Спросить
Войти
СИМВОЛ НАУКИ ISSN 2410-700X № 7 / 2018.
УДК 004.492.3 ТЕХНИЧЕСКИЕ НАУКИ
С.С. Бахтиаров
магистрант 2 курса БФУ им. И. Канта, Калининград, РФ E-mail: behti@yandex.ru
ТЕОРЕМА БАЙЕСА КАК МЕТОД ОПРЕДЕЛЕНИЯ АТАК ТИПА «ОТКАЗ В ОБСЛУЖИВАНИИ»
Аннотация
Основной трудностью обнаружения атак типа «отказ в обслуживании» является то, что они могут производиться с помощью легитимных запросов. Поэтому необходимо использование какой-либо вероятностной модели. В рамках данной статьи рассматривается метод, основанный на теореме Байеса. Целью работы является разработка теоретической базы для создания механизма определения развёртываемой атаки типа «отказ в обслуживании» с использованием метода вероятностного анализа. Методом математического моделирования была адаптирована формула Байеса. Определены параметры для наиболее точного определения результатов расчётов. Сформирована диаграмма последовательности, отражающая алгоритм работы механизма детектирования атаки.
Информационная безопасность, сетевые атаки, отказ в обслуживании, экспертные системы, вероятностный анализ, байесовская сеть доверия.
Актуальность данной темы заключается в том, что количество атак типа «отказ в обслуживании» возрастает, а современные средства их обнаружения не обеспечивают своевременное детектирование сетевого нападения, требуется найти новые методики обнаружения. Трудность обнаружения состоит в том, что атака на «отказ в обслуживании» может быть результатом одновременного наплыва правомерных пользователей на определённый сетевой ресурс. По этим причинам считается необходимым использование какой-либо вероятностной модели.
Большинство современных вероятностных анализаторов, как правило, используют методы экспертных систем [1, с. 10]. С одной стороны, эти методы широко пропагандируются, однако реализация их в программном коде встречается не часто. Для обнаружения атак типа «отказ в обслуживании» предлагается использовать метод, основанный на теореме Байеса. Этот метод достаточно просто можно адаптировать к тем параметрам, которые получаются посредством анализа сетевого трафика при задаче выполнения обнаружения нелегитимного воздействия [4, с. 12]. К тому же, он не требует предварительной обработки данных, что значительно усложняло бы весь процесс. Отсюда следует использование байесовской сети доверия в качестве основы математической модели анализа вредоносного трафика.
Злоумышленник осуществляет атаку с помощью сети заражённых компьютеров. Активация такой зомби-сети приводит к нарастанию трафика, направленного на определённую цель (сетевой ресурс) в определённый период времени. Именно в этот период необходимо обнаружить атаку.
Поэтому, как показано на рисунке 1, в структуру потенциального механизма обнаружения атаки введён инструмент для анализа сетевого трафика - т. н. сниффер [2, с. 1].
Другие элементы механизма это лог-файл, анализатор и пользовательский интерфейс. Все элементы, кроме анализатора - заменяемы. Сниффер подходит любой. Лог-файл общедоступен и может пригодиться в расследовании инцидентов.
Рисунок 1 - Структура механизма обнаружения
На основе полученной от сниффера информации были сформированы следующие параметры. Для того чтобы понять какие именно параметры требуются, нужно рассмотреть все возможные и определить самые значительные и универсальные из них. Какие-то привязаны к определённому протоколу и подходят только под конкретный вид атаки. Другие имеют малую практическую значимость. Поэтому, из множества возможных параметров, было выбрано два наиболее подходящих.
Первый параметр (далее - Р1) отвечает на вопрос - не превышает ли общее количество пакетов, прошедших через сетевую карту, заданную границу за контрольный период. С помощью второго параметра (далее - Р2) будет производиться слежение за тем, чтобы количество пакетов по определённому протоколу не превышало заранее установленного значения также за контрольный период. Эта граница заранее, на основе известной статистики, определяется как нормальная величина. Известно, что в зависимости от вида взаимодействия элементов сети по определённому протоколу проходит соответствующее ему количество запросов с одного 1Р-адреса, следовательно, тот узел, который превысит это число, скорее всего, будет являться частью атаки. Эти параметры являются необходимыми и достаточными для успешного функционирования математической модели.
Применив математическое моделирование и проведя расчёты, была получена общая формула выявления атаки на «отказ в обслуживании».
= РЩН^РЩ
( А1 ) РЩНА)Р(НА) + РШНпА)Р(НпА) где: гипотеза На - наступление атаки, гипотеза Нпа - нормальный режим работы сети, причина X -«срабатывание» соответствующего параметра.
В ней используются такие факторы, как наступление атаки, режим нормальной работы сети и «срабатывание» параметра.
