Ключевые характеристики сетевого трафика для идентификации DDoS-атаки
Рассмотрены современные методы анализа и защиты от DDoS-атак на сетевую инфраструктуру. Разработана модель обнаружения DDoS-атаки с использованием статистических методов, отличающаяся выделением основных этапов атак, а также ключевыми характеристики сетевого трафика, играющих главную роль в обнаружении атаки. В качестве основных характеристик при оценке течения DDoS введены понятия потенциал и мощность атаки. Для идентификации класса атаки предложено увеличение чувствительности модели за счет установления ключевых характеристик, идентифицирующих атаку на каждом из этапов. Рассмотрены особенности течения различных видов DDoS-атак: UDP Flood, UDP Reflection/Amplification, TCP SYN Flood и др. Разработан стенд моделирования сетевых атак типа DDoS. Проведено моделирование DDoS-атак, включая UDP Flood, UDP Reflection/Amplification и TCP SYN Flood, с использованием данных трафика по протоколу NetFlow. Предложенные характеристики атак – как скорость, объем потока, мера потока и т. д. позволили оценить мощность атаки и рассмотреть особенности изменения ключевых характеристик сетевого трафика.
Авторы: Р. Р. Фаткиева, А. С. Судаков, А. С. Нерсисян
Направление: Информатика, вычислительная техника и управление
Ключевые слова: DDoS-атаки, сетевая безопасность, анализ трафика, обнаружение атак, потенциал атаки, мощность атаки, ключевые характеристики сетевого трафика, TCP SYN Flood, UDP Flood, UDP Reflection/Amplification, защита от DDoS, кибербезопасность
Открыть полный текст статьи