Содержание к диссертации
Введение
Глава 1. Анализ задачи обеспечения защиты облачных вычислительных сред (ОВС) от сетевых атак 15
1.1 Анализ текущего состояния проблемы обеспечения безопасности ОВС 15
1.1.1 Анализ способа предоставления услуг провайдерами ОВС 25
1.2 Объект обеспечения защиты от сетевых атак 32
1.3 Анализ сетевых атак на виртуализированные КС ОВС и механизмов защиты от них
1.3.1 Сетевые атаки на виртуализированные КС ОВС 40
1.3.2 Существующие механизмы защиты КС ОВС от сетевых атак Выводы по главе 1 47
Глава 2. Методы и модель обеспечения защиты виртуализированных КС ОВС от сетевых атак . 49
2.1 Требования к системе защиты виртуализированных КС ОВС 49
2.2 Метод обнаружения и блокировки сетевых атак на виртуализированные КС ОВС 51
2.3 Метод моделирования вредоносного и легитимного трафика для обучения и тестирования моделей ИАД.
2.3.1 Верификация программной реализации системы гибридного моделирования внешних воздействий на ОВС 79
2.3.2 Эксперименты с использованием системы гибридного моделирования внешних воздействий на ОВС 81
2.4 Использование натурного моделирования для создания системы внутренних воздействий на ОВС 86
2.5 Метод гибридного моделирования виртуальных сетей и атак. 89
2.6 Методика комбинирования реального легитимного и моделируемого вредоносного трафика 91
2.6.1 Оценка результатов работы моделей, полученных с использованием предложенной методики и без 94
Выводы по главе 2 96
Глава 3. Архитектура и программная реализация системы защиты виртуализированных КС ОВС 100
3.1 Выбор ОВС для проведения исследования и экспериментов 100
3.2 Архитектура облачной вычислительной платформы OpenStack
3.3 Анализ маршрутизации трафика в различных архитектурах ОВС OpenStack 107
3.4 Архитектура системы защиты виртуализированных КС ОВС 114
3.5 Методики сбора трафика в КС ОВС
3.5.1 Протокол NetFlow 116
3.5.2 Протокол sFlow 117
3.5.3 Библиотека Pcap 117
3.5.4 Установка и настройка Netflow-сенсора в OpenStack
3.6 Компонент сбора данных о трафике в КС ОВС 119
3.7 База данных, используемая для хранения информации о трафике и заблокированных источниках 122
3.8 Компонент анализа трафика в виртуализированной КС ОВС 123
3.9 Компонент противодействия вредоносной активности 126
3.10 Взаимодействие компонентов системы защиты виртуализированных КС ОВС 128
Выводы по главе 3 130
Глава 4. Оценка эффективности метода обнаружения сетевых атак 131
4.1 Оценка эффективности компонента для сбора данных о потоках трафика 131
4.2 Оценка эффективности моделей компонента анализа и классификации трафика 135
4.3 Оценка эффективности работы системы защиты по сравнению с другим существующим решением 144
Выводы по главе 4 150
Заключение 152
- Анализ сетевых атак на виртуализированные КС ОВС и механизмов защиты от них
- Эксперименты с использованием системы гибридного моделирования внешних воздействий на ОВС
- Архитектура облачной вычислительной платформы OpenStack
- Оценка эффективности моделей компонента анализа и классификации трафика
Введение к работе
Актуальность темы диссертации. Технология облачных вычислений является
одним из наиболее перспективных направлений развития информационных систем.
