Текущий выпуск Выпуск 3, 2018 Том 28

Детектирование DDoS атак на основе анализа динамики и взаимосвязи характеристик сетевого трафика

 pdf (240K)

В работе усовершенствован подход к обнаружению DDoS-атак на основе использования оператора эволюции динамических систем, разработанный ранее авторами. В предложенном подходе сетевому трафику ставятся в соответствие различные характеристики - признаки его временной структуры, формируемые по адресным и нагрузочным параметрам заголовков пакетов данных трафика. Предполагается, что различным состояниям трафика (нормальное состояние, атаки разных типов) соответствуют различные временные структуры характеристик, которые генерируется неизвестными линейными динамическими операторами. Связь между значениями различных характеристик в различных дискретных временных отсчетах устанавливается оператором эволюции. Основная рабочая гипотеза исследования заключается в том, что различным состояниям трафика соответствуют различные динамические операторы, а следовательно, и операторы эволюции. Приведен общий вид матрицы оператора эволюции трафика, реконструированной по значениям его наблюдаемых характеристик. Матричные элементы оператора эволюции определяют взаимосвязь характеристик трафика, давая целостное описание его динамической структуры. Введено понятие среднего значения оператора эволюции трафика, на основе которого формируются специальные хеш-функции и их статистические распределения для различных состояний трафика. В вычислительном эксперименте формировались адресные и нагрузочные хеш-функции, причинно соответствующие адресным и нагрузочным параметрам заголовков пакетов данных трафика. Результаты вычислительного эксперимента подтвердили возможность точной классификации трех состояний трафика: нормального и двух аномальных (HTTP flood атака и SlowLoris атака).

Ключевые слова: сетевой трафик, DDoS-атака, Обнаружение, динамический оператор, оператор эволюции, хеш-функция, классификация
Цитата: Вестник Удмуртского университета. Математика. Механика. Компьютерные науки, 2018, т. 28, вып. 3, с. 407-418
DOI: 10.20537/vm180310

Detecting DDoS attacks by analyzing the dynamics and interrelation of network traffic characteristics

This paper presents an improved approach previously developed by the authors for detection of DDoS attacks. It uses traffic evolution and dynamical operators, which makes it possible to take into consideration interrelations observed for data packets headers of traffic. It is assumed that each traffic state (normal state and anomalous attacked states) can be described by unique temporal patterns of characteristics generated by unknown linear dynamical operators. Interrelations between values of network traffic characteristics in different discrete time samples are determined by the evolution operator. The approach was applied for classification of three traffic states: normal and two abnormal (HTTP flood and SlowLoris DDoS attacks). The results prove that it is possible to distinguish normal and abnormal traffic states by hash functions of address and load fields of traffic data packets.

Keywords: network traffic, DDoS attack detection, dynamical operator, evolution operator, hash function, classification
Citation in English: Bulletin of Udmurt University. Mathematics, Mechanics, Computer Science, 2018, vol. 28, issue 3, pp. 407-418

Журнал индексируется в Scopus

Журнал входит в базы данных zbMATH, MathSciNet

Журнал включен в базу данных Russian Science Citation Index (RSCI) на платформе Web of Science

Журнал включен в перечень ВАК.

Электронная версия журнала на Общероссийском математическом портале Math-Net.Ru.

Журнал включен в Crossref