IDENTIFICATION OF DOS ATTACKS BY ANALYSIS OF SOME STATISTICAL CHARACTERISTICS OF TRAFFIC


Cite item

Full Text

Abstract

Currently, the number of attacks carried out every day around the world is constantly increasing. Moreover, cybercriminals use new, previously unknown methods along with old methods and tools. It’s getting harder and harder to spot them. This article discusses the problem of identifying an anomalous component in traffic caused by the activities of intruders or network failures. For this, a denial-of-service attack is simulated and the corresponding traffic is captured for further analysis. The statistical characteristics of traffic corresponding to the normal state of the system and the state of an active attack are compared. Based on the results of the analysis, it is concluded that there are statistical dependencies in certain parameters of network traffic, which make it possible to conclude that an anomalous component has been detected.

Full Text

Введение В повседневной жизни мы практически посто- янно взаимодействуем с различными информа- ционными потоками. Различные информацион- ные системы банков, государственных и частных предприятий, образовательных учреждений, транспорта для качественного и своевременно- го предоставления услуг хранят и обрабатыва- ют очень большие объемы информации. Данные проходят через десятки и сотни разнородных се- тей различного уровня, и чем длиннее этот путь, тем сложнее контролировать, как и куда пере- дается информация. При передаче информации могут возникать различные нештатные ситуации, например, выход сетевого оборудования из строя или хакерские атаки. Эти ситуации могут приве- сти к значительным потерям для организаций. Для противодействия злоумышленникам соз- даются сложные многоуровневые системы за- щиты информации. В состав этих систем входят различные средства защиты информации: анти- вирусы, межсетевые экраны, системы обнару- жения и предотвращения вторжений, системы предотвращения утечек данных (DLP-системы), криптографические средства защиты, виртуаль- ные частные сети и т. д. Защита от атак Для обеспечения корректной работы всех свя- занных систем хранения, обработки и передачи данных должны соблюдаться три ключевых свой- ства информации: конфиденциальность, целост- ность и доступность. Нарушение хотя бы одного из этих свойств уже может привести к сбоям в работе системы. В процессе эксплуатации информационной системы необходимо обеспечивать ее работоспо- собность, то есть диагностировать работу сети и подключенных к ней серверов, рабочих стан- ций и иных устройств, а также защищать ресур- сы сети от реализации угроз безопасности. Для достижения своих целей злоумышленники ис- пользуют богатый набор средств, включающий различные программные и аппаратные средства, методы социальной инженерии. Инструменты злоумышленников постоянно совершенствуются и модернизируются, появляются новые средства и методы проведения атак. Это создает дополни- тельное требование к средствам зашиты информационных систем - они должны эффективно выявлять как существующие, так и ранее неиз- вестные виды атак. Подходящие под это требование средства защиты информации используют общий под- ход - выявление отклонений от «нормального» состояния информационных ресурсов сети, или аномалий. Эти аномалии могут быть вызваны сбоями в работе аппаратного и программного обеспечения, а также хакерскими атаками. Системы обнаружения вторжений Системы обнаружения вторжений (СОВ) - это множество аппаратных и программных средств, позволяющих собирать информацию из различ- ных точек защищаемой компьютерной сети и анализировать эту информацию для выявления попыток нарушения режима информационной безопасности. Существует несколько классификаций СОВ. Одна из них представлена на рисунке 1, в кото- рой деление происходит по функциональным и нефункциональным признакам. Кроме того, по механизму анализа параметров трафика СОВ делятся на два типа - обнаруже- ние аномалий и обнаружение злоупотреблений (сигнатур злонамеренных действий). Преиму- ществом метода обнаружения аномалий по срав- нению с обнаружением сигнатур является воз- можность обнаруживать ранее не встречавшиеся атаки. При использовании данного механизма анализа создается образ нормального состояния системы, с которым в дальнейшем будут анали- зироваться и сравниваться все действия в систе- ме. Признаком атаки может являться отклонение текущих показателей от показателей образа на определенное значение. Также могут использо- ваться и другие методы оценки [2]: статистические методы; интеллектуальный анализ данных; методы искусственного интеллекта; вейвлет-анализ; визуальный анализ данных. Достаточно подробно методы обнаружения атак описаны в [3]. Статистический анализ трафика Статистические методы анализа являются наиболее востребованными при обнаружении Рисунок 1. Классификация