Преимущественно облачные ресурсы предоставляются по следующим сервисным
моделям: Software as a Service (SaaS, программного обеспечение как услуга), Platform as a
Service (PaaS, платформа как услуга), Infrastructure as a Service (IaaS, инфраструктура как
услуга). Модель IaaS позволяет пользователям создавать виртуализированные
компьютерные сети (КС), включающие в себя как виртуальные машины пользователей,
так и сервера. Данная технология позволяет клиентам значительно снизить затраты на
создание сетевой инфраструктуры, быстро реконфигурировать топологии КС, настраивать
виртуальные машины и сервисы. Однако, использование технологий предоставления
облачных ресурсов значительно усложняет процесс обеспечения защиты
виртуализированных КС. В случае успешного выполнения сетевых атак на виртуализированные КС облачных вычислительных сред (ОВС) или отдельные их узлы, жертвы вредоносного воздействия начинают потреблять большее количество общих ресурсов. Вследствие чего, атака на один конкретный виртуализированный узел КС ОВС может привести к выходу из строя всех элементов КС ОВС, что повышает значимость создания эффективных методов защиты виртуализированных КС ОВС от сетевых атак. Существующие методы защиты не эффективны в условиях высоконагруженных КС ОВС. На текущем этапе развития облачных вычислений выявлен ряд уязвимостей, связанных не только с классическими угрозами для распределенных систем, но и с принципиально новыми, порожденными спецификой виртуализации, а также наличием дополнительных уязвимых компонентов реализующих предоставление облачных услуг. Например, такими компонентами являются компонент администрирования, компоненты организации коммутации сетевого трафика внутри ОВС, компоненты организации предоставления ресурсов для виртуальных машин и др.
На данный момент, большая часть действий по администрированию ОВС, а также защиты ОВС от вредоносных воздействий требует вмешательства системного администратора. Данный способ является неэффективным и трудозатратным. Поэтому возникает необходимость разработки новых моделей, методов и алгоритмов, направленных на выявление проблем функционирования виртуализированных КС ОВС, вызванных вредоносными воздействиями, и их устранением.
Объектом исследования является виртуализированная КС ОВС.
Предмет исследования. Модели и алгоритмы механизмов защиты
виртуализированных КС ОВС, основанные на технологии ИАД и методы их моделирования.
Целью диссертационного исследования является разработка методов и модели организации защиты виртуализированных КС ОВС на основе методов интеллектуального анализа данных (ИАД) от сетевых атак.
Для достижения цели были поставлены и решены следующие задачи:
1. Анализ современных подходов к организации систем защиты КС ОВС.
-
Разработка методики сбора и анализа трафика, проходящего в виртуализированной КС ОВС.
-
Разработка метода обнаружения и блокировки сетевых атак на виртуализированные КС ОВС, работающего в автоматическом режиме.
-
Разработка метода моделирования сетевых атак и легитимного трафика для экспериментального исследования вредоносных воздействий на виртуализированные КС ОВС и тестирования разработанных методов защиты виртуализированных КС ОВС.
-
Программная реализация компонентов системы защиты виртуализированной КС ОВС, основанной на разработанных моделях и методах.
6. Оценка эффективности разработанной системы.
Методология и методы исследования. В диссертационной работе использовались
методы ИАД, в том числе кластерного анализа, машинного обучения, нечеткой логики. Кроме того, для тестирования разработанных компонентов были использованы методы имитационного моделирования, натурного моделирования.
Научная новизна.
-
Разработан метод обнаружения сетевых атак, в отличие от известных, учитывающий динамические изменения структуры и объема легитимного трафика, что позволяет автоматически обнаруживать вредоносные воздействия на виртуализированную КС ОВС с меньшим количеством ошибок первого и второго рода.
-
Предложена модель системы защиты, отличающаяся учетом удаленности вычислительных узлов ОВС друг от друга, в которой реализуется расположение компонентов защиты, что обеспечивает сокращение времени реакции системы защиты на атаки, а также освобождаются ресурсы виртуальных машин (ВМ) ОВС.
-
Разработан метод гибридного моделирования виртуальных сетей и атак, отличающийся от известных интеграцией сети, построенной с использованием метода имитационного моделирования, с виртуализированной, что позволяет за счет получения обучающей выборки выполнить настройку системы защиты.
