Дослідження ентропії мережевого трафіка як індикатора DDoS-атак
- Деталі
- Категорія: IT-технології
- Останнє оновлення: П'ятниця, 09 травня 2014, 17:04
- Опубліковано: П'ятниця, 12 квітня 2013, 15:57
- Перегляди: 5471
Автори:
Т.В. Бабенко, доктор технічних наук, професор, Державний вищий навчальний заклад „Національний гірничий університет“, завідувач кафедри безпеки інформації та телекомунікацій, керівник Інформаційного комп’ютерного комплексу, м. Дніпропетровськ, Україна
Реферат:
Мета. З метою підвищення ефективності IDS (intrusion detection systems), ADS (anomaly detections ystem) та систем управління інформаційною безпекою виконати теоретичні та експериментальні дослідження з вивчення можливості використання значень обчисленої в режимі реального часу інформаційної ентропії в якості базового індикатора атаки на мережеві сервіси.
Методика. Методика роботи включає збір статистичної інформації про роботу IP-мережі в нормальному режимі, моделювання процесів, що викликають аномальні стани IP-мережі, збір статистичної інформації про роботу мережі при наявності DDOS-атак на мережеві сервіси, визначення оптимальних розмірів рухомого вікна, обчислення значень інформаційної ентропії та їх порівняння з еталонними для даної IP-мережі.
Результати. Обчислені в реальному масштабі часу значення інформаційної ентропії з використанням методу рухомого вікна є ефективним індикатором аномального стану IP-мережі та можуть бути використані в системах виявлення вторгнень, системах управління інформаційною безпекою.
Науковановизна. Запропоновано алгоритм обчислення інформаційної ентропії, який на відміну від класичного алгоритму, за рахунок використання методу рухомого вікна дозволяє значно пришвидшити обчислення та виконувати їх в реальному масштабі часу.
Практична значимість. На основі проведених теоретичних та експерементальних досліджень запропоновано методику обчислень інформаційної ентропії, що дозволяє використовувати цей показникдля аналізу мережевого трафіку в реальному масштабічасу в IDS, MDS ADSсистемах.
Список літератури / References:
1. Skarfone, K. and Mell, P. (20007), Guide to intrusion detection and prevention systems, National Institute of Standards and Technology, available at: csrc.nist.gov/publications/nistpubs/800-94/SP800-94.pdf
2. Feinstein, L. and Schnackenberg, D. “Statistical Approaches to DDOS Attack Detection and Response”, Proc. of the DARPA Information Survivability Conference and Expostion (DISCEX'03), April 2003.
3. Seong Soo Kim, (2005), “Real-time Analysis of Aggregate Network Traffic for Anomaly Detection”, PhD dissertation, Computer Engineering, Yonsei University, available at:http:// cesg.tamu.edu/wp-content/uploads /2012/02/TAMU-ECE-2005-02.pdf
4. Олифер В.Г. Компьютерные сети. Принципы, технологии, протоколы /В.Г. Олифер, Н.А. Олифер – СПб.: Питер, 2010. – 943 с.
Olifer, V.G. and Olifer, N.A. (2010), Kompyuternye seti. Printsypy, tekhnologii, protokoly [Computer Networks. Principles, Technologies, Protocols], Piter, St.-Petersborg, Russia.
Gudkov, O. (2012), “Calculation Algorithm for Network Flow Parameters Entropy in Anomaly Detection. IT Security for the Next Generation”, International Round, Delft University of Technology, May 11–13, 2012.
2013_2_babenko | |
2014-05-06 510.59 KB 1145 |