НЕЙРОМЕРЕЖЕВЕ ВИЯВЛЕННЯ DDOS-АТАК
11.10.2021 21:11
[1. Information systems and technologies]
Author: Рибальченко О.Г., старший викладач, кафедра моделювання та програмного забезпечення, Криворізький національний університет, м. Кривий Ріг;
Заїка Б.В., студент, кафедра моделювання та програмного забезпечення, Криворізький національний університет, м. Кривий Ріг
У час стрімкого розвитку інформаційних технологій компанії та підприємства активно зберігають і поширюють інформацію в мережі Інтернет. Це, безумовно, зменшує обсяг додаткових витрат на необхідні рекламні послуги, заробітну плату співробітників тощо. Але з появою нових можливостей виникають нові загрози, які пов’язані з недостатнім захистом великих мережевих вузлів. В будь-який момент система, що працює бездоганно, може бути піддана DDoS-атаці (Distributed Denial of Service attack). Метою такої атаки є створення умов, при яких буде ускладнений або повністю обмежений доступ до системи [1].
Для ефективної протидії DDoS-атакам потрібно вирішити дві послідовні задачі. Першою задачею є розподіл мережевого трафіку на звичайний та аномальний. Другою задачею є інтелектуальний аналіз аномального трафіку, достовірне діагностування DDoS-атаки на ранніх стадіях. Це дозволить вчасно протидіяти атакам, а саме налаштувати правила міжмережевих екранів, увімкнути мережеві фільтри, задіяти резервні канали тощо.
Всі сучасні DDoS-атаки проводять з використанням ботнету, із застосуванням підміни IP-адрес або комбінованим методом. Їх можна розподілити на три великі групи [2]. Перша група – це flood-атаки з насиченням смуги пропускання, вони направлені на переповнення каналу зв'язку. Їх метою є створити потужний потік запитів, який займає всю виділену смугу трафіку, пакети користувачів не проходять і ресурс змушений відмовляти їм в обслуговуванні (UDP, ICMP та інші). Друга група – це атаки на рівні протоколів, вони використовують вразливості стека мережевих протоколів. При атаці через помилки протоколів TCP/IP можуть використовуватися SYN-пакети (запити на відкриття з'єднання), в результаті чого на комп'ютері, що атакується, швидко вичерпується кількість доступних сокетів і сервер припиняє відповідати (так званий SYN- flood). Третя група – це низькоінтенсивні і малопотужні атаки (low-rate DDoS). Відмова в обслуговуванні досягається приховано, невеликою кількістю трафіку і не вимагає виснаження смуги пропускання. Атакуючий відкриває безліч нескінченних з'єднань і при перевищенні деякого порога викликає в мережі «жертви» відмову в обслуговуванні. Використовуються протоколи транспортного (TCP) або прикладного (HTTP) рівнів моделі OSI. Такі атаки дуже важко виявити, оскільки самі по собі такі з’єднання не є «аномальною» поведінкою.
Виділяють наступні класи методів виявлення DDoS-атак: поведінкові методи, методи на основі знань, методи машинного навчання, методи штучного інтелекту [3]. До поведінкових методів віднесені наступні методи: вейвлет-аналіз, статистичний аналіз, аналіз ентропії, спектральний аналіз, фрактальний аналіз, кластерний аналіз. Ці методи засновані на використанні інформації про нормальну поведінку системи та її порівнянні з параметрами поточної поведінки. Випадок значних відхилень може розглядатися як свідчення наявності атаки. Представлена група методів орієнтована на побудову моделі штатного, або нормального, функціонування системи або користувача.
До методів на основі знань віднесені такі методи, які в контексті заданих фактів і правил зіставлення, що відображають ознаки заданих атак, виконують дії по виявленню атак на основі закладеного механізму пошуку. Своєю назвою ці методи зобов'язані тому, що такі системи працюють з базою знань, в якій містяться дані щодо вже відомих атак. До методів на основі знань віднесені експертні системи, кінцеві автомати, мережі Петрі, сигнатурний метод тощо.
Методи машинного навчання і методи штучного інтелекту застосовують як при виявленні аномалій, так і при виявленні зловживань. Це пояснюється тим, що зазначені підходи в якості вихідних даних для навчання часто використовують шаблони як нормальної, так і аномальної поведінки в мережі. До методів машинного навчання віднесені наступні підходи до виявлення мережевих атак: дерева рішень, Байєсівські мережі, МАР-сплайни, алгоритми кластеризації та алгоритми регресії. До методів штучного інтелекту віднесені штучна нейронна мережа (ШНМ), генетичні алгоритми, нечітка логіка, імунні системи, роєві алгоритми тощо.
