Научно-методическая конференция
«ИНТЕРНЕТ И СОВРЕМЕННОЕ ОБЩЕСТВО»

ОБНАРУЖЕНИЕ РАСПРЕДЕЛЕННЫХ АТАК В СЕТИ ИНТЕРНЕТ

А.А. Алиев, А.В. Последов

Санкт-Петербургский государственный университет
Санкт-Петербург

Создание глобальной сети Интернет повлекло за собой качественно новые проблемы, одной из которых стали атаки хакеров на Интернет-серверы, что привело к необходимости проведения исследований и практических разработок в области защиты информационных систем.

В данном докладе:

СЕТЕВЫЕ АТАКИ И ТРАДИЦИОННЫЕ СРЕДСТВА ЗАЩИТЫ ОТ НИХ

Атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании того или иного уязвимого места в системе, в нежелательном воздействии на саму систему и на информацию хранящуюся в ней.

Существует два основных типа атак:

РАСПРЕДЕЛЕННЫЕ АТАКИ ТИПА «ОТКАЗ В ОБСЛУЖИВАНИИ»

На сегодняшний день наиболее актуальны распределенные атаки типа «Отказ в обслуживании» (Distributed Denial of Service). DDoS-атаки на первом этапе используют механизмы несанкционированного доступа для получения большого количества сетевых ресурсов (агентов), которые на втором этапе используются для посылки запросов на атакуемую систему, что, в свою очередь, приводит к отказу в обслуживании.

СПОСОБЫ ОБНАРУЖЕНИЯ DDOS-АТАК

Рассмотрим некоторые новые способы обнаружения атак, которые разработаны нами в результате анализа структуры DDoS-систем.

1) Анализ сессий и периодов активности.

Данная эвристика основана на том, что ресурс используется людьми, которым присущи индивидуальные особенности работы в сети. Большинство людей имеет определенный распорядок дня (работа, учеба, семья), который определяет время сетевой активности. Также каждому человеку присущи определенные интересы, это тоже можно использовать для формирования его «портрета поведения» в сети. Благодаря особенностям темперамента и характера человека, можно определить такие параметры, как частота запросов в сессии, промежутки времени между запросами и т.д. Итак, для каждого пользователя ресурса можно определить характерный только для него «портрет поведения».

2) Анализ суточной статистики.

В основе алгоритмов лежит разбиение аудитории ресурса на зоны, характеризующиеся постоянными периодами активности. По сути, данный метод является обобщением предыдущей эвристики.

3) Анализ заголовков сетевых пакетов.

Для повышения эффективности атаки злоумышленник может посылать сетевые пакеты, содержащие нестандартные значения служебных полей. Данная эвристика направлена на выявление таких пакетов среди общего сетевого трафика.

АРХИТЕКТУРА СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК

В качестве основного механизма обнаружения DDoS-атак предлагается использовать интеллектуальную систему, основанную на знаниях. В работе системы можно выделить два основных режима:

На данный момент не существует коммерческих реализаций подобного подхода. Данная технология является следующим шагом в развитии систем обнаружения атак.

ЛИТЕРАТУРА

1. Householder A., Manion A., Pesante L., Weaver G.M. Managing the Threat of Denial-of-Service Attacks. -CERT(r) Coordination Center, 2001. Статья доступна по адресу: http://www.cert.org/archive/pdf/Managing_DoS.pdf

2. Kevin J. Houle, George M. Weaver. Trends in Denial of Service Attack Technology - CERT(r) Coordination Center, 2001. Статья доступна по адресу: http://www.cert.org/archive/pdf/DoS_trends.pdf

3. Software Engineering Institute, Carnegie Mellon University. Results of the Distributed-Systems Intruder Tools Workshop. - CERT(r) Coordination Center, 2001. Статья доступна по адресу: http://www.cert.org/reports/dsit_workshop.pdf

[Аннотация на английском языке]

Опубликовано: Алиев А.А., Последов А.В. Обнаружение распределенных атак в сети Интернет // Технологии информационного общества - Интернет и современное общество: труды V Всероссийской объединенной конференции. СПб., 25 - 29 ноября 2002 г. СПб.: Изд-во С.-Петерб. ун-та, 2002. С. 68-69.

Ориг. URL — http://ims2002.nw.ru/02-r2f03.html