Диссертация (1095062), страница 17

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 17)

ВитоговыхтестовыхивалидационныхнаборахпрецедентовдляИНСприсутствовали примеры логов перечисленных далее видов атак.ICMP-флуд (ping-флуд) – атака, направленная на насыщение полосыпропускания сервера с помощью пакетов типа ECHO REQUEST (ICMP-запросовразмером около 64 байт). Данный тип флуда эффективен для атак на небольшуюлинию, но не на корпоративные сервера: атака может достигнуть успеха только втом случае, если пропускной канал атакующего намного шире канала атакуемогосервера.Smurf-атака–наиболееэффективнаяразновидностьICMP-флуда.Заключается в формировании широковещательных echo ICMP-пакетов, взаголовках которых в качестве источника указывается адрес атакуемого сервера.111Пакеты поступают в «усиливающую» сеть, узлы которой отправляют серверуответ и тем самым приводят к отказу в обслуживании.

Одним из средств защитыот Smurf-атаки является настройка блокирования широковещательных ICMPпакетов.UDP-флуд (Fraggle-атака) является аналогом Smurf-атаки и отличается отнее протоколом: вместо ICMP-запросов на 7-ой порт сервера поступают пакетыUDP.TCP-флуд (SYN-флуд) – атака, основанная на трехступенчатой схемеустановления TCP-соединения. SYN-флуд заключается в отправке большогоколичества TCP-пакетов с флагом SYN и недостижимым адресом источника. Насерверепроисходитисчерпаниеочередисоединенийполуоткрытымиподключениями, ожидающими подтверждения от клиента.

По истечении таймаута 75 секунд (RFC) эти подключения сбрасываются, поэтому для исчерпанияресурсов сервера пакеты поступают с меньшим интервалом.HTTP-флуд – вид флуда, использующийся преимущественно для атаки намощные сервера. Заключается в генерировании небольшого HTTP-пакета, в ответна который сервер отправляет на подмененный ip-адрес пакет гораздо большегоразмера. Даже если канал сервера в десять раз шире канала атакующего,существует большой риск насыщения серверной полосы пропускания.Таким образом, задача защиты корпоративного портала состоит вобнаруженииинейроэволюционнойзащитеотсистемы.данныхДлявидоврешенияDDoS-атакзадачисредствамииспользовалисьвспомогательные программные средства:–утилита перехвата TCP-соединений TCP Intercept, работающая как вактивном режиме перехвата, так и в пассивном режиме наблюдения.

В режимеперехвата утилита организует два отдельных соединения: с подключившимсяклиентом и с сервером. В случае если соединение с клиентом произошлоуспешно, эти два соединения замыкаются в одно, но в случае TCP-флуда, при112котором указывается неверный обратный адрес клиента, соединение с серверомне устанавливается;–пакетный фильтр - вид межсетевого экрана, функционирующий на сетевомуровне модели OSI и принимающий решение о разрешении прохождения трафикав сеть на основании анализа заголовка пакета;–средство сетевого распознавания приложений (Network-Based ApplicationRecognition, NBAR), необходимое для определения категории трафика потокаданных по первому переданному пакету;–Фильтр ICMP-пакетов для ограничения трафика.При помощи перечисленных программных средств и на основании целевыхвидоватакбылосформировано14входныхпараметровдляанализа,представленных в таблице 4.1.Из параметров запросов был сформирован входной вектор ИНС, каждыйэлемент которого проходил предобработку (в частности, масштабирование инормирование).В процессе нейроэволюции количество параметров было сокращено до 11(параметры с номерами 2, 3, 5 были отброшены как обладающие низкойзначимостью).

К 117-ой эпохе эволюции в сетях прямого распространения былисформированы обратные связи и контекст. Оптимальные результаты показаларекуррентная ИНС со следующей структурой:– входной слой;– контекст;– первый скрытый слой из 131 нейрона;– второй скрытый слой из 42 нейрона;– выходной слой (2 нейрона, выход которых поступает на контекст).Данная ИНС относится к типу классификационных сетей, структурно схожас нейросетью Джордана и имеет два выхода: нет DDoS-атаки; есть атака.113Таблица 4.1 – Входные параметры нейроэволюционного метода№1ПараметрHTTP-метод234URIВерсияпротоколаUrl источника5User-Agent67КорректностьзаголовковКод состояния8Ip клиента9Ответ на cookie10ПоддержкаJavaScriptПоддержкаFlash-контентаВремяпоступлениязапросаВремя,прошедшеемеждудвумязапросамиклиентаКоличествоподключенийклиента11121314ОписаниеМетод запроса принимает одно из значений, определенныхпротоколом - GET, HEAD, POST, PUT и т.д.

Используется дляопределения атак типа HTTP GET (POST).URI запрашиваемого ресурса в стартовой строке запроса.Строка, содержащая наименование протокола и версию. Например,HTTP/1.1.Url источника запроса, который определяется по значениюзаголовка referer и проходит валидацию.Информация о клиентском приложении, обрабатываемая парсеромдля разбиения на отдельные признаки. Наибольший интереспредставляют следующие параметры: версия ОС и тип клиентскогоприложения.Значение данного двоичного параметра формируется парсеромзаголовков.Статус сервера в ответе на запрос клиента. Особый интереспредставляют следующие значения статуса: 403 – forbidden, 404 –not found, 503 – service unavailable.Параметр необходим для фильтрации запросов по Ip-адресу, в томчисле по первому октету Ip, определяющему RIR (региональногоинтернет регистратора).Строка вида name=value в ответе клиента на присланный серверомcookie (добавленный в HTTP-заголовок или установленныйсценарием JavaScript).Ответ клиента на сценарий JavaScript, определяющий,поддерживается ли он клиентским приложением.Ответ клиента на Flash-контент, отправленный сервером.Параметр был добавлен в выборку для снижения риска ошибоквторого рода: вероятность запроса от легитимного клиента внерабочее время ниже, чем ботнета.Параметр позволяет блокировать ботнеты, отправляющие большоеколичество запросов за короткий промежуток времени.Учет данного параметра при фильтрации клиентов повышаетвероятность блокирования клиентов со статическим Ip, нооказывается полезным для фильтрации ботов, использующихпрокси.В разработанной системе присутствует опция построения статистическогопрофиля [37] по сетевому трафику, что обеспечивает индивидуальную защиту отатак разного типа и возможность анализа трафика.