Поставлена задача виявлення ступеню небезпеки для web-ресурсу є задачею класифікації – об'єкти описані зазначеним набором ознак і відома приналежність кожного об’єкту до певного класу. Оскільки у досліджуваній проблемі наявні лише два класи – “норма” і “атака”, що будуть закодовані відповідно як “0” і “1”, задача належить до типу бінарної класифікації.
На сьогоднішній день найпотужнішим засобом, здатним вирішити поставлену задачу, є технологія машинного навчання – набір методів побудови алгоритмів, що навчаються. До методів, здатних ефективно вирішувати завдання класифікації, належать композиційні методи: Bagging, Random Forest, Gradient Boosting тощо. Цей клас методів заснований на побудові ансамблю простих базових алгоритмів, наприклад, вирішальних дерев, кожне з яких робить внесок у роботу всієї моделі. Перевагою композиційних алгоритмів є можливість розпаралелювання процесу побудови моделі, а також доволі висока якість їх роботи. До недоліків належить велика кількість гіперпараметрів методу. Гіперпараметри – це такі параметри, що заздалегідь невідомі і не настроюються під час навчання моделі, але їх необхідно визначити перед запуском процесу навчання. Серед таких параметрів кількість базових алгоритмів у композиції, глибина дерев, ознаки і їх порогові значення, які визначаються в вершинах кожного дерева, параметр рандомізації вибірок, що потрапляють до навчання тощо. Наявність такої кількості ступенів свободи моделі уповільнює настройку параметрів композиції.
Ще одним класом методів машинного навчання є ШНМ. Модель ШНМ подібна до спрощеної біологічної моделі нейронної мережі (НМ), де нейрони зв'язані між собою синапсами, по яким інформація передається у вигляді електричних імпульсів. Останнім часом ШНМ набули великої популярності у вирішенні задач високої складності, алгоритми розв'язання яких часом не відомі або зовсім не існують. Така здатність ШНМ вирішувати складні задачі обумовлена перевагами біологічних НМ, оскільки модель обробки інформації в них однакова. ШНМ вчиться так само, як мозок живої істоти – на прецедентах. Процес пред’явлення ШНМ об'єктів із зазначенням належності кожного об’єкту до певного класу є навчанням за прецедентами, або навчанням з учителем (supervised learning). Маючи велику кількість прецедентів і відомих відповідей на цих прикладах, можна за кінцевий час навчити ШНМ з заданою точністю класифікувати об'єкти, які навіть не брали участь у процесі навчання, згідно теореми збіжності персептрона Ф. Розенблатта [4]. Крім того, ШНМ є універсальною моделлю, яка здатна апроксимувати будь-які поверхні, і, за теоремою про універсальне наближення [5], може бути представлена у вигляді суперпозиції функцій від однієї змінної – вектору ознак об’єкту.
На користь застосування ШНМ для вирішення поставленого завдання також свідчить ряд переваг цього класу методів: стійкість до зашумлених даних, адаптація до зміни вхідних даних, швидкодія тощо. Серед недоліків ШНМ є ймовірність збіжності методу навчання у локальному мінімумі в процесі оптимізації функціоналу помилки ШНМ при використанні градієнтних методів оптимізації, а за умови застосування стохастичних оптимізаційних методів, які завжди знаходять глобальний мінімум, результат роботи ШНМ не завжди передбачуваний.
Література:
1. Мурасов Р.К. Завчасне попередження про DDoS атаку на базі методів прогнозування / Мурасов Р.К., Мельник Я.В.. // Національний університет оборони України імені Івана Черняховського. – 2016. – С. 59.
2. Классификация DDoS-атак: краткий обзор современных подходов [Електронний ресурс] – Режим доступу до ресурсу: https://ddos-guard.net/ru/info/blog-detail/classification-of-ddos-attacks-a-short-overview-of-modern-approaches
3. Тарасов Я. В. Метод обнаружения низкоинтенсивных DDoS-атак на основе гибридной нейронной сети / Я. В. Тарасов // Известия ЮФУ. Технические науки. – 2014. – С. 47-57.
4. Розенблатт Ф. Принципы нейродинамики: перцептроны и теория механизмов мозга = Principles of Neurodynamic: perceptrons and the theory of brain mechanisms / Фрэнк Розенблатт. – М.: Мир, 1965. – 480 с.
5. Ian Goodfellow. Deep learning (Adaptive computationand machine learning series)./ Ian Goodfellow, Yoshua Bengio, Aaron Courville. – Cambridge, MA: MIT Press, 2017. – 775 с.