Діагностування початку повільної HTTP DDoS атаки на основі двопараметричного кореляційного аналізу трафіку

Анотація

статті досліджено проблему виявлення повільних DDoS-атак на основі аналізу мережевого трафіку. Виявлення повільної HTTP-атаки є значною проблемою, оскільки поведінка зловмисника може імітувати поведінку законного користувача з повільними ресурсами. Авторами запропоновано чотиризонну архітектуру виявлення атак на основі аналізу двох параметрів: кількості підключень до сервера та середнього часу затримки відповіді клієнта. Запропоновано методику виявлення повільних DDOS атак на основі кореляційного аналізу та прогнозу параметрів. Авторський підхід використовує оригінальну двопараметричну модель кореляційного аналізу за кількістю з’єднань і середньою реальною затримкою в мережі. Розроблено алгоритм виявлення повільної DDoS-атаки на основі прогнозування двох параметрів. Ці параметри використовуються як для аналізу, так і для короткострокового прогнозування поведінки трафіку. Алгоритм прогнозування використовує метод розрахунку апостериорної траєкторії часового ряду залежно від апріорних статистичних спостережень. Прогнозування параметрів поведінки користувача дозволяє заздалегідь виявляти повільні DDoS-атаки на основі алгоритму пошуку невідомих майбутніх значень для часового ряду параметрів. Використання відносних значень NC і ARNL як параметрів прогнозу дає можливість побудувати гнучку систему розпізнавання, адаптовану до специфіки конкретної системи. Здійснено моделювання двопараметричного алгоритму виявлення повільних DDOS атак на основі прогнозування та оцінено його ефективність. Запропонований метод є поєднанням штучного інтелекту та статистичного аналізу та використовує алгоритм самонавчання з достатньою статистикою атак. Експериментальні результати показують, що метод підходить для раннього виявлення атак, таких як Slow HTTP Headers, Slow HTTP Body, Slow HTTP Read. Моделювання параметрів трафіку підтверджує можливості методу для виявлення повільних атак на різних інтервалах часу, оскільки точність прогнозу залежить від своєчасності спостережень. При достатній статистиці спостережень відхилення кривої прогнозу може бути менше 5%.

Ключові слова: повільна HTTP DDOS атака, поведінка користувача, кореляційний аналіз, індивідуальна траєкторія, модель прогнозу.

Список використаної літератури
1. Mohammad Fakrul Alam, "Application Layer DDoS, A Practical Approach & Mitigation Techniques, “South Asian network Operators Group (SANOG) -23 Conference, Thimpu, Bhutan, 2014.
2. G. Agosta, S. Chiocchio, E. Cinque, P. Fezzardi, M. Mongelli, A. Persia, M. Pratesi, and F. Valentini. Toward a v2i-based solution for traffic lights optimization. In 2019 11th International Congress on Ultra Modern Telecommunications and Control Systems and Workshops (ICUMT), pages 1--6, 2019.
3. Hong, Kiwon & Kim, Younjun & Choi, Hyungoo & Park, Jinwoo. (2017). SDN-Assisted Slow HTTP DDoS Attack Defense Method. IEEE Communications Letters. PP. 1-1. 10.1109/LCOMM.2017.2766636.
4. Y. -C. Wang and R. -X. Ye, "Credibility-Based Countermeasure Against Slow HTTP DoS Attacks by Using SDN," 2021 IEEE 11th Annual Computing and Communication Workshop and Conference (CCWC), 2021, pp. 0890-0895, doi: 10.1109/CCWC51732.2021.9375911.
5. L. Calvert, and T. M. Khoshgoftaar. Impact of class distribution on the detection of slow HTTP DoS attacks using Big Data. Journal of Big Data, 6 (2019). doi:10.1186/s40537-019-0230-3.
6. Є. В. Дуравкін, А. Карлссон, А. С. Локтіонова. Метод виявлення повільної атаки. Системи обробки інформації, випуск 8 (124), с. 102-106, 2014.
7. A. Bhardwaj, A. Sharma, V. Mangat, K. Kumar and R. Vig. Experimental Analysis of DDoS Attacks on OpenStack Cloud Platform, in: Proceedings of 2nd International Conference on Communication, Computing and Networking, Lecture Notes in Networks and Systems, 46 (2019). doi:10.1007/978-981-13-1217-5_1.
8. І.В. Рубан, Д.В. Прибильнов, Е.С. Лошаков. Метод виявлення низькошвидкісної атаки типу «відмова в обслуговуванні». Наука і техніка Повітряних Сил ЗС України, № 4(13). 85-88, 2013.
9. A. Dhanapal and P. Nithyanandam. The Slow HTTP DDOS Attacks: Detection, Mitigation and Prevention in the Cloud Environment. Scalable Computing: Practice and Experience, 20/4 (2019) 669–685. doi:10.12694/scpe.v20i4.1569.
10. A. Dhanapal, and P. Nithyanandam. The slow HTTP Distributed Denial of Service Attack Detection in Cloud, Scalable Computing, 20/2 (2019) 285–297. doi:10.12694/scpe.v20i2.1501.
11. A. Dhanapal and P. Nithyanandam. The Slow HTTP DDOS Attacks: Detection, Mitigation and Prevention in the Cloud Environment. Scalable Computing: Practice and Experience, 20/4 (2019) 669–685. doi:10.12694/scpe.v20i4.1569. 12. V. Savchenko. Detection of Slow DDoS Attacks based on Time Delay Forecasting / Vitalii Savchenko, Valeriia Savchenko, Oleksandr Laptiev, Oleksander Matsko, Ivan Havryliuk, Kseniia Yerhidzei and Iryna Novikova // Міжнародна науково-практична конференція «Інформаційна безпека та інформаційні технології». 13-19 вересня 2021 року. Forum “DIGITAL REALITY”, September 13 − 19, 2021, Odesa, Ukraine. 13. V. Savchenko. Development of a method for detecting deviations in the nature of traffic from the elements of the communication network / Oleksandr Laptiev, Nataliia Lukova-Chuiko, Serhii Laptiev, Vitaliy Savchenko, Tetiana Laptieva and Serhii Yevseiev // Міжнародна науково-практична конференція «Інформаційна безпека та інформаційні технології». 13-19 вересня 2021 року. Forum “DIGITAL REALITY”, September 13 − 19, 2021, Odesa, Ukraine.
14. V. Savchenko, O. Ilin, N. Hnidenko, O. Tkachenko, O. Laptiev, S. Lehominova. Detection of Slow DDoS Attacks based on User’s Behavior Forecasting. International Journal of Emerging Trends in Engineering Research (IJETER), 8/5 (2020) 2019–2025. doi:10.30534/ijeter/2020/90852020. 15. V. Savchenko, O. Matsko, O. Vorobiov, Y. Kizyak, L. Kriuchkova, Y. Tikhonov, and A. Kotenko. Network traffic forecasting based on the canonical expansion of a random process. Eastern European Journal of Enterprise Technologies, 3/2(93) (2018) 33‒41. doi:10.15587/1729-4061.2018.131471.