Обзор предшествующих работ

Идея определения некоторых пороговых значений для выявления аномальных сетевых состояний была высказана достаточно давно, начиная с момента появления DoS атак [6]. Вопрос состоит только в том, для каких переменных необходимо искать эти пороговые значения. В работе [7] было предложено находить некую статистическую функцию, которая может рассматриваться как энтропия и по ее поведению делать вывод о начале атаки. Этот подход может быть использован для выявления малозаметных атак с запросами низкой интенсивности [8].

Работа [9] содержит анализ атак на DNS сервера при помощи специально сконструированной величины (detection value) для которой рассчитывается пороговое значение. Эта величина строиться с учетом числа запросов к DNS серверу и ответов на запросы в течении фиксированного временного интервала. Распознавание атаки с выявлением аномального поведения сети на основе нестандартных отклонений от обычного поведения, то есть когда отклонения значений важнейших сетевых переменных находятся в области превышают три сигмы от нормальных значений описано в статье [10].

Множество работ посвящено обнаружению несанкционированных вторжений при помощи анализа данных протокола NetFlow. Достаточно полный обзор можно найти в статье [11]. Среди методов обнаружения вторжений можно отметить статистический подход [12,13], когда анализ информации о потоках с помощью простейших законов теории вероятности позволяет выявить источники атак. Статистический подход отличается простотой, даёт надежные результаты, но область применения ограничена хорошо изученными типами атак.

Греческие авторы работы [14] предложили использовать для анализа атаки 5 переменных, отношение входящего UDP и ICMP трафика к исходящему, количество потоков, состоящих из одного пакета, количество потоков длительностью меньше 10 миллисекунд, а также количество новых потоков в секунду. Для этих переменных были определены пороговые уровни, при превышении которых можно говорить о начале атаки. Эта работа наиболее близка к предлагаемому нами подходу.

Одна из отличительных особенностей предлагаемого в данной работе подхода это применение рангового анализа для данных NetFlow [15]. Обнаружение атаки базируется на отклонениях от распределения Зипфа [16]. Для этого анализируется информация об активных или завершённых потоках за некоторый промежуток времени. Минимальное время сбора статистики NetFlow может варьироваться от одной до пяти минут. При нормальном функционировании сети ранжированный список количества потоков, генерируемых уникальным IP адресом, представляет типичное распределение Зипфа [17]. Атакующие адреса могут быть идентифицированы по превышению установленного порогового значения для числа активных или завершённых потоков [15]. Во время атак число потоков возрастает многократно.

В настоящее время особое внимание должно быть уделено противостоянию наиболее опасному виду DDoS атак по переполнению внешнего канала, ведущего к отдельному серверу, локальной организации или автономной системе. Следует упомянуть одну из первых аналитических статей [18] по атакам на переполнение внешнего канала, в ней дается обзор источников атаки и стратегий защиты, приведены данные об атакующих мощностях.