Реализация алгоритма кластеризации HTTP-ответов и обнаружения аномалий атак перебора (1187426)
Текст из файла
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФФедеральное государственное автономное образовательное учреждениевысшего профессионального образования«МОСКОВСКИЙ ФИЗИКО - ТЕХНИЧЕСКИЙ ИНСТИТУТ(ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ)»ФАКУЛЬТЕТ УПРАВЛЕНИЯ И ПРИКЛАДНОЙ МАТЕМАТИКИКАФЕДРА ТЕХНОЛОГИЧЕСКОГО ПРЕДПРИНИМАТЕЛЬСТВАНА ПРАВАХ РУКОПИСИУДК ___________АКУЛЕНКО ВЕРА СЕРГЕЕВНАРЕАЛИЗАЦИЯ АЛГОРИТМА КЛАСТЕРИЗАЦИИ HTTP-ОТВЕТОВ ИОБНАРУЖЕНИЕ АНОМАЛИЙ АТАК ПЕРЕБОРА(МАГИСТЕРСКОЙ ДИССЕРТАЦИИ)Магистерская диссертацияНАПРАВЛЕНИЕ ПОДГОТОВКИ: 010900 «ПРИКЛАДНЫЕ МАТЕМАТИКА И ФИЗИКА»МАГИСТЕРСКАЯ ПРОГРАММА _________________________________(ШИФР, НАЗВАНИЕ)ЗАВЕДУЮЩИЙ КАФЕДРОЙ _________________/ _________________/НАУЧНЫЙ РУКОВОДИТЕЛЬ: ________________/ _________________/Студент: _________________/ _________________/Г. МОСКВА20162СодержаниеСОДЕРЖАНИЕ ...................................................................................................................................................
1ВВЕДЕНИЕ ........................................................................................................................................................... 3СПИСОК ОБОЗНАЧЕНИЙ ..............................................................................................................................
51ОПИСАНИЕ СЕТЕВЫХ ЗАПРОСОВ .................................................................................................... 61.11.21.3ОПИСАНИЕ HTTP ПРОТОКОЛА ..............................................................................................................
6СТРУКТУРА ПРОТОКОЛА HTTP ............................................................................................................. 7ЗАГОЛОВКИ HTTP ................................................................................................................................. 82ОПИСАНИЕ BRUTE FORCE ................................................................................................................... 93ОБЗОР СПОСОБОВ ДЕТЕКТИРОВАНИЯ BRUTE FORCE ..........................................................
103.13.23.33.43.54СПОСОБ 1 ............................................................................................................................................. 10СПОСОБ 2 ............................................................................................................................................. 11СПОСОБ 3 .............................................................................................................................................
12СПОСОБ 4 ............................................................................................................................................. 13СПОСОБ 5. СПОСОБ ЗАЩИТЫ ОТ BRUTE-FORCE LOGIN ATTACK ........................................................... 14ПОСТАНОВКА ЗАДАЧИ ....................................................................................................................... 16ФОРМУЛИРОВКА ЗАДАЧИ КЛАСТЕРИЗАЦИИ ........................................................................................ 16ПОСТАНОВКА ЗАДАЧИ КЛАСТЕРИЗАЦИИ HTTP ПАР “ЗАПРОС-ОТВЕТ” И ПОИСКА АНОМАЛИЙ ТИПА BRUTEFORCE 174.14.25ОПИСАНИЕ ПРЕДЛАГАЕМОГО АЛГОРИТМА ............................................................................. 195.1КЛАСТЕРИЗАЦИЯ..................................................................................................................................
195.1.1 Выделение характеристик для кластеризации .......................................................................... 195.1.2 Сбор данных ................................................................................................................................... 205.1.3 Создание разбиений ....................................................................................................................... 215.1.4 Выбор наилучшего разбиения ....................................................................................................... 225.1.5 Описание кластеров ...................................................................................................................... 235.2ПОИСК АНОМАЛИЙ.
ДЕТЕКТИРОВАНИЕ BRUTE FORCE ....................................................................... 255.2.1 Сбор данных о http-трафике по кластерам ................................................................................ 255.2.2 Определение аномального поведения ........................................................................................... 266ПРЕИМУЩЕСТВА И НЕДОСТАТКИ ПРЕДЛАГАЕМОГО РЕШЕНИЯ .................................... 276.16.27ПРЕИМУЩЕСТВА .................................................................................................................................. 27НЕДОСТАТКИ ....................................................................................................................................... 28ЗАКЛЮЧЕНИЕ ........................................................................................................................................
29CПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ .................................................................................... 303ВведениеАктуальность. Веб-приложения являются предметом атак со стороны злоумышленников,которые пытаются получить несанкционированный доступ к информации и ресурсам иливнедрить вредоносный код.Некоторые способы атак включают не однократные попытки получения доступа к одномуи тому же ресурсу, что, как правило, приводит к большому числу неудачных попыток.
