Телефон: 8-800-350-22-65
WhatsApp: 8-800-350-22-65
Telegram: sibac
Прием заявок круглосуточно
График работы офиса: с 9.00 до 18.00 Нск (5.00 - 14.00 Мск)

Статья опубликована в рамках: Научного журнала «Студенческий» № 26(322)

Рубрика журнала: Информационные технологии

Скачать книгу(-и): Сборник статей конференции, скачать журнал часть 2, скачать журнал часть 3

Библиографическое описание:
Кудряшев Ф.Ю. КОМПЛЕКС АЛГОРИТМОВ ОБНАРУЖЕНИЯ DDOS-АТАК В КОМПЬЮТЕРНЫХ СЕТЯХ ОБЪЕКТА ЗАЩИТЫ // Студенческий: электрон. научн. журн. 2025. № 26(322). URL: https://sibac.info/journal/student/322/383135 (дата обращения: 27.07.2025).

КОМПЛЕКС АЛГОРИТМОВ ОБНАРУЖЕНИЯ DDOS-АТАК В КОМПЬЮТЕРНЫХ СЕТЯХ ОБЪЕКТА ЗАЩИТЫ

Кудряшев Фёдор Юрьевич

студент, Петербургский Государственный Университет Путей Сообщения Императора Александра I,

РФ, г. Санкт-Петербург

COMPLEX OF ALGORITHMS FOR DETECTING DDOS ATTACKS IN COMPUTER NETWORKS OF PROTECTED FACILITIES

 

Kudryashev Fedor Yuryevich

student, Emperor Alexander I St. Petersburg State Transport University,

Russia, Saint Petersburg

 

АННОТАЦИЯ

В статье рассматриваются организационные и технические основы комплексного подхода к обнаружению DDoS-атак в компьютерных сетях. Предложен алгоритмический аппарат, включающий методы анализа сетевого трафика. Особое внимание уделено автоматизации процессов выявления аномалий и минимизации ложных срабатываний. Результаты могут быть использованы для повышения устойчивости корпоративных сетей к кибератакам.

ABSTRACT

The article examines organizational and technical foundations of a comprehensive approach to detecting DDoS attacks in computer networks. An algorithmic framework is proposed, including methods for analyzing network traffic. Particular attention is