СОВ вторжений, так как позволяют достаточно гибко подходить к этому процессу. В различных муль- тисервисных сетях применяется мониторинг трафика с целью предотвращения возникающих в процессе эксплуатации сбоев и поддержания доступности информационной системы на требу- емом уровне. Анализ сетевого трафика позволяет охаракте- ризовать известные конструктивные особенности сети, выявить неизвестные и внести изменения в ее структуру на основании полученных результа- тов. Результат анализа сетевого трафика может предоставить основания для изменения суще- ствующих бизнес-процессов [4]. Для захвата и анализа трафика применяются специальные ути- литы, снифферы (traceroute, iperf, tcpdump, Wire- shark, Snort) и специальные протоколы (SNMP, NetFlow, sFlow). Так как процесс передачи пакетов в сети по сути представляет собой поток событий, для ис- следования трафика можно применять стандарт- ные методы математической статистики. При этом интенсивность поступления пакетов в сети может быть представлена как случайный про- цесс. Данные, полученные в результате серии экспериментов, как раз и являются объектом ис- следования в прикладной статистике. Кроме того, при исследовании трафика может использоваться корреляционный анализ - стати- стический метод изучения взаимосвязи между двумя и более случайными величинами. При анализе сетевого трафика в качестве случайных величин выступают различные параметры по- следовательности пакетов либо характеристики сетевых устройств. Охарактеризовать эти случайные величины позволяет, например, корреляционный анализ. Между случайными переменными может суще- ствовать неявная взаимосвязь, то есть изменение закона распределения одной переменной также повлечет за собой изменение закона распределе- ния другой. Сила и направление такой зависимо- сти определяются коэффициентом корреляции, который может иметь любое значение из интер- вала [-1,0; 1,0]. Нулевое значение указывает на отсутствие корреляции, значение, близкое к еди- нице на сильную взаимосвязь. Знак коэффициента определяет направление связи. Корреляционный анализ позволяет устано- вить лишь наличие статистической взаимосвя- зи, но это не позволяет делать вывод о наличии реальной причинно-следственной связи двух случайных величин. Кроме расчета коэффици- ентов корреляции необходимо также выполнять проверку их значимости, в основе которой лежит принцип проверки статистических гипотез. В случае, когда исследуемым объектом явля- ется сетевой трафик, возникает два следующих возможных варианта. Трафик характерен для нормального состо- яния системы. Трафик не характерен для нормального со- стояния системы. Рассмотрение таких задач в математической постановке приводит к понятию статистической гипотезы. С точки зрения статистики обнаруже- ние изменений опирается на тестовые гипотезы H0 - утверждающей, что изменений нет, и H1 - что изменения есть. Разработка таких гипотез требует априорного знания распределения веро- ятностей изменений. Если такого знания нет, необходимо прибегать к оценке распределения, то есть наиболее подходящему значению по резуль- татам серии наблюдений. Рисунок 2. Структура сети исследования Статистический критерий - это правило, по которому принимается решение о принятии ис- тинной и отклонении ложной гипотезы с наибо- лее высокой вероятностью. Критерии делятся на параметрические и непараметрические [5]. Для оценки эффективности применения статистиче- ских критериев вводится понятие ошибок перво- го и второго рода. В контексте систем информа- ционной безопасности они представляются как следующие ситуации: легальные пользователи классифицируются как злоумышленники (ошибка первого рода); злоумышленники классифицируются как ле- гальные пользователи (ошибка второго рода). Для оценки эффективности алгоритмов клас- сификации (то есть отнесение текущего сетевого трафика к нормальному или аномальному) часто применяются ROC-кривые [6]. ROC-кривая (кри- вая ошибок) - это график, отражающий соотно- шение между долей верных срабатываний (чув- ствительностью) и долей ложных срабатываний системы (специфичностью). Все эти понятия в большей или меньшей сте- пени применяются при статистическом анализе трафика. Моделирование DoS-атаки Моделирование проводилось в домашней сети, состоящей из двух узлов и маршрутизато- ра. Один узел является реальной машиной, а вто- рой - виртуальной машиной (ВМ), расположен- ной на том же компьютере (см. рисунок 2). На ВМ будут имитироваться действия злоумышленника, направленные на сетевой маршрутизатор с целью блокировки доступа во внешнюю сеть. В работе исследовалась интенсивность сете- вого трафика, характерного для нормальной ак- тивности (просмотр веб-страниц и потокового видео), а также проводилось его сравнение с тра- фиком, соответствующим состоянию активной DoS-атаки (SYN-, RST-, FIN- и ICMP-flood). Для моделирования DoS-атак использовалась