Практическая значимость исследования. Разработанные модели и алгоритмы могут быть использованы для организации управления сетевыми процессами большинством ОВС, в частности на их основе реализована система для облачной вычислительной платформы OpenStack. Использование разработанных моделей позволит реорганизовать управление ОВС компаниям, предоставляющим решения в сфере облачных услуг, существенно снизив рутинную работу специалистов. Разработанные в процессе исследований стенды для моделирования атак на виртуализированные КС ОВС существенно упрощают процесс тестирования разрабатываемых методов защиты.
Положения, выносимые на защиту.
1. Метод обнаружения сетевых атак, включающий в себя алгоритм
переобучения моделей классификации трафика. Разработанный метод учитывает динамическое изменение структуры и объема трафика в виртуализированной КС ОВС. Это позволяет существенно снизить рутинную работу системных администраторов ОВС. Процесс обнаружения сетевых атак состоит из пяти этапов, что позволят снизить ресурсопотребление и количество ошибок первого и второго рода.
-
Метод моделирования внешних и внутренних сетевых атак на виртуализированную КС ОВС. Метод включает в себя модели и алгоритмы гибридного моделирования компьютерных сетей. Методика позволяет комбинировать методы натурного моделирования, имитационного моделирования и эмуляции. Виртуализированные сети воспроизводят процессы, проходящие в реальных компьютерных сетях, с достаточно высокой точностью (поддержка различных сетевых протоколов, последовательности обмена пакетами и т.д.) и минимальными накладными расходами. Реальными узлами выступают ВМ, развернутые в ОВС OpenStack. Подобная комбинация позволяет не только быстро перестраивать топологии компьютерных сетей, настраивать сценарии экспериментов, но и получать более точные результаты по сравнению с имитационным моделированием виртуальных машин и компонентов ОВС.
-
Модель системы защиты для расположения компонент защиты на распределенной ОВС. Использование модели позволит сократить количество компонент защиты при соблюдении параметров. Уменьшение количества узлов защиты позволит системным администраторам тратить меньшее время на обслуживание системы защиты.
-
Архитектура и программный прототип системы мониторинга и реконфигурации виртуальной сети ОВС. Взаимодействие между компонентами выполнено таким образом, чтобы система могла располагаться как на одном узле ОВС, так и быть географически распределенной.
Апробация результатов работы. Основные положения и результаты
диссертационной работы докладывались и обсуждались на международных конференциях New2AN, St. Petersburg, Russia, 2016 г.; SEKE’2015, Pittsburgh, USA, 2015 г., ARES’2015, Daejeon, 2015 г. ElConRusW, 2014-2015, Санкт-Петербург, 2014-2015 гг, конференциях профессорско-преподавательского состава СПбГЭТУ «ЛЭТИ», Санкт-Петербург, 2014-2016 гг, международном научном симпозиуме "Sense. Enable. SPITSE.", Санкт-Петербург, 2015 г.
Внедрение результатов работы. Результаты работы были использованы при выполнении НИР и в учебном процессе СПбГЭТУ на кафедре вычислительной техники. Модуль сбора и анализа данных был внедрен корпоративную сеть компании, состоящую из 200 узлов, для выявления проблем, связанных с функционированием сети Интернет.
Обоснованность и достоверность представленных в диссертационной работе научных положений обеспечивается проведением анализа состояния исследований в данной области, подтверждается согласованностью теоретических результатов с практическими, полученными при компьютерной реализации, а также апробацией основных теоретических положений в печатных трудах и докладах на научных конференциях. Достоверность результатов диссертационной работы подтверждается разработкой системы защиты для облачной платформы OpenStack, протестированной в лаборатории безопасности информационных технологии кафедры Вычислительной техники. Кроме того получено экспертное заключение, в котором отмечается достаточность производительности разрабатываемой системы защиты для текущих мощностей сетевых атак, а также отмечается наличие интереса к подобным решениям на мировом рынке.
Публикации. Основные теоретические и практические результаты диссертации опубликованы в 14 научных работах, среди которых 7 работ изданиях, рекомендованных ВАК, 4 работы - в материалах международных научно-технических конференций, 3 свидетельства о регистрации программ для ЭВМ.
