- •Нейронные модели обнаружения вторжений и атак на компьютерные сети
- •1. Компьютерные системы как среда проведения вторжений и атак
- •1.1. Определение понятия компьютерных систем
- •1.2. Классификация сетевых атак для компьютерных систем
- •1.2.1. Атаки на основе подбора имени и пароля посредством перебора
- •1.2.2. Атаки на основе сканирования портов
- •1.2.3. Атаки на основе анализа сетевого трафика
- •1.2.4. Атаки на основе внедрения ложного
- •1.2.5. Атаки на основе отказа в обслуживании
- •1.2.5.1. Математическая модель атаки «отказ в обслуживании»
- •1.2.5.2. Атаки, основанные на ошибках
- •1.2.5.3. «Лавинные атаки»
- •2. Подходы к выявлению вторжений и атак
- •2.1. Системы обнаружения вторжений и атак
- •2.3. Возможности систем обнаружения
- •2.4. Технические аспекты выявления атак
- •2.4.1. Обнаружение атак на различных уровнях
- •2.4.2. Время сбора и анализа информации
- •2.5. Подход к построению входного вектора искусственной нейронной сети
- •3. Построение математической модели обнаружения вторжений и атак в компьютерные системы на основе
- •3.1. Основы искусственных нейронных сетей
- •3.1.1. Биологический прототип
- •3.1.2. Искусственный нейрон
- •3.1.3. Персептрон
- •3.2. Обоснование топологии искусственной нейронной сети
- •3.3. Построение структуры сети
- •3.4.1. Дельта-правило
- •3.4.2. Процедура обратного распространения
- •3.4.3. Обучающий алгоритм обратного распространения
- •3.4.4. Алгоритм обучения искусственной нейронной сети
- •3.5. Выбор тестового множества
- •3.6. Оценка возможности модели по обнаружению вторжения и атак
- •3.7. Обобщенная схема системы обнаружения вторжений и атак, на основе полученной математической модели
- •Вопросы для самоконтроля
- •Заключение
- •394026 Воронеж, Московский просп., 14
1.2.5. Атаки на основе отказа в обслуживании
Важнейшей задачей КС является обеспечение надежного удаленного доступа к данному объекту с любого объекта сети. Всякий пользователь КС должен иметь возможность подключиться к любому объекту КС и получить в соответствии со своими правами удаленный доступ к ее ресурсам. Зачастую в КС такая задача решается следующим образом: на объекте в сетевой ОС запускается ряд программ-серверов, входящих в состав телекоммуникационных служб предоставления удаленного сервиса (например, FTP-сервер, WWW-сервер и т. д.). Сервер, находясь в памяти операционной системы объекта КС, постоянно ожидает получения запроса на подключение от удаленного объекта и по возможности передает запросившему объекту ответ, разрешая подключение или не разрешая. Аналогично происходит создание виртуального канала связи, по которому обычно взаимодействуют объекты. В этом случае непосредственно ядро сетевой ОС обрабатывает приходящие извне запросы на создание виртуального [92].
Атака отказ в обслуживании пытается истощить ресурсы атакуемой компьютерной системы (жертвы). Этими ресурсами являются, ширина канала, вычислительные мощности компьютерных систем. Поиск атаки «отказ в обслуживании» сосредоточен на определении механизма идентификации поведения атаки или механизма реагирования, для уменьшения возможного ущерба, причиненного атакой.
Обычно существуют два основных метода реагирования на атаку. Это нахождение источника атаки, путем различных способов или уменьшение интенсивности атаки, с помощью блокирования атакующих пакетов [35].
Перед началом распределённой атаки, вызывающей отказ в обслуживании пользователей, взломщик занимается поиском слабых мест в системе безопасности хоста. О многих из них становится известно от разработчиков программного обеспечения. Затем на хост-зомби устанавливаются вспомогательные программы, что позволяет атаковать целевой объект с помощью команды. Обладая полным контролем над хостом-зомби, злоумышленник может создавать любые пакеты, в том числе и недопустимого содержания, например пакеты с неверной контрольной суммой, неверными значениями в полях заголовков или с запрещённой комбинацией флагов [12].
Выделяют два разных вида таких атак – основанные на ошибках в программном обеспечении и лавинные атаки. Лавинные атаки подразделяются на атаки с одного и со многих компьютеров. Данная классификация изображена на рис. 1.11.
Операционная система КС способна поддерживать ограниченное число открытых виртуальных соединений, а также отвечать на ограниченное число запросов (ограничена длина очереди запросов на подключение, тайм-аут очистки очереди и число одновременно открытых соединений). Эти ограничения устанавливаются индивидуально для каждой сетевой ОС. При отсутствии статической ключевой информации в КС – идентификация запроса возможна только по адресу его отправителя. Если в КС не предусмотрено средств аутентификации адреса отправителя, т.е. инфраструктура КС позволяет с какого-либо объекта системы
Рис. 1.11. Классификация распределённых атак, основанная на числе посылаемых пакетов и количестве атакующих
xT передавать на атакуемый объект большое число анонимных запросов на подключение от имени других объектов (тем самым переполняя очередь запросов), числом на несколько порядков меньше пропускной способности канала (направленный мини-шторм), то это и будет реализацией типовой угрозы безопасности РВС «отказ в обслуживании» (denial of service, DoS). В результате имеет место нарушение на атакованном объекте работоспособности соответствующей службы предоставления удаленного сервиса, то есть невозможность получения удаленного доступа с других объектов КС из-за переполнения очереди (буфера) запросов [13].