетевых протоколов и сервисов. Компоненты и архитектура IDS. Классификация систем обнаружения атак. Поиск уязвимостей в современных системах IDS. Методы реагирования на атаки.
курсовая работа [488,5 K], добавлен 13.12.2011Описание и предназначение протокола DNS. Использование файла host. Особенности и описание способов атак на DNS: ложный DNS-сервер, простой DNS-флуд, фишинг, атака посредством отраженных DNS-запросов. Защита и противодействие атакам на протокол DNS.
реферат [324,3 K], добавлен 15.12.2014Методы обнаружения атак на сетевом и системном уровнях. Административные методы защиты от различных видов удаленных атак. Уведомления о взломе. Ответные действия после вторжения. Рекомендации по сохранению информации и контроль над ней в сети Internet.
курсовая работа [36,0 K], добавлен 21.01.2011Способи здійснення атак на відмову та пароль. Захист інформації від несанкціонованого доступу та від її витоку в комп'ютерних системах. Використання міжмережевих екранів, системи виявлення вторгнень, засобів аналізу захищеності в комунікаційних системах.
презентация [300,2 K], добавлен 14.08.2013Описание информационных технологий и модель угроз. Средства защиты периметра сети, межсетевые экраны. Системы обнаружения вторжений, их классификация по уровням информационной системы. Подходы к автоматическому отражению атак и предотвращению вторжений.
дипломная работа [2,0 M], добавлен 05.06.2011