консольная утилита hping3. Она позволяет гене- рировать пакеты ICMP/UDP/TCP, посылать их и анализировать полученные ответы. Утилита Hping3 входит в состав дистрибутива Kali Linux и является одним из стандартных инструментов для проверки безопасности сети. Соответствующие команды запуска представ- лены в работе [7; 8]. Для захвата трафика была использована программа Wireshark. Для опре- деления математического ожидания, среднеква- дратического отклонения (СКО), коэффициентов корреляции была написана программа на языке Java, которая также позволяет строить графики по полученным значениям. Для исследования была выбрана характеристика сетевого трафика, описывающая длительность между моментами поступления пакетов τ [9; 10]. Захват трафика для сценариев нормального поведения системы не предполагает каких-то особенных действий и выполняется в программе Wireshark на используемом по умолчанию сете- вом интерфейсе компьютера. Для захвата тра- фика в сценариях, относящихся к аномальному поведению системы, будет проведено моделиро- вание DoS-атак различных видов [11]: Рисунок 3. Интенсивность поступления пакетов при атаке SYN-flood Рисунок 4. Интенсивность поступления пакетов при атаке ICMP-flood SYN-flood - суть данной атаки заключается в отправке большого количества SYN-запросов (запросов на подключение по протоколу TCP) в короткий срок; RST-flood - в случае данной атаки, зло- умышленник посылает большое количество TCP-пакетов с установленным флагом RST (reset). Сервер вынужден выделять значитель- ное количество системных ресурсов для сопо- ставления входящих пакетов с текущими от- крытыми соединениями, что приводит к потере производительности сервера и к его частичной недоступности; FIN-flood - атака данного типа эксплуати- рует ту же особенность обработки TCP-пакетов сетевыми устройствами, что и RST-flood, но зло- умышленник устанавливает в пакетах флаг FIN (finish); ICMP-flood - суть данной атаки состоит в том, что злоумышленник отправляет большое ко- личество небольших по объему ICMP-пакетов. На рисунках 3 и 4 представлены графики интенсивности поступления пакетов (при про- ведении атак типа SYN-flood и ICMP-flood соот- ветственно), на которых можно четко выделить момент начала атаки. Так как в этот момент про- исходит резкое изменение интенсивности по- ступления пакетов, можно считать, что система сразу переходит в аномальное состояние и рас- смотрение промежуточного(переходного) состо- яния невозможно. При анализе математического ожидания и СКО последовательности τ для нормальной и аномальной активности в сети было выявле- но, что при наличии атаки оба этих показателя уменьшаются более чем в сто раз, что является Рисунок 5. Коэффициенты корреляции при атаке SYN-flood Рисунок 6. Коэффициенты корреляции при атаке RST-flood Рисунок 7. Коэффициенты корреляции при атаке FIN-flood Рисунок 8. Коэффициенты корреляции при атаке ICMP-flood вполне характерным для данного вида вторже- ния. На рисунках 5-8 представлены значения коэффициентов корреляции τ, рассчитанные при разных сценариях: белым цветом выделены зна- чения, соответствующие нормальному трафику, серым - смеси нормального трафика и трафика атаки и черным - трафику, в котором присутству- ют лишь пакеты DoS-атаки. По графикам видно, что коэффициенты кор- реляции меняют свое значение для трафика, ко- торый является смесью нормального трафика и трафика атаки (серые столбцы), что говорит об изменении характера наблюдаемой последова- тельности. Следует заметить, что коэффициен- ты корреляции трафика, в котором присутству- ют только пакеты DoS-атаки (черные столбцы), значительно отличаются от показателей трафика нормальной активности. Заключение Рассмотренные статистические характеристи- ки исследуемого трафика при проведении DoS- атаки значительно отличаются от тех же показа- телей трафика с нормальной активностью, что является поводом для дальнейшего более деталь- ного анализа изучаемых последовательностей с целью исключения ошибок первого рода. Эффективность предложенного метода обна- ружения аномалий зависит от выбора анализи- руемого параметра трафика, а также от харак- теристик самого трафика, соответствующего нормальной активности. Возможно предполо- жить, что в сети предприятия трафик имеет бо- лее устойчивую статистическую картину, чем в домашней сети, в которой проводилось моде- лирование. Так, если «нормальный» трафик не- однороден и имеет неустойчивую во времени структуру (не стационарен), метод обнаружения аномалий на основе анализа корреляционных ко- эффициентов может приводить к ложноположи- тельным срабатываниям. Эффективность обнаружения изменений в па- раметрах сетевого трафика можно повысить при помощи метода «скользящего окна», если рас- сматривать только определенный интервал зна- чений, то есть часть трафика, характеризующую начало или конец атаки, и сдвигать этот интервал во времени.
×