По результатам нейросетевоговывода осуществляется накопление статистики о том, какой трафик считается114нормальным. Ситуация регистрирования аномального трафика классифицируетсякак DDoS-атака. По факту фиксирования трафика, значительно отличающегося отнормального, модифицируются правила файервола, оповещается системныйадминистратор и заносятся соответствующие записи в файлы логов.

Системойзащиты от DDoS-атак можно воспользоваться заранее с целью предотвращенияатаки или после того, как она уже началась.Внедрение данной системы позволило значительно снизить риск отказасервера из-за DDoS-атак: система способна с вероятностью 99.892% избежатьошибокпервого ивторого рода прираспознавании(дифференциации)легитимных пользователей и атакующих машин.Данная оценка формировалась в течение 18-ти месяцев по результатамзлонамеренных и тестовых DDoS-атак. Тестовые атаки организовывались с цельюоценивания работоспособности системы и закрепления навыков сотрудниковинформационного отдела по оперативной обработке критических ситуаций.Полученныепрактическиерезультатыподтверждаютэффективностьнейроэволюционного метода и доказывают целесообразность его внедрения всистему защиты от DDoS-атак.4.2 Сервис интегрированной оценки контента виртуальнойсреды работы над проектамиВиртуальная среда работы над проектами [19, 43] – это средство дляуправления коллективной работой, к основным задачам которого относятсяцентрализованное хранение и обработка документов на едином корпоративномпортале и предоставление площадки для совместной работы над проектами.Виртуальная среда внедрена в Федеральном государственном бюджетномучреждении «Научно-исследовательский финансовый институт» (НИФИ) [20, 21,49] с целью оптимизации научной деятельности и ведения отчетности.

В115виртуальной среде результаты работ над проектами формируются в формеотчетов, публикаций, информационных баз и других видов ресурсов [13].Количестворазмещаемыхматериаловпостояннорастетпомеревыполнения научно-исследовательских работ, а также в связи с оцифровкой иразмещением в виртуальной среде результатов исследований за прошлые годы.Лишь часть материалов (около 20%) является постоянно востребованной дляиспользования в текущей научной работе. В связи с этим появиласьнеобходимость в периодической реструктуризации контента виртуальной среды,которая была реализована при помощи нейроэволюционной СППР дляавтоматическойобработкиматериалов[51].Обобщеннаяархитектуравиртуальной среды представлена на рисунке 4.5.Рисунок 4.5 – Архитектура виртуальной среды работы над проектамиСППР была разработана в качестве интегрированного в виртуальную средуинструментадляанализаиинтеллектуальнойобработкиданных,116взаимодействующегосразличнымикомпонентамисреды.Пользователивиртуальной среды работают с материалами, выложенными в открытой для нихчасти портала, комментируют, обсуждают на форуме.

Документы проходятцепочки последовательного и параллельного согласования, могут быть подписаныэлектронно-цифровой подписью (ЭЦП), перенесены в хранилище или архив(закрытые части портала).Интегрированная система рейтингового оценивания материалов выполняетследующие функции:1) Автоматическое формирование закрытого хранилища материалов - сбори перенесение в хранилище контента, обладающего высокими показателямикачества. Формирование хранилища материалов необходимо для оптимизациипроцессов обмена информацией, накопления и управления знаниями [27].2) Ранжирование и рубрикация материалов.

Данная функция необходимадля быстрого и результативного поиска контента.3) Перенесение в архив контента, не востребованного для дальнейшейработы над проектами. Обновление архива позволяет существенно снизитьнагрузку на сервер и сократить среднее временя поиска данных в виртуальнойсреде.4) Накопление статистики с целью выявления наиболее востребованнойинформации, модификации состава и структуры информации на портале.Реализация вышеперечисленных функций невозможна без определениякритериев оценивания материала. Особенностью информационного контентаявляется сложность количественного оценивания его характеристик, так какуниверсального определения показателей качества контента не существует.Этосвязано,разнородностьюво-первых,накапливаемогососпецификойконтента,и,виртуальнойво-вторых,ссредыиотсутствиемдостоверных количественно измеримых характеристик контента и показателей,через которые эти характеристики выражаются. Для обработки материалов был117разработан сервис - СППР для классификации материалов, расчета рейтинговойоценки материалов и осуществления на ее основе дальнейшей обработки.Задача СППР для обработки контента формулируется следующим образом.Пусть множество альтернатив состоит из четырех допустимых решений:Α = {1 , … , 6 },(4.2)где 1 – перенести данный материал в хранилище;2 – перенести материал в «закрытую» часть портала - архив;3 – пересчитать рейтинг материала;4 – отправить запрос на удаление материала;5 – отправить запрос на перенесение материала в соответствующую рубрику.6 – отложить обработку материала до следующего выполнения таймера службывиртуальной среды, инициализирующего работу сервиса.Параметры обрабатываемого материала, оказывающие влияние на выбородного из решений, составляют множествоΩ = {1 , … , }, = 15.(4.3)Задача заключается в выборе решения из множества с учетом множествапараметров Ω.В задаче присутствуют три вида неопределенности:1.

Характеристики

Список файлов диссертации