Белоусова А.С.
ОЦЕНКА МОЩНОСТИ АТАК ТИПА «ОТКАЗ В ОБСЛУЖИВАНИИ» С ИСПОЛЬЗОВАНИЕМ НЕЧЕТКОЙ ЛОГИКИ *
Аннотация:
в статье была разработана модель оценки уровня мощности DDoS-атак на основе применения нечеткой логики. Проведен анализ количественных и качественных характеристик распределенных DoS-атак. Предлагается методика оценки мощности атак типа «отказ в обслуживании» на основе трех входных параметров – объем, скорость и продолжительность и базе нечетких правил. Смоделированы трехмерные поверхности нечеткого вывода, отображающие зависимость входных лингвистических переменных на выходную
Ключевые слова:
информационная безопасность, информационные технологии, отказ в обслуживании, DDoS-атака, нечеткая логика
DOI 10.24412/2712-8849-2023-764-199-208
УДК 004.056
Белоусова А.С.
студентка магистратуры 1-го курса
Российский экономический университет имени Г. В. Плеханова
(г. Москва, Россия)
ОЦЕНКА МОЩНОСТИ АТАК ТИПА
«ОТКАЗ В ОБСЛУЖИВАНИИ»
С ИСПОЛЬЗОВАНИЕМ НЕЧЕТКОЙ ЛОГИКИ
Аннотация: в статье была разработана модель оценки уровня мощности DDoS-атак на основе применения нечеткой логики. Проведен анализ количественных и качественных характеристик распределенных DoS-атак. Предлагается методика оценки мощности атак типа «отказ в обслуживании» на основе трех входных параметров – объем, скорость и продолжительность и базе нечетких правил. Смоделированы трехмерные поверхности нечеткого вывода, отображающие зависимость входных лингвистических переменных на выходную.
Ключевые слова: информационная безопасность, информационные технологии, отказ в обслуживании, DDoS-атака, нечеткая логика.
Распределенные атаки типа «отказ в обслуживании» или DDoS-атаки — это тип кибератак, при которых злоумышленники пытаются перегрузить целевую систему или сеть, создавая огромное количество трафика или запросов. Целью таких атак является временный или длительный отказ в обслуживании для легитимных пользователей. DDoS-атаки представляют серьезную угрозу для организаций и веб-ресурсов, поскольку они могут привести к временной или постоянной недоступности информационных ресурсов, потере данных, снижению производительности и репутационным проблемам.
Согласно аналитическому отчету ASERT Team за март 2023 года количество распределенных DoS-атака, направленных на Россию, увеличилось примерно на 230% [1] по сравнению с предыдущими месяцами. Кроме того, в полугодовом отчете IT-компании Netscout об угрозах DDoS-атак представлена статистика по российским секторам, которые наиболее серьезно пострадали во второй половине 2022 года от распределенных атак типа «отказ в обслуживании», основными целями злоумышленников являлись сфера телекоммуникаций, операторы беспроводной и проводной связи, а также центры обработки данных [2].
Существуют несколько методов оценки атак типа «отказ в обслуживании», так как их характеристики и последствия, к которым они могут приводить, сильно варьироваться в зависимости от множества факторов, однако эксперты в области информационной безопасности выделяют три ключевые характеристики для измерения DDoS-атак — это мощность, частота и их длительность. Мощность распределенных атак типа «отказ в обслуживании» отражает объем трафика или запросов, генерируемых атакующими и направляемых на целевую систему или сеть. Мощность атаки является одним из основных факторов, определяющих ее разрушительность, чем она больше, тем выше вероятность перегрузки и отказа в обслуживании. По данным экспертов информационной безопасности StormWall в начале 2023 года мощность распределенных атак типа «отказ в обслуживании» против объектов Российской Федерации выросла на 17% по сравнению с прошлым годом [3].
Мощность атак типа «отказ в обслуживании» определяется на основании трех параметров: объем; скорость; продолжительность [4]. Объем DDoS-атак измеряется в битах в секунду (bits per seconds, BPS). C 2019 и по 2023 гг. объем данного типа атак составил в среднем от 100 мегабит (Mbps) до 1 гигабита (Gbps) в секунду [5]. Скорость атаки обычно измеряется в пакетах в секунду (packets per second, PPS). Эта метрика указывает на количество пакетов, генерируемых злоумышленниками и направляемых на целевой ресурс в единицу времени. По оценкам аналитиков Cloudflare, большинство DDoS-атак сетевого уровня в 2022 году составляли ниже 50 000 пакетов в секунду, средний мировой показатель находился в диапазоне от 10 000 до 50 000 пакетов в секунду [6]. Продолжительность DDoS-атак измеряется в минутах, 46% от общего числа распределенных атак типа «отказ в обслуживании» в первом квартале 2023 года длились от 5 до 15 минут [7]. Данные характеристики мощности атак типа «отказ в обслуживании» часто выражают через различные качественные показатели, например, если говорят про длительность атаки, то обычно выделяют «короткие» и «длинные», вопрос «насколько массовая была DDoS-атака?» обычно относится именно к объему атаки, его различают на «слабые» и «сильные». Перечисленные словесные формулировки зависят от экспертной оценки и носят в большей степени субъективный характер, поэтому применение нечеткой логики в качестве математического аппарата целесообразно в случае оценки мощности атак типа «отказ в обслуживании».
Для создания модели оценки уровней мощности распределенных DoS-атак необходимо разработать экспертную систему, которая была бы реализована в виде системы нечеткого вывода и позволяла определять мощность на основе трех ключевых параметров, рассмотренных нами ранее. Проектирование и моделирование системы на основе нечеткой логики будет проводиться посредством пакета расширений Fuzzy Logic Toolbox в математическом программном обеспечении MATLAB. В качестве входных данных будут использованы три лингвистические переменные, представленные в таблице 1.
