Система выявления и предотвращения распределенных атак на отказ в обслуживании корпоративной сети

Ещё несколько десятилетий тому назад компьютерные сети в большей степени представлялись в однопользовательском виде, обмен данными осуществлялся по достаточно ограниченным каналам.
Создание новейшего метода построения сети на основе коммутации пакетов дало возможность существенно увеличить масштабируемость и устойчивость системы. На сегодняшний день вся деятельность, которая связана с обменом данными, не обходится без применения компьютерных сетей. Охват и трафик глобальной сети Интернет постоянно растет. Это дает возможность разрабатывать многопользовательские распределенные приложения для работы по всему миру. Подобные системы обширно применяются в сферах кредитования, страхования, здравоохранения, права, военных приложений, связи и многих других.
Работоспособность данных приложений во многом зависит от защищенности каналов передачи, так как эффективное применение информационных ресурсов дает возможность в существенной мере увеличить качество обслуживания покупателей, эффективность деятельности предприятия, работы государственных органов. Таким образом, для предприятий и отдельных пользователей свойственна значительная степень связанности через открытые сети и зависимость функционирования от их бесперебойной работы.
Совместно с этим внедрение сетей приумножило число потенциальных злоумышленников, которые имеют доступ к открытым системам. DDoS- атаки - это один из опасных видов преступной деятельности в сети Интернет. Предотвращение сетевых атак – один из непростых вопросов в сфере защиты информационных систем. Большая часть сегодняшних систем имеет распределенную структуру, в основе их архитектуры применяются сетевые технологии. Гарантия работоспособности подобных систем зависит от возможности противодействовать атакам злоумышленников, ориентированные на отказ работы как самой сети, так и информационной системы, функционирующей в ее рамках. Статистика показывает, что число сетевых атак не перестает уменьшаться, способы, которые используют злоумышленники, регулярно развиваются и улучшаются, от единичных атак они переходят к коллективным разработкам. В то же время существующие средства распознавания вторжений и атак не безупречны и недостаточно результативны с точки зрения безопасности решений. По этой причине работа в данном направлении необходима и актуальна.
Целью данного исследования является разработка актуальной технологии для преждевременного выявления сетевых атак средней и малой мощности, нацеленных на отказ в обслуживании, дальнейшего выявления вредоносного трафика на стороне атакуемого ресурса и его блокировки собственными силами.
Для достижения цели исследования определены и решены следующие задачи:
Анализ существующих DDoS-атак.
Исследование методов противодействия DDoS-атакам, в том числе недостатков результативных средств противодействия атакам малой мощности.
Разработка алгоритма и программного комплекса по выявлению DDoS–атак и вредоносных запросов.
Объектом исследования являются компьютерные сети и распределенные атаки, нацеленные на отказ в обслуживании, осуществляемые в этих сетях.
Предметом исследования выступают модели и способы выявления распределенных атак, направленных на отказ в обслуживании, и выделение вредоносного трафика этих атак.

ОПРЕДЕЛЕНИЯ, ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ 6
ВВЕДЕНИЕ 7
ГЛАВА 1. ИССЛЕДОВАНИЕ ВЛИЯНИЯ СУЩЕСТВУЮЩИХ DDOS-АТАК 9
1.1 Ключевые определения 9
1.2 Причины использования DDoS-атак 9
1.3 Формирование DDoS-атаки 11
1.4 Типы DdoS-атак 12
1.5 Обзор и оценка сегодняшних DDoS-атак 18
1.6 Современные средства противодействия при DDos-атаках 19
Выводы по главе 20
ГЛАВА 2. МЕТОДЫ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ОТ СЕТЕВЫХ АТАК …………………………………………………………………………………….22
2.1 Архитектура DDoS-атаки 22
2.2 Классификация способов выявления атак 23
2.2.1 Cisco Guard 27
2.2.2 DDoSoff …………………………………………………………………...28
2.2.3 Сторонний сервер 29
2.2.4 Выявление, основанное на аномалиях 30
2.2.5 Выявление, основанное на правилах и сигнатурах 31
2.2.6 Подход с применением способов машинного обучения 31
2.2.7 Средства защиты, которые размещаются на атакуемой стороне 32
Выводы по главе 34