Этошироко известно как атака типа перебора или brute force атака.Злоумышленники, используя brute force, могут нанести вред веб-прилежению:• получить доступ к несанкционированной информации и ресурсам;• внедрить вредоносный код;• размещение несанкционированной рекламы;• кража персональных данных;• шантаж владельца сайта;• воровство денег и тдЦель данного исследования обнаружение атак типа brute force за счет анализаповеденческого взаимодействия пользователей с защищаемым веб-приложением.
Данныйанализ проводят с учётом параметров ответа сервера на получаемые запросыпользователей веб-приложения.Объект исследования данной работы сетевые пары запрос-ответ от интернетпользователей к защищаемому веб-приложению. Сетевые пары запрос-ответсоставленные по протоколу HTTP.Предмет данного исследования обнаружение сетевых атак типа Brute force (перебора)путем анализа динамики интернет – трафика от сетевых адресов, взаимодействующих сзащищаемым веб-приложением.Научной новизной является то, что пороговое значение количества запросов интернет –пользователей к части веб-приложения, зависит от запросов предыдущих интернет –пользователей к этой части и ответов интернет - сервиса на них.
Где частям веб-4приложения соответствуют кластеры, которые формируются из сохраненныххарактеристик пар «запрос – ответ».В данном исследовании предложен метод детектирования brute force атаки, состоящий втом, чтопринимают поток запросов на интернет – сервис от интернет – пользователей,сохраняют определенные характеристики каждой пары «запрос – ответ»,формируют кластеры из сохраненных характеристик пар «запрос – ответ»,генерируют набор правил попадания вновь принятой пары «запрос –ответ», в один изсформированных кластеров,задают интервалы времени, за которые собираются данные о парах «запрос-ответ» приобнаружении аномалий,для каждого интервала времени и каждого интернет – пользователя считаем количествоего запросов за этот промежуток времени, попадающих в каждый из сформированныхкластеров, сохраняем эти данные,для каждого промежутка времени и кластера определяют пороговое количество запросов,попадающих в кластер,запоминают сформированную статистику,далее переводят систему в режим обнаружения атак,после чего для каждого промежутка времени и для каждого интернет – пользователясчитают количество запросов, относящихся к каждому кластеру,сравнивают полученное значение с пороговым значением для каждого кластера,при превышении значения порога принимают решение об аномальном поведении иобнаружении атаки.5Список обозначенийRℕ— множество вещественных чисел.—множество натуральных чисел.61 Описание сетевых запросов1.1 Описание HTTP протоколаВ данной работе предметом исследования выступают сетевые запрос и ответы серверапо протоколу HTTP.HTTP (англ.
HyperText Transfer Protocol — «протокол передачи гипертекста») —протокол прикладного уровня передачи данных (изначально — в виде гипертекстовыхдокументов в формате HTML, в настоящий момент используется для передачипроизвольных данных). Основой HTTP является технология «клиент-сервер», то естьпредполагается существование потребителей (клиентов), которые инициируютсоединение и посылают запрос, и поставщиков (серверов), которые ожидаютсоединения для получения запроса, производят необходимые действия и возвращаютобратно сообщение с результатом.71.2 Структура протокола HTTPКаждое HTTP-сообщение состоит из трёх частей, которые передаются в указанномпорядке:Стартовая строка (англ. Starting line) — определяет тип сообщения;Заголовки (англ. Headers) — характеризуют тело сообщения, параметры передачи ипрочие сведения;Тело сообщения (англ.
Message Body) — непосредственно данные сообщения.Обязательно должно отделяться от заголовков пустой строкой.Заголовки и тело сообщения могут отсутствовать, но стартовая строка являетсяобязательным элементом, так как указывает на тип запроса/ответа. Исключениемявляется версия 0.9 протокола, у которой сообщение запроса содержит толькостартовую строку, а сообщения ответа только тело сообщения.81.3 Заголовки HTTPВ данной работе будут использоваться значения определенных заголовков, какихименно будет описано ниже.Заголовки HTTP (англ.
HTTP Headers) — это строки в HTTP-сообщении, содержащиеразделённую двоеточием пару параметр-значение. Формат заголовков соответствуетобщему формату заголовков текстовых сетевых сообщений ARPA (см. RFC 822).Заголовки должны отделяться от тела сообщения хотя бы одной пустой строкой.Примеры заголовков:Server: Apache/2.2.11 (Win32) PHP/5.3.0Last-Modified: Sat, 16 Jan 2010 21:16:42 GMTContent-Type: text/plain; charset=windows-1251Content-Language: ruВ примере выше каждая строка представляет собой один заголовок.
Характеристики
Тип файла PDF
PDF-формат наиболее широко используется для просмотра любого типа файлов на любом устройстве. В него можно сохранить документ, таблицы, презентацию, текст, чертежи, вычисления, графики и всё остальное, что можно показать на экране любого устройства. Именно его лучше всего использовать для печати.
Например, если Вам нужно распечатать чертёж из автокада, Вы сохраните чертёж на флешку, но будет ли автокад в пункте печати? А если будет, то нужная версия с нужными библиотеками? Именно для этого и нужен формат PDF - в нём точно будет показано верно вне зависимости от того, в какой программе создали PDF-файл и есть ли нужная программа для его просмотра.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