Таблица 1. Входные лингвистические переменные
|
№ |
Обозначение |
Название переменной |
Терм-множество |
|
1 |
Объем |
«Низкий», «Средний», «Большой»} |
|
|
2 |
Скорость |
{«Низкая», «Средняя», «Выше среднего», «Высокая»} |
|
|
3 |
Продолжительность |
{«Короткая», «Средняя», «Длинная»} |
Выходной переменной будет являться уровень мощности распределенной атаки типа «отказ в обслуживании», обозначим ее за , терм-множество данной лингвистической переменной: {«Незначительный», «Средний», «Высокий»}.
После определения входных и выходных переменных необходимо сформировать базу правил нечеткого вывода, данная база будет составлена из нечетких высказываний, содержащих формулировку «если то», а также функций принадлежности для лингвистических терминов [8]. Всего было сформулировано 36 правил, фрагмент нечеткой базы знаний представлен на рисунке 1.
Рис. 1 Правила нечеткого вывода
Функции принадлежности задаются различными типовыми формам кривых, но наибольшее распространение получили три следующие – это треугольная, трапецеидальная и гауссова. Для графического представления функций принадлежности входной переменной «Объем» будет использоваться трапецеидальная форма. Параметры лингвистического терма «низкий» – [0 0 80 150], терма «средний» – [100 200 600 700], терма «высокий» – [650 800 1000 1000]. Универсальным множеством будут являться значения от 0 до 1000, что соответствуют объему от 0 мегабит до 1 гигабита в секунду.
Для графического представления функций принадлежности входной переменной «Скорость» используются как трапецеидальный, так и треугольные формы. Параметры лингвистического терма «Низкая» – [0 0 25 50], терма «Средняя» – [45 180 300], терма «Выше среднего» – [250 500 750], терма «Высокая» – [700 800 1000 1000]. Универсальным множеством будут являться значения от 0 до 1000, что соответствуют скорости от 0 до 1000 килопакетов в секунду. На рисунке 2 представлены параметры входных лингвистических переменных «Скорость» и «Объем».
Рис. 2 Параметры входных переменных «Скорость» и «Объем»
Для входной переменной «Продолжительность» функции принадлежности будут трапецеидальными и треугольными. Параметры лингвистического терма «Короткая» – [0 0 7 15], терма «Средняя» – [10 20 30], терма «Длинная» – [25 45 60 60]. Универсальным множеством будут являться значения от 0 до 60, что соответствуют количеству минут. На рисунке 3 представлены параметры входной лингвистической переменной «Продолжительность».
Рис. 3 Параметры входной переменной «Продолжительность»
Для выходной переменной «Уровень мощности» функции принадлежности также будут являться трапецеидальными и треугольными. Параметры лингвистического терма «Незначительный» – [0 0 20 30], терма «Средний» – [25 40 55], терма «Высокий» – [50 60 70], терма «Критический» – [65 80]. На рисунке 4 представлены параметры лингвистической переменной «Уровень мощности».
Рис. 4 Параметры выходной переменной «Уровень мощности»
В качестве примера для оценки уровня мощности рассмотрим DDoS-атаку, для которой соответствуют следующие входные данные: объем составил 750 Мбит/с, скорость атаки равна 900 килопакетов/с, продолжительность – 15 минут. Вводим полученные значения в графическое окно нечеткого вывода в Fuzzy Logic Designer. Согласно введенным нами значениям, уровень мощности атаки типа «отказ в обслуживании» будет равняться 84.6 (критический уровень мощности), что соответствует правилу №35 «Если объём – большой и скорость – высокая и продолжительность – средняя, тогда уровень мощности – критический». На рисунке 5 представлен фрагмент результатов вычислений нечеткого вывода для оценки мощности.
Рис. 5 Окно вывода графического представления правил нечеткого вывода
Взаимосвязь между входными параметрами «Объем», «Скорость» и выходным параметром «Уровень мощности», а также входными параметрами «Продолжительность», «Скорость» и выходным параметром «Уровень мощности» представлена на рисунке 6.
Рис. 6 Поверхности зависимостей выходной
переменной «Уровень мощности» от входных
Разработанная модель с использованием нечеткого вывода позволяет оценить уровень мощности DDoS-атак на базе программного обеспечения MATLAB, что может быть использовано для планирования и защита инфраструктуры, так как определение уровня мощности помогает организациям заранее принимать соответствующие решения для защиты своих информационных ресурсов. Зная, насколько мощные могут быть атаки, компании могут разработать и внедрить адекватные организационные и технические меры по обеспечению информационной безопасности для минимизации потенциального ущерба. Кроме того, определение уровня мощности распределенных атак типа «отказ в обслуживании» может помочь создать систему предупреждения и реагирования на такие атаки. Мониторинг и анализ показателей мощности позволяет рано обнаружить атаку и быстро принять меры для снижения ее воздействия.
СПИСОК ЛИТЕРАТУРЫ:
Номер журнала Вестник науки №7 (64) том 4
Ссылка для цитирования:
Белоусова А.С. ОЦЕНКА МОЩНОСТИ АТАК ТИПА «ОТКАЗ В ОБСЛУЖИВАНИИ» С ИСПОЛЬЗОВАНИЕМ НЕЧЕТКОЙ ЛОГИКИ // Вестник науки №7 (64) том 4. С. 199 - 208. 2023 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/9589 (дата обращения: 17.05.2024 г.)
Вестник науки СМИ ЭЛ № ФС 77 - 84401 © 2023. 16+