Структура и объем диссертационной работы. Диссертационная работа объемом 173 машинописных страниц, содержит введение, четыре главы и заключение, список литературы, содержащий 97 наименований, 9 таблиц, 55 рисунков.
Анализ сетевых атак на виртуализированные КС ОВС и механизмов защиты от них
Облачные вычисления — это технологическая модель, в которой IT сервисы (инфраструктура и программное обеспечение) предоставляются сторонним сервисным провайдером. Такие провайдеры называются облачными провайдерами. Подобные сервисы бывают бесплатны, либо пользователи платят за каждый сервис цену, установленную за конкретный тип использования сервиса. Это позволяет пользователям сконцентрироваться на их конкретных целях и задачах, оставив проблемы установки, настройки и обслуживания необходимых компонент на облачного провайдера. 30 лет назад еще не существовало термина ОВС. Он получил широкое распространение в 2008 году. Такие компании как Amazon, Google, Salesforce.com стали первопроходцами в продвижении облачных услуг рынку. К примеру, Amazon Web Services [1] предоставляют инфраструктуру и ключевые сервисы, такие как управление содержимым, необходимым вебсайтам. Прибыль от этих сервисов составила 22 миллиона долларов за 4 квартал 2008 года. Для сравнения в 2007 году компания потеряла 3 миллиона долларов за тот же период.
Для анализа значимости использования ОВС, рассмотрим преимущества их использования.
Важным достоинством является более эффективное использование ресурсов в сравнении с использованием обычных серверов. Виртуализация — ключевая технология, повлекшая развитие облачных технологий. Центры обработки данных (ЦОД), не использующие виртуализацию, не используют свои ресурсы на 100%. Более того максимальный процент использования в среднем достигает 20%. Это происходит, потому что приложение, запущенное на предоставленной аппаратной конфигурации может не использовать всех предоставленных ресурсов. Кроме того, приложение может не использоваться постоянно, а лишь пару часов в день. Кроме того, различным приложения необходимое разное программное и аппаратное обеспечение. Облачный провайдер, предоставляющий инфраструктуру как сервис, запускает виртуализированный центр обработки данных, ресурсы которого будут использоваться эффективнее обычного. Уменьшение количества реальных аппаратных серверов влечет за собой снижение издержек на охлаждении и электричестве, не говоря уже об экономии на покупке множества серверов и их последующего обслуживания. С использованием виртуализации резервное восстановление и создание резервных копий выполняется существенно быстрее по сравнению с восстановление физических серверов. Ian Pratt [2], главный архитектор в Xen, лидирующего провайдера на рынке открытых проектов программного обеспечения виртуализации, отмечает важную особенность технологии — возможность миграции виртуальных машин между разными физическими машинами. Хостинговые компании любят данную возможность, потому что они могут привлечь большее количество клиентов на то же аппаратное обеспечение путем динамического распределения виртуальных машин для оптимизации нагрузки на сервера. Если существует несколько клиентов, задействующих большие мощности и ресурсы, то их можно распределить на разных физических машинах, что позволит сохранить ресурсы для других клиентов. Эти идеи и привели облачные технологии к лидирующим. Следующим очень важным преимуществом использования облачных технологии является экономия на масштабировании и обслуживании. Peter Coffee, стратегический директор компании Saleforce.com, отмечает, что количество дополнительных действий для создания успешного бизнеса увеличилось за последние года. Все больше и больше приложений требует использования различных типов программного обеспечения, сложность настройки и установки которых также растет. Кроме того, ожидания клиентов от приложений и сервисов также возрастает из года в год. Пользователи ожидают, что их сервисы будут более защищены, доступны, информативны. К примеру пользователи почтового сервиса требуют от сервиса автоматически позаботиться о фильтрации спама наряду с блокировкой троянских коней, заражающих их компьютеры посредством электронных писем. Peter Coffee отмечает, что пользователи CRM-систем компании Salesforce.com не обрадовались бы, если бы их данные были бы видимы для других конкурирующих компаний, использующих такой же сервис на Salesforce.com. Компании, предлагающие, свои сервисы, продукцию через интернет, хотят эффективного отражения атак распределенного отказа обслуживания (DDoS-атак), которые могут разрушить их бизнес. Все это требует дополнительных вложений, которых бизнес хотел бы избежать. Облачный провайдер публичных сервисов, обслуживающий более одной компании, имеет необходимый запас ресурсов и возможностей для использования лучших решений и уменьшения амортизационных стоимостей среди большого количество пользователей и компаний, тем самым предоставляя им готовые решения с приемлемым соотношением цена/качество. Компании среднего и малого уровня бизнеса порой не могут позволить себе в штате специалиста по безопасности или дополнительного аппаратного обеспечение, которое могло бы защитить их инфраструктуру. Для них использование облачных технологий является решением подобной проблемы.