ГЛАВА 3. Разработка программного комплекса фильтрации трафика 35
3.1 Постановка задачи 35
3.2 Выбор средств реализации 37
3.3 Выбор данных для анализа 37
3.4 Разработка программного комплекса фильтрации трафика 38
3.4.1 Алгоритм работы программного комплекса фильтрации трафика 38
3.4.2 Средство обработки и загрузки данных 39
3.4.3 Средство обнаружения начала атаки 42
3.4.4 Средство фильтрации трафика 44
3.4.5 Блокировка вредоносных запросов 44
3.4.6 Архитектура программного комплекса 45
Выводы по главе 46
ГЛАВА 4. Апробация разработанного программного комплекса 48
4.1 Постановка задачи 48
4.2 Создание нагрузочной сети 49
4.3 Ход экспериментов 51
4.3.1 Инсталляция и подготовка сервера 51
4.3.2 Проведение простых нагрузочных тестов 54
4.3.3 Проведение нагрузочных тестов – копий реальных DDoS-атак 57
4.3.4 Имитация DDoS-атак к существующим web-сайтам 58
4.3.5 Обобщение данных. Результаты 60
4.4 Апробация в реальных условиях 64
4.5 Методика определения уязвимостей к DDoS-атакам систем управления содержанием 64
Выводы по главе 70
ЗАКЛЮЧЕНИЕ 71
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 74

Выпускная квалификационная работа на тему: "Система выявления и предотвращения распределенных атак на отказ в обслуживании корпоративной сети"
Предмет: Информационная безопасность
Оригинальность на Антиплагиат.РУ (модуль - Интернет): 50%
Объём: 79 стр.

1. DDoS-атаки [электронный ресурс] / URL: http://localname.ru/soft/atakitipa-otkaz-v-obsluzhivanii-dos-i-raspredelennyiy- otkaz-v-obsluzhivanii- ddos.html (дата обращения 13.10.2022).
2. Предотвращение атак с распределенным отказом в обслуживании (DDoS):[электронный ресурс] /Официальный сайт компании Cisco / URL: http://www.cisco.com/web/RU/products/ps5887/products_white_paper0900aecd80 11e927_.html (дата обращения 13.10.2022).
3. DDoS-атаки второго полугодия 2011 г. [электронный ресурс] / URL: http://www.securelist.com/ru/analysis/208050745/DDoS_ataki_vtorogo_polugo diya_2011_goda (дата обращения 14.10.2022).
4. DDoS-весна в Рунете [электронный ресурс] / URL: http://www.securelist.com/ru/blog/207768876/DDoS_vesna_v_Runete (дата обращения 14.10.2022).
5. Хакеры атаковали сайт биржи Nasdaq [электронный ресурс] / URL: http://lenta.ru/news/2012/02/15/block/ (дата обращения 14.10.2022).
6. Одна из самых больших DDoS-атак в истории [электронный ресурс] / URL: http://habrahabr.ru/post/174483/ (дата обращения 14.10.2022).
7. Россия — главный источник всех кибер-атак [электронный ресурс]
/ URL: http://www.amic.ru/news/211097/ (дата обращения 15.10.2022).
8. В день выборов в Рунете бесчинствовали хакеры [электронный ресурс] / URL: http://lenta.ru/articles/2011/12/05/upalo/ (дата обращения 15.10.2022).
9. Сайт телекомпании НТВ вновь подвергается DDoS-атаке [электронный ресурс] / URL: http://www.amic.ru/news/175831/ (дата бращения 16.10.2022).
10. DDoS-атаки первого полугодия 2013 года [электронный ресурс] /URL:http://www.securelist.com/ru/analysis/208050810/DDoS_ataki_pervogo_polugodi ya_2013_goda (дата обращения 1710.2022).
11. Prolexic о II квартале: DDoS становятся все более мощными [электронный ресурс] / URL: http://threatpost.ru/2013/07/23/prolexic_o_ii_kvartale_ddos_stanovjatsa_vse_b oleje_moshchnymi/ (дата обращения 19.10.2022)
12. Диаграмма мощности DDoS-атак [Электронный ресурс] / URL: http://www.securelist.com/ru/images/vlill/ddos_sept2013_pic08.png (дата обращения 20.10.2022)
13. Заседание коллегии Федеральной службы безопасности [Электронный ресурс] / URL:http://kremlin.ru/news/17516 (дата обращения 20.10.2022)
14. Путин поручил ФСБ создать систему по борьбе с кибер-атаками [Электронный ресурс] / URL: http://www.amic.ru/news/205917/
15. В России появится новый род войск [Электронный ресурс] / URL: http://news.mail.ru/politics/13789078/?frommail=1 (дата обращения 20.10.2022)
16. Сайт amic.ru подвергся DDoS-атаке [Электронный ресурс] / URL: http://www.amic.ru/news/192772/ (дата обращения 20.10.2022)
17. Amazon Elastic Compute Cloud [Электронный ресурс] / URL: http://aws.amazon.com/ec2/ (дата обращения 20.10.2022)
18. Erik Nygren The Akamai Network: A Platform for High-Performance Internet Applications Ramesh K. Sitaraman, and Jennifer Sun. – ACM SIGOPS Operating Systems Review, vol. 44, no. 3, July 2010.
