Исследование статистических свойств сетевого трафика в условиях вредоносных воздействий Владимирский государственный университет Кафедра информатики и защиты информации Монахов Ю.М., Дементьев А.Н. гр. КЗИ-104

Актуальность исследования Рост количества распределенных сетевых атак типа «отказ в обслуживании» (DDoS-атак); Рост количества распределенных сетевых атак типа «отказ в обслуживании» (DDoS-атак); Рост количества бот-сетей; Рост количества бот-сетей; Рост мощности DDoS-атак(график согласно исследованию ); Рост мощности DDoS-атак(график согласно исследованию Arbor Networks); Слабая эффективность обнаружения распределенных атак сигнатурными методами. Слабая эффективность обнаружения распределенных атак сигнатурными методами. 2

Целью исследования является выявление характерных для распределенных атак типа «отказ в обслуживании» статистических свойств трафика. Для достижения цели поставлены следующие задачи: Изучение проведенных исследований статистических свойств трафика; Разработка программы для сбора трафика и его анализа; Проведение эксперимента с целью получения статистических данных; Анализ полученных в результате эксперимента данных. Цели и задачи исследования 3

Обзор предметной области - одним из наиболее изучаемых свойств сетевого трафика на данный момент является самоподобие; - согласно исследованиям самоподобие трафика может возникать при нормальной работе (при отсутствии вредоносных воздействий) узла сети; - основные исследования статистических характеристик сетевого трафика производились при нормальном функционировании исследуемых устройств; - основным вредоносным воздействием, которое может оказывать влияние на статистические характеристики трафика, является DoS-атака с использованием посылки большого количества пакетов. 4

Исследуемые параметры Исследоваться будут следующие параметры пакетов: Размер пакета Размер окна Время жизни пакета Для исследуемых величин будут вычисляться следующие значения: Математическое ожидание Дисперсия Среднее квадратическое отклонение 5

Условная схема эксперимента 6

Нормальный режим работы Длительность: 39 минут. Получено и обработано: пакетов. Число пакетов в секунду 7

Нормальный режим работы Характеристики размера пакетов. Мат.ожидание Дисперсия Среднее квадратическое отклонение 8

Нормальный режим работы Характеристики размера окна. Мат.ожидание Дисперсия Среднее квадратическое отклонение 9

Нормальный режим работы Характеристики времени жизни пакета. Мат.ожидание Дисперсия Среднее квадратическое отклонение 10

Атака UDP-flood Длительность: 57 минут. Получено и обработано: пакетов. 11

Атака UDP-flood Размер окна. Размер пакета. Время жизни пакета. 12

Атака TCP-flood Длительность: 36 минут. Получено и обработано: пакетов. 13

Атака TCP-flood Размер окна. Размер пакета. Время жизни пакета. 14

Атака SYN-flood с одной ЭВМ Длительность: 54 минуты. Получено и обработано: пакетов. 15

Размер окна. Размер пакета. Время жизни пакета. Атака SYN-flood с одной ЭВМ 16

Итоги исследования Разработан программный продукт для исследования статистических характеристик сетевого трафика; Разработан программный продукт для исследования статистических характеристик сетевого трафика; Собрана экспериментальная установка для проведения распределенных атак типа «отказ в обслуживании»; Собрана экспериментальная установка для проведения распределенных атак типа «отказ в обслуживании»; Собрана экспериментальная установка для проведения атаки с одной вычислительной машины; Собрана экспериментальная установка для проведения атаки с одной вычислительной машины; Проведены эксперименты, в ходе которых были собраны реализации трафика в нормальных условиях и в условиях различных вредоносных воздействий; Проведены эксперименты, в ходе которых были собраны реализации трафика в нормальных условиях и в условиях различных вредоносных воздействий; 17