Все выпуски

В работе усовершенствован подход к обнаружению DDoS-атак на основе использования оператора эволюции динамических систем, разработанный ранее авторами. В предложенном подходе сетевому трафику ставятся в соответствие различные характеристики - признаки его временной структуры, формируемые по адресным и нагрузочным параметрам заголовков пакетов данных трафика. Предполагается, что различным состояниям трафика (нормальное состояние, атаки разных типов) соответствуют различные временные структуры характеристик, которые генерируется неизвестными линейными динамическими операторами. Связь между значениями различных характеристик в различных дискретных временных отсчетах устанавливается оператором эволюции. Основная рабочая гипотеза исследования заключается в том, что различным состояниям трафика соответствуют различные динамические операторы, а следовательно, и операторы эволюции. Приведен общий вид матрицы оператора эволюции трафика, реконструированной по значениям его наблюдаемых характеристик. Матричные элементы оператора эволюции определяют взаимосвязь характеристик трафика, давая целостное описание его динамической структуры. Введено понятие среднего значения оператора эволюции трафика, на основе которого формируются специальные хеш-функции и их статистические распределения для различных состояний трафика. В вычислительном эксперименте формировались адресные и нагрузочные хеш-функции, причинно соответствующие адресным и нагрузочным параметрам заголовков пакетов данных трафика. Результаты вычислительного эксперимента подтвердили возможность точной классификации трех состояний трафика: нормального и двух аномальных (HTTP flood атака и SlowLoris атака).

This paper presents an improved approach previously developed by the authors for detection of DDoS attacks. It uses traffic evolution and dynamical operators, which makes it possible to take into consideration interrelations observed for data packets headers of traffic. It is assumed that each traffic state (normal state and anomalous attacked states) can be described by unique temporal patterns of characteristics generated by unknown linear dynamical operators. Interrelations between values of network traffic characteristics in different discrete time samples are determined by the evolution operator. The approach was applied for classification of three traffic states: normal and two abnormal (HTTP flood and SlowLoris DDoS attacks). The results prove that it is possible to distinguish normal and abnormal traffic states by hash functions of address and load fields of traffic data packets.