19. Cabrera, J.B.D. Proactive detection of distributed denial of service attacks using mib traffic variables – a feasibility study I J.B.D. Cabrera, L. Lewis, X. Qin et al. II Proc.of International Symposium on Integrated Network Management. Seattle, 14–18 May. 2001. – Piscataway: IEEE, 2001. – P. 609– 622.
20. Jin, C. Hop-count filtering: An effective defense against spoofed DDoS traffic I
C. Jin, H. Wang, K.G. Shin II Proc. of 10th ACM Conference on Computer and Communications Security. Washington, October 27-30, 2003. - [USA] : ACM publishing, 2003. -P. 30-41.
21. Kang, J. Protect E-Commerce against DDoS Attacks with Improved D- WARD Detection System I J. Kang, Z. Zhang, J. Ju II Proc. of 2005 IEEE International Conference on e-Technology, e-Commerce and e-Service. Hong- Kong, 29 March - 1 April, 2005. - Piscataway : IEEE, 2005. - P. 100-105.
22. Щерба Е.В. Разработка системы обнаружения распределенных сетевых атак типа «Отказ в обслуживании» / Щерба Е.В., Волков Д.А. // «Прикладная дискретная математика. Приложение». – 2018. №6 – С.68- 70.
23. Никишова А.В. Обнаружение распределенных атак на информационную систему предприятия / Никишова А.В., Чурилина А.Е. // «Известия Южного федерального университета. Технические науки». – 2020. №12(149) – С.135– 143.
24. Корнев Д.А. Активные методы обнаружения SYN-flood атак / Корнев Д.А., Лопин В.Н., Лузгин В.Г. // «Информационная безопасность». – 2018. Т. 15, №2 – С.189– 196.
25. Kaspersky DDoS Prevention [Электронный ресурс] / URL: http://www.kaspersky.ru/ddos-prevention (дата обращения 25.10.2022)
26. CloudFlare [Электронный ресурс] / URL:https://www.cloudflare.com/ (дата обращения 25.10.2022)
27. DDOS Deflate [Электронный ресурс] / URL: http://deflate.medialayer.com/ (дата обращения 25.10.2022)
28. Терновой О.С. Использование байесовского классификатора для получения обучающих выборок при определении вредоносного трафика на коротких интервалах / Терновой О.С., Шатохина А.С. // «Известия ». – 2019. №1/2(74) – С.104– 108.
29. Простой способ защиты от классического HTTP DDoS [Электронный ресурс] / URL: http://habrahabr.ru/post/151420/
30. Терновой О.С. Ранее обнаружение DDoS-атак статистическими методами при учете сезонности [Текст] /О.С. Терновой, А.С. Шатохин // Доклады Томского государственного университета. – 2018. – №1/2 (25) – С.104–108.
31. Терновой О.С. Снижение ошибки обнаружения DDoS-атак статистическими методами при учете сезонности [Текст] /О.С. Терновой, А.С. Шатохин // Ползуновский вестник. – 2020. – №3/2.
32. Сервис статистики LiveInternet [Электронный ресурс] / URL: http://www.liveinternet.ru/corp/about.html (дата обращения 27.10.2022)
33. Статистика сайта amic.ru [Электронный ресурс] / URL: http://www.liveinternet.ru/stat/amicru/ (дата обращения 27.10.2022)
34. Статистика сайта yaplakal.com [Электронный ресурс] / URL: http://www.liveinternet.ru/stat/yaplakal.com/index.html (дата обращения 27.10.2022)
35. Рейтинг сайтов, все категории, Россия [Электронный ресурс] / URL: http://www.liveinternet.ru/rating/ru/ (дата обращения 11.11.2022)
36. Алгоритмы кластерного анализа [Электронный ресурс] / URL: http://www.dea-analysis.ru/clustering-5.htm (дата обращения 11.11.2022)
37. Методы кластерного анализа. Итеративные методы. [Электронный ресурс] / URL: http://www.intuit.ru/studies/courses/6/6/lecture/184?page=5 (дата обращения 11.11.2022)
38. Программное обеспечение SPSS [Электронный ресурс] / URL: http://www-01.ibm.com/software/ru/analytics/spss/ (дата обращения 13.11.2022)
39. Мещеряков Р.В. Оценка информативного признакового пространства для системы обнаружения вторжений Мещеряков Р.В., И.А. Ходашинский, Е.Н. Гусакова // «Известия Южного федерального университета. Технические науки.» – 2019. №12(149) – С. 57–63.