Согласно отчету [3] в 2013 году было потрачено 47 миллиардов долларов на ОВС. И прогнозируется увеличение этой суммы вдвое к 2017 году, так как множество компаний инвестируют в создание новых конкурирующих предложений с использованием ОВС. Сегодня многие люди не смогли бы представить себе жизнь без облачных сервисов, таких как Facebook, Twitter, Google. ОВС используются в сфере бизнеса. Миллионы организаций по всему миру доверяют свои данные и используют ресурсы ОВС.
Эксперименты с использованием системы гибридного моделирования внешних воздействий на ОВС
Размещение системы защиты на узлах жертв DDoS-атак является самым применимым типом защиты, так как сервисы с критическим содержимым должны быть максимально защищены для легитимных пользователей. Более того, размещение защиты на маршрутизаторах делает обнаружение DDoS-атак достаточно легким процессом из-за серьезной экономии на ресурсах для определения атак. Однако, при внедрении подобной архитектуры, ресурсы, которые подвергаются атаке, такие как ширина канала, могут быть превышены, и система защиты не сможет остановить атаку до маршрутизатора. Установка защита на ресурсах с сервером влечет за собой возможность обнаружения атаки только после ее достижения жертвы, когда легитимные клиенты уже не могут получить доступ к сервису. Данной решение также не эффективно.
Следующей точкой размещения системы защиты может быть промежуточная точка в сети (маршрутизатор, дополнительные узлы для обнаружения трафика), через которую проходит трафик до жертвы. Данное решение пользуется большим спросом среди компаний, имеющих публичные сервисы в сети. Маршрутизация всего трафика до целевого сервиса перенаправляется на узлы компании, предоставляющую защиту. Она имеет большую ширину пропускного канала, анализирует весь трафик, отбрасывая вредоносный. Подобная система защиты не гарантирует конфиденциальности легитимного трафика, так как он проходит через узлы сторонней компании.
Гибридная архитектура защиты — архитектура, в которой механизмы защиты расположены на множестве различных узлов, являющимися жертвами, источниками атак, промежуточными узлами между источниками атаки и жертвой. Данная архитектура использует преимущества всех трех типов архитектуры, однако сложность разработки подобной системы защиты велика, так как необходимо правильно настроенное взаимодействие между компонентами защиты.
Как уже обсуждалось ранее, ОВС дает дополнительные возможности для организации защиты от вредоносного трафика. Далее рассмотрим методы защиты, использующие ОВС. CLAD (Cloud-Based Attack Defense) [60] используется в ОВС, предоставляющих инфраструктуру как сервис. Основной идей данного подхода является недоступность защищаемого сервера в интернете. Весь трафик до него идет через узел CLAD, который верифицирует клиентов и отвечает на запросы. Данный подход к защите от неавторизированных попыток доступа к внутренней инфраструктуре эффективен, но он не видит разницу между вредоносными пакетами и не может управлять межсетевым экраном для фильтрации нежелательного трафика. Следующий вариант защиты от DDoS-атак заключается в перенаправлении каждого нового соединения между клиентом и защищаемым сервером через сторонний сервер, который каждый раз создает новый маршрут до сервера. Тем самым атака, направленная на заполнение ширины канала, будет неуспешна, так как потоки направляются по различным каналам. Однако, данная схема защиты не гарантирует что новый уникальный маршрут будет новым для следующего соединения. Кроме того, узким местом в данном случае будут узлы, находящиеся в непосредственной близости к входу в ОВС, так как весь распределенный трафик будет сходиться в этих точках в один поток. Обнаружение на ранних этапах атаки затрудняется уникальных маршрутизаций потоков. Подобная схема не допускает SSL соединения.