На рисунке 2 изображена байесовская сеть доверия, адаптированная математическая модель, с помощью которой можно определить какие вычисления нужно произвести, чтобы получить искомую вероятность надвигающейся атаки [3, с. 39].
Вероятность атаки Рисунок 2 - Байесовская сеть доверия
-( - )СИМВОЛ НАУКИ ISSN 2410-700X № 7 / 2018.
Множители Р2, представляющие данные второго параметра, разделены на несколько ветвей, которые будут считаться отдельно в зависимости от протокола, по которому передаются пакеты. На конечный результат влияет значение параметра Р1, а также наибольший по значению результат параметра Р2.
Посчитав заранее вероятность того, что нормальное количество пакетов означает отсутствие атаки:
ЛпА +
Вероятность того, что аномальное количество пакетов означает наличие атаки:
р(Х1На)=—+—
ЛпА +
А также взяв априорные вероятности равными по 0.5, подставим все числа в исходную формулу и получим вероятность того, что взятые параметры указывают на наличие атаки:
РШЮ =
Для потенциального механизма обнаружения можно определить процесс функционирования, выраженный в виде диаграммы последовательности на рисунке 3.
Рисунок 3 - Диаграмма последовательности
При первом включении пользователь инициализирует программу и проводит её настройку, адаптируя под ту сеть, в которой он работает. Далее запускается анализатор, который запрашивает входные данные для своей работы. Сниффер, настроенный определённым образом, формирует лог-файл с информацией о том, что происходит на сетевом адаптере. На основании этого лог-файла формируется входной вектор для байесовской сети доверия. Анализатор обращается к нему для проведения расчётов сначала по первому параметру, затем по второму. Далее программа в зависимости от результата формирует соответствующее уведомление о вероятности начала сетевой атаки, а также о протоколе, по которому она будет проводиться.
Использование данного метода расчёта обнаружения рекомендуется в качестве вспомогательного средства для предотвращения сетевой атаки типа «отказ в обслуживании». Список использованной литературы:
СИМВОЛ НАУКИ ISSN 2410-700X № 7 / 2018.
[Электронный ресурс]. - Режим доступа: http://www.securitylab.ru/analytics/216259.php, - (дата обращения: 04.05.2018).
© Бахтиаров С. С., 2018 г.
УДК 004
Р.В. Головко
курсант 4 курса Академии ФСО России,
г.Орел, РФ E-mail: remember31@inbox.ru К.А. Кузин
Курсант 4 курса Академии ФСО России,
г.Орел, РФ E-mail: miserysd@rambler.ru
РАЗРАБОТКА НАУЧНО-ТЕХНИЧЕСКИХ ПРЕДЛОЖЕНИЙ ПО ОБЕСПЕЧЕНИЮ МНОГОКАНАЛЬНОЙ РАДИОСВЯЗИ В РАЙОНАХ КРАЙНЕГО СЕВЕРА
Аннотация
Для России Крайний Север и Северный Морской Путь имеют очень важное значение в сферах экономики и военной безопасности. Поэтому обеспечение связью данного района является важной задачей на сегодняшний день. Целью статьи является проработка вопроса рассмотрения достоинств и недостатков различных видов связи в районах Крайнего Севера и их сравнение. Результатом будет являться выбор наиболее оптимального вида связи, а также разработка плана по обеспечению связи в районах, где работа через ретрансляторы связи затруднена.
Крайний Север, Северный Морской Путь, спутниковая связь, орбита, тропосферная связь,
волоконно-оптические линии, связь.
Крайний Север - часть территории Земли, расположенная в основном к северу от Северного Полярного круга. На данный момент к районам Крайнего Севера относится более 60% территории России.
Северным морским путем (СПМ) называют судоходную магистраль, пролегающую по морям Северного-Ледовитого и от части Тихого океанов вдоль северных берегов Сибири, которая соединяет европейские и дальневосточные российские порты, а также устья судоходных рек в единую транспортную систему. Длина Северного морского пути равна 5600 км [2].
Рассмотрим различные виды связи, благодаря которым можно обеспечить предоставление услуг пользователям «Крайнего Севера», сравним их и выберем наиболее подходящий. Основными видами связи являются: связь с использованием волоконно-оптических линий, спутниковая связь, тропосферная связь и радиорелейная связь. Учитывая то, что северные районы присутствуют не только в нашей стране, но ещё и в других государствах, рассмотрим особенности обеспечения связи в США.
В США используется сеть спутниковой связи «Иридиум» [3]. Иридиум - спутниковая сеть, большинством акций принадлежащая министерству обороны США. Имеет 66 спутников, вращающихся по меридиональным орбитам. Спутники сети связи «Иридиум» пролетают над полюсами Земли. Период