40. Log files [Электронный ресурс] / URL:http://httpd.apache.org/docs/2.2/logs.html (дата обращения 13.11.2022)
41. UNIX TIMESTAMP [Электронный ресурс] / URL: http://www.unixtimestamp.com/index.php (дата обращения 13.11.2022)
42. Щерба М.А. Обнаружение низкоактивных распределенных атак типа
«Отказ в обслуживании» в компьютерных сетях: дис. … работа канд. тех. наук Омский гос. университет, Омск, 2020.
43. Терновой О.С. Имитация и исследование DDOS-атак в лабораторных условиях. Терновой О.С., Шатохин А.С. XIX Всероссийская научно- методическая конференция Телематика , Санкт-Петербург, 2019.
44. Терновой О.С. Обнаружение источников вредоносного трафика DDoS- атак методами статистического анализа. В кн.: Материалы XV Региональной конференции по математике, Барнаул, июнь, 2021. С. 80
45. Apache JMetr [Электронный ресурс] / URL: http://jmeter.apache.org/ (дата обращения 13.11.2022)
46. Debian [Электронный ресурс] / URL: http://www.debian.org/index.ru.html (дата обращения 13.11.2022)
47. DistroWatch Page Hit Ranking [Электронный ресурс] / URL: http://distrowatch.com/dwres.php?resource=popularity (дата обращения 13.11.2022)
48. Дистрибутивы GNU/Linux, основанные на Debian [Электронный ресурс]
/ URL: http://www.debian.org/misc/children-distros (дата обращения 13.11.2022)
49. About WordPress [Электронный ресурс] / URL: http://wordpress.org/about/ (дата обращения 13.11.2022)
50. About Clonezilla [Электронный ресурс] / URL: http://clonezilla.org/ (дата обращения 13.11.2022)
51. Терновой О.С. Методика и средства раннего выявления и противодействия угрозам нарушения информационной безопасности в результате DDoS-атак// «Известия ». – 2013. №1/2(77). – С. 123–126.
52. Терновой О.С. Методика обнаружения уязвимостей к DDoS-атакам систем управления контентом на примере системы Wordpress/ Терновой О.С., Шатохина А.С. // «Известия ». – 2012. №1/2(71). – С. 104–108.
53. Мещеряков Р.В. Концепция защиты образовательного портала отрасли Мещеряков Р.В., Шелупанов А.А., Давыдова Е.М. // «Информационное противодействие угрозам терроризма». – 2015. №4. – С. 232–239.
54. Поисковая система mnoGoSearch для Windows – русская версия [Электронный ресурс] / URL: http://www.mnogosearch.org/winrus.html
55. О.С. Терновой, А.С. Шатохин Методики и средства выявления и противодействия угрозам информационной безопасности в контексте региональных web-ресурсов // Региональные аспекты технической и правовой защиты информации. – Барнаул: Издательство АлтГУ, 2013.
56. Sigmond S. DDOS attacks: precursor to digital terrorism // SIGMOND S., KAURA V. // SILICONINDIA – 2001. Т. 5. №11. – С. 60–62.
57. Афанасьев А. DDOS: противостояние. Как происходят атаки и как их отражать // Системный администратор. Синдикат 13. М. – 2019. №1. – 2(122–123). – С. 59–61.
58. Ковалев Д.А. Классификация методов проведения DDoS-атак // Мир транспорт. – 2020. №1(45). – С. 130–134.
59. Эдгар Э. Петерс Хаос и порядок // Э.Э. Петерс – Москва:Мир, 2020 – 85с.
60. Родионов А.С. Анализ средств противодействия одному виду атак, типа «отказ в обслуживании» // Родионов А.С., Шахов В.В. // Вестник НГУ. Серия информационные технологии. – 2018. Т. 6. №2 – С. 80–87.