Широкое распространение получили системы, использующие сигнатурный поиск аномалий в трафике. В основном подобные системы защиты анализируют поведение злоумышленника более-менее линейно, сравнивая поток трафика с образцами потоков, известными как smurf [61], SYN или другими известными типами атак. Подобные решения эффективны против злоумышленников, использующих широко распространенное программное обеспечение и стандартные сценарии проведения атак, но не справятся с любыми ухищрениями, которые злоумышленник может предпринять. Кроме того, в случае, обнаружения источника вредоносного трафика, система заблокирует его полностью, хотя это может быть легитимный клиент, зараженным вирусом. В случае с ОВС, блокировать целиком внутреннюю виртуальную машину клиента может повлечь большие проблемы для клиента, а в последствие и для провайдера облачных сервисов, так как основной целью использования ОВС является доступность ресурсов и сервисов 24/7/365.
Следующий механизм защиты использует машинное обучение. Он в автоматическом режиме обнаруживает аномалии трафика и находит вредоносный трафик с помощью обученных моделей. Если определяется наличие аномалии, проводится дальнейшее исследование трафика. Если какая-то из характеристики потоков трафика превышает значение, полученной моделью при обучении, тогда, данный поток будет отброшен. Преимущество данного метода состоит в нелинейном исследовании трафике, позволяющем с высокой точностью определить принадлежность трафика к вредоносному. Сложность подхода состоит в процессе машинного обучения. Необходимо правильно выполнить все этапы машинного обучения для достижения эффективной защиты.
Другой механизм защиты использует модель Honey Pot — приманки для атакующего трафика. В случае начала атаки, система защиты автоматически создает сервис-пустышку, которая ничем не отличается для злоумышленника от сервиса-жертвы. При этом сеть перестраивается таким образом, чтобы легитимный трафик достигал своего назначения. В результате эффективность защиты повышается благодаря данному механизму, но с мощным потоком вредоносного трафика все еще существуют проблемы.
Также в защите ОВС можно использовать интеллектуальный анализ данных. Для создания модели защиты от вредоносного трафика собирается информация о легитимном трафике и о различных типах DDoS-атак. Часто используется протокол NetFlow для сбора данных о потоках, который предоставляет абстрактную информацию о трафике, не требующую долгую обработку данных, как в случае с рсар-подобными датчиками. Сложности создания эффективной модели возникают на каждом этапе интеллектуального анализа данных. Подробнее этот механизм защиты будет описан в следующих разделах.
Также существует алгоритм обнаружения атак с помощью энтропии. Сначала создается профиль поведения узлов компьютерной сети, когда в ней отсутствует вредоносный трафик [62]. Методом собираются данные о топологии, алгоритмах маршрутизации, загруженности ресурсов и т. д. В результате, если в дальнейшем, под воздействием атаки данные значения не совпадут из измеренными, то система обнаружит вредоносный трафик. Сложность данного метода является в правильном выборе узлов мониторинга трафика, их количестве и измеряемых параметрах.
На сегодняшний день не существует одного универсального успешного метода для отражения DDoS-атак на ОВС. Учитывая все вышеописанное был сделан вывод о необходимости разработки новых механизмов защиты от DDoS-атак на вычислительные среды.
