Реализация алгоритма кластеризации HTTP-ответов и обнаружения аномалий атак перебора (1187426), страница 2
Текст из файла (страница 2)
При этом то, чтонаходится до первого двоеточия, называется именем (англ. name), а что после неё —значением (англ. value).92 Описание Brute forceПолный перебор (или метод 'грубой силы' от англ. brute-force) - метод решения задачипутем перебора всех возможных вариантов.Brute froce атака может проявляться по-разному, но в первую очередь состоит в том,что злоумышленник заранее определяет значения, используя которые отправляетзапросы к серверу, а затем анализирует сетевые ответы. Для уменьшения количествазначений перебираемого параметра, злоумышленник может использовать атаку пословарю или традиционную атаку brute force (с заданным классом символов). Учитываяспособ атаки, количество попыток, эффективность атакующей системы,злоумышленник может вычислить время, которое потребуется, чтобы перебрать всезаранее заданные значения.Примеры параметров для перебора: логина, пароля, промо кода и т.д..103 Обзор способов детектирования Brute force3.1 Способ 1Общие принципы и подходы к обнаружению сетевых атак приведены, например, встатье А.А.
Корниенко, И.М. Слюсаренко «Системы и методы обнаружениявторжений: современное состояние и направления совершенствования»http://citforum.ru/security/internet/ids_overview.113.2 Способ 2В патентной заявке US 20090031244 описан метод обнаружения сетевых атак путемсбора и анализа статистики при передаче данных пользователем. В заявке US20080010247 описана система по сбору информации о действиях пользователя исоставлению конечного профиля с помощью набора правил. В патенте EP 2109282описывается возможность построения гистограммы запросов (как профиля)пользователя для дальнейших действий по отсечению трафика.123.3 Способ 3Известны система и способ обнаружения сетевых атак методом полного перебора US2016/0004580.Решение обеспечивает обнаружение потенциальных атак на домен в ответ нааномальное событие.Выбирают значение параметра лямбда, соответствующее аномальному событию, изсозданной модели для текущего интервала времени.
Определяют вероятность того,является ли общее количество аномальных событий для текущего интервала временилегитимным, используют функцию распределения, зависящую от параметра лямбда,определяют факт умышленной атаки, если вероятность меньше или равна выбранногозначения альфа.Недостатком этого решения является отсутствие возможности автоматическиидентифицировать события, как аномальные.133.4 Способ 4Известны система и способ уменьшения ложных срабатываний при определениисетевой атаки RU 2480937.Технический результат при анализе поведенческого взаимодействия пользователей сзащищаемым ресурсом состоит в уменьшении вероятности ложных срабатываний приобнаружении сетевой атаки.
Он достигается тем, что система содержит следующиемодули: управляющий модуль, предназначенный для хранения статистики предыдущихсетевых атак для корректировки правил фильтрации для центров очистки; коллекторы,предназначенные для составления правил фильтрации на основании информации отрафике от центров очистки и сенсоров; центры очистки, предназначенные дляфильтрации трафика на основании правил фильтрации; сенсоры, предназначенные дляагрегирования информации о трафике для дальнейшей передачи на коллекторы.Способ фильтрации сетевого трафика для защиты сервиса от сетевых атак, содержащийэтапы, на которых:(i).
перенаправляют трафик к сервису на сенсоры и центры очистки;(ii). обрабатывают на сенсорах все запросы к сервису с дальнейшим агрегированиемполученной информации;(iii). обновляют правила фильтрации на коллекторах, используя полученную отсенсоров информацию;(iv). корректируют обновленные правила фильтрации с помощью управляющегомодуля на основании статистики предыдущих сетевых атак;(v). фильтруют трафик на центрах очистки, используя заданные правила фильтрации,при этом центры очистки подключены к магистральным каналам связи по каналам свысокой пропускной способностью.Недостатком данного решения является то, что при анализе запросов от некоторого IPадреса не учитывают параметры ответов сервера.
Это приводит к возможности, когдасистема не может отличить N – кратное введение валидного значения промо кодадобросовестным пользователем от N – кратного введения не валидного значениязлоумышленником.143.5 Способ 5. Способ защиты от brute-force login attackВ этом разделе описано,что такое взлом аккаунта с помощью brute-force attack (методпоследовательного перебора) и как можно защитить сотрудников и приложения в своейкомпании от этих атак?Brute-force login attack является наиболее распространённой (и наименее изощренными)атакой, используемой против веб-приложений. Цель данной атаки – получить доступ каккаунтам пользователей путем многократных попыток угадать пароль пользователяили группы пользователей.