About the authors

I. S Pozdnyak

Povolzhskiy State University of Telecommunications and Informatics

Email: i.pozdnyak@psuti.ru
Samara, Russian Federation

A. I Plavan

Povolzhskiy State University of Telecommunications and Informatics

Email: aleksej.plavan@ya.ru
Samara, Russian Federation

References

  1. Bocetta S. So long, ransomware: organizations brace for cryptojacking. URL: https://www.dataversity.net/so-long-ransomware-organizations-brace-for-cryptojacking (дата обращения: 28.08.2020)
  2. Шелухин О.И., Сакалема Д.Ж., Филинова А.С. Обнаружение вторжений в компьютерные сети (сетевые аномалии). М.: Горячая линия-Телеком, 2013. 220 с
  3. Браницкий А.А., Котенко И.В. Анализ и классификация методов обнаружения сетевых атак // Труды СПИИ РАН. 2016. № 45. С. 207-244
  4. Real-time network anomaly detection system using machine learning / S. Zhao [et al.] // 11th International Conference on the Design of Reliable Communication Networks (DRCN). Kansas City, MO. 2015. P. 267-270
  5. Стукач О.В. Проверка статистических гипотез. URL: http://ieee.tpu.ru/system/hypotez.htm (дата обращения: 22.07.2020)
  6. Brownlee J. How to use ROC curves and precision-recall curves for classification in Python. URL: https://machinelearningmastery.com/roc-curves-and-precision-recall-curves-for-classification-in-python (дата обращения: 22.07.2020)
  7. hping3 - тестирование сети. URL: http://its27.ru/2019/05/27/hping3-testing-network (дата обращения: 20.06.2020)
  8. hping3 Package Description. URL: https://tools.kali.org/information-gathering/hping3 (дата обращения: 20.06.2020)
  9. Карташевский В.Г., Поздняк И.С. Фильтрация наблюдаемого трафика как способ обнаружения вторжений // Вестник УрФО. 2019. № 1 (31). С. 17-22
  10. Карташевский В.Г. Основы теории массового обслуживания. М.: Горячая линия-Телеком, 2013. 130 с
  11. Шапиро Л. Атаки DDoS. Часть 2. Арсенал противника // БИТ. 2015. № 6. С. 24-27

Supplementary files

Supplementary Files
Action
1. JATS XML
Download

Copyright (c) 2021 Pozdnyak I.S., Plavan A.I.

Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

This website uses cookies

You consent to our cookies if you continue to use our website.

About Cookies