Архитектура облачной вычислительной платформы OpenStack
На графике b представлено процентное соотношения мощности трафика, проходящего через WAN-порт шлюза. 50% времени скорость трафика не превышала 1 Мбит/с. Это обуславливается спецификой работы гимназии. Рабочий день начинается с 8 утра и длится вплоть до 6 вечера. В это время в гимназии проходят учебные занятия, а также учителя готовятся к будущим занятиям и готовят отчеты. При анализе временной шкалы мощности трафика также следует отметить всплески нагрузки сети в периоды переменок между уроками. В рабочее время в среднем скорость трафика составляла 10 Мбит/с. Процент времени, в течение которого происходила серьезная нагрузка на сеть составила 13% ( 50 Мбит/с). При этом скорость более 100 Мбит/с составила 8%. Интересно отметить, что канал, арендованный гимназии, составляет 100 Мбит/с. Системный администратор гимназии отмечал, что периодически интернет подвисает. На графике a представлены данные о количестве уникальных пар IP-адресов и портов. Аналогично случаю со скоростью трафика половину времени количество уникальных пар не превышало 100. В рабочее время среднее количество уникальных пар составляло от 100 до 200 штук. В гимназии установлено 200 ПК, что свидетельствует о том, что одновременно используется меньшее количество компьютеров. Причиной этому является то, что 40 ПК являются дополнительными мобильными ноутбуками, запрашиваемыми учителями для проведения практических занятий на уроках. Однако во время переменок количество уникальных пар существенно увеличивалось: более 500 пар. Данный показатель информативен при обнаружении многих типов DDoS-атак, поэтому его низкое значение может свидетельствовать об отсутствии вредоносного трафика в сети гимназии. На графике c в нерабочее время фиксировалось менее 200 пакетов в секунду. В рабочее время в среднем регистрировалось от 500 до 2000 пакетов в секунду. В момент пиковых нагрузок количество пакетов, проходящих через WAN-порт шлюза, составляло более 4000 пакетов, и периодически достигало 100 тысяч пакетов в секунду. Такие нагрузки достигались во время переменок между уроками и перед первым уроком [79].
В результате внедрения компонент, описанных в данной статье, был сделан вывод о необходимости расширения канала связи, арендуемого гимназией.
Данные, полученные с корпоративной сети гимназии и проведенных экспериментов с помощью описанных выше стендов, были объединены для обучения моделей ИАД. В базу данных собранного легитимного трафика были добавлены данные о модельном вредоносном трафике. В результате был сформирован набор сырых данных, которые в дальнейшем использовались для обучения модели ИАД. Подобная методика позволила достичь большей точности работы моделей ИАД по сравнению с моделированием легитимного трафика с помощью стендов. Для доказательства данного утверждения были выполнены серии экспериментов.
Было обучены и протестированы две модели ИАД Decision Tree. Первая модель была обучена на выборке, полученной моделированием как вредоносного, так и легитимного трафика. Легитимный трафик генерировался сценарием, аналогичным HTTP-атакам, но мощность трафика составляла 10-20% от мощности атаки. Вторая модель была обучена с использованием описанной выше методики. Для тестирования моделей были задания сценарии эксперимента. Для генерации вредоносного трафика использовался RSVNet. Для генерации легитимного — генерировался Netflow-трафик, идентичный трафику, собранному в гимназии. Эксперимент длился 10 часов, количество вредоносных узлов постепенно увеличивалось с 25 до 400. Далее приведен график сравнения точности работы моделей, обученных с использованием разработанной методики и без нее (рисунок 2.21).
Сравнение точности результатов работы моделей с использованием реалистичного трафика и без него
Как видно из графика при большом количество атакующих узлов точность работы моделей практически одинакова и стремится к единице. Однако при небольшом количестве атакующих клиентов точность работы моделей снижается. Это происходит из-за того, что при небольшой мощности вредоносного воздействия, оно становится похоже на легитимный трафик. Благодаря выборке, содержащей данные о реалистичном трафике в школе, модель обучилась на более точных данных и показала лучший результат точности при определении вредоносного трафика.