Если веб-приложения не имеют никаких защитных мерпротив этого типа атак, то злоумышленнику довольно просто взломать систему,основанную на парольной аутентификации, осуществив сотню попыток ввода пароля спомощью автоматизированных программок, легкодоступных в Интернете.Brute-force login attacks может быть использована в ряде случаев. Если известна длинапароля, то может быть испробована каждая комбинация цифр, букв и символов, пока небудут найдены совпадения.
Однако процесс этот долгий, особенно по мере увеличениядлинны пароля (вот почему длинные пароли более надежны). Альтернативный подход– использование списка общеупотребительных слов, так называемая словарная атака.Общий смысл этой атаки сводится к тому, что будут последовательно подставлятьсявсе слова из словаря, с возможностью добавлять цифры и удваивать слово какпотенциальный пароль. В этом случае гораздо меньше комбинаций можнопопробовать, но все же шанс подобрать пароль довольно высок.Есть обратный метод, вместо попытки подобрать пароль к одному аккаунту, можнопопробовать один пароль к множеству аккаунтов. Это известно как reverse brute-forceattack.
Данная техника, стоит заметить, не срабатывает там, где есть политикаблокировки учетной записи. Reverse brute-force attacks менее распространенная атакаеще и потому, что атакующему зачастую сложно составить достаточно большой объемимен для этой атаки.Есть ряд методов для предотвращения brute-force attack. Первый заключается виспользовании политик блокировки учетной записи. Например, после трех неудачныхпопыток входа в систему, учетная запись блокируется до тех пор, пока ее не15разблокирует администратор.
Недостатком этого метода является блокировка сразумножества аккаунтов пользователей в результате атаки одного злоумышленника, наадминистратора падает сразу много работы, т.к. большое количество пользователейжертв осталось без доступа к своим аккаунтам.Лучший, хотя и более сложный метод – progressive delays (прогрессивные задержки).Суть его в том, что учетные записи блокируются на некоторое время после несколькихнеудачных попыток входа. Время блокировки возрастает с каждой новой неудачнойпопыткой. Это защищает от автоматизированных средств, проводящих brute-forceattack, и фактически делает нецелесообразным проведение данных атак.Другой метод заключается в использовании теста запроса-ответа на странице входа всистему для предотвращения автоматизированных представлений.
Такие бесплатныеутилиты как reCAPTCHA могут быть использованы для того, чтобы попроситьпользователя ввести слово или решить простую математическую задачу, тем самымдоказав, что это не робот. Этот метод является эффективным, но создает некоторыенеудобства при пользовании сайтом.Любое веб-приложение должно обеспечивать использование надежных паролей. Так,например, требование от пользователя выбирать пароли длиной восемь и болеесимволов с использованием букв и цифр или специальных символов отличная защитаот brute-force attack, особенно в сочетании с одним из вышеописанных методов.Так же может быть полезно использовать утилиты, которые автоматически считываютжурналы интернет-событий и оповещает администратора о неоднократных попыткахисходящих от одного IP адреса.
Однако, злоумышленник также просто можетиспользовать различные инструменты, чтобы регулярно автоматически сменять свой IPадрес.Чтобы пользователи могли доверять вашей компании свои личные данные, оченьважно убедиться в том, что в веб-приложении используется хотя бы один из методовзащиты против brute-force attacks. Использование методов, описанных в этой статье,должно обеспечить надежную защиту от этих распространенных атак.[9]164 Постановка задачи4.1 Формулировка задачи кластеризацииЗадача кластеризации (или обучения без учителя) заключается в следующем.Имеется обучающая выборка X l = { x1 , … , xl } ⊂ X и функция расстояния междуобъектамиρ : X × X → 0, +∞ ) , X – пространство объектов.
Требуется разбитьвыборку на непересекающиеся подмножества, называемые кластерами, так, чтобыкаждый кластер состоял из объектов, близких по метрикеρ , а объекты разныхкластеров существенно отличались. При этом каждому объекту xi ∈ X lприписывается метка (номер) кластера yi .Алгоритм кластеризации — это функция a: X → Y , которая любому объектуx∈Xставит в соответствие метку кластера y ∈ Y .
Множество меток Y в некоторых случаяхизвестно заранее, однако чаще ставится задача определить оптимальное числокластеров, с точки зрения того или иного критерия качества кластеризации.Решение задачи кластеризации принципиально неоднозначно, и тому естьнесколько причин. Во-первых, не существует однозначно наилучшего критериякачества кластеризации. Известен целый ряд достаточно разумных критериев, а такжеряд алгоритмов, не имеющих чётко выраженного критерия, но осуществляющихдостаточно разумную кластеризацию «по построению». Все они могут давать разныерезультаты.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