Оценка эффективности моделей компонента анализа и классификации трафика
Главным критерием определения наиболее эффективной модели будем считать минимальный процент ошибок первого рода (FPR). Для первого уровня гипотеза обезличивания типа вредоносного трафика не оправдалась. Для второго уровня гипотеза оправдалась для первого, второго и третьего этапов. При это процент ошибок первого рода в случае объединения вредоносных типов трафика уменьшился на 25% по сравнению с результатом, полученным без объединения типов. Гипотеза оправдала себя на трех моделях из пяти.
В результате для компонента обнаружения вредоносных источников для 1 уровня будет использоваться модель без объединения типов вредоносного трафика, для 2 уровня: 1, 3, 4 этапы — модели с объединением типов вредоносного трафика, 2 этап — без объединения.
Рассмотрим результат работы системы защиты целиком, а не каждого этапа по отдельности. На первом уровне легитимный трафик определяется со 100 точностью и не может быть триггером для активации второго уровня. В случае активации второго уровня на первом этапе неверно определяется 1,11% всего легитимного трафика. То есть 1,11% легитимного трафика будет классифицироваться на следующем этапе. На 2 этапе 3,77% трафика определяется неверно. То есть на следующий этап перейдет всего лишь 0,04% легитимного трафика. В результате работы 3 этапа на последний этап перейдет 0,0018 легитимного трафика. В результаты работы компонента обнаружения вредоносного трафика процент неверно классифицированного трафика составит около 7,5 10-5%. В отсутствие вредоносного трафика весь легитимный трафик определяется верно, во время сетевой атаки при мощности легитимного трафика в 100 Мбит/с лишь 78 бит/с трафика может быть определено как вредоносный. Результаты тестирования разработанной системы защиты превышают результаты работы существующих решений, описанных в предыдущих разделах (основываясь на обзорах данных решений). Однако, в случае если внешний источник генерирует и вредоносный трафик, и легитимный, то он будет полностью недоступен и легитимный трафик будет также заблокирован.
Основываясь на результатах экспериментов при мощности вредоносного трафика 400 Гбит/с система защиты не заблокирует лишь 2,9 Кбит/с (6 10-7%), что является очень высоким показателем надежности работы системы защиты.
Рассмотрим работы системы обнаружения сетевых атак (без блокировки вредоносного трафика) в сравнении с работой Snort. Snort — свободная сетевая система предотвращения вторжений и обнаружения вторжений с открытым исходным кодом, способная выполнять регистрацию пакетов и в реальном времени осуществлять анализ трафика в IP-сетях. Для осуществления защиты КС ОВС на виртуальной машине с установленным сервисом-жертвы был установлен Snort. Для обеспечения защиты от сетевых атак был загружен стандартный пакет правил определения аномальной активности, состоящий из 935 правил. Разработанный и протестированный в ходе диссертационного исследования модели обнаружения сетевых атак были использованы в программной реализации системы обнаружения вредоносного трафика.
Параметрами сравнения эффективности работы систем обнаружения вредоносного трафиками заданы следующие показатели: время с начала атаки до ее обнаружения; точность обнаружения вредоносных источников и легитимного трафика.
Для воспроизведения динамичности изменений количества виртуальных машин и структуры легитимного трафика было создано 80 сценариев генерации легитимного и вредоносного трафика. Для выполнения эксперименты была задействована КС ОВС и внешняя сеть, созданная для тестирования моделей обнаружения вредоносного трафика. С течением времени эксперимента мощность легитимного трафика увеличивалась, как это происходило бы при увеличении количества клиентов ОВС. Сценарии вредоносного трафика комбинировались друг с другом. В качестве атакуемого сервисы был использован веб-сервер Apache. Виртуальная машина содержала 8 VCPU и 16 Гб оперативной памяти, Ubuntu 14.04 был установлен в качестве операционной системы.
Рассмотрим время реакции относительно мощности трафика и количества потоков. Так как отправка данных о потоках трафика происходит раз в 5 секунд, рассмотрим наихудший вариант, когда атака началась сразу после отправки данных о трафике и данные о потоках с вредоносных трафиком будут получены системой защиты через 5 секунд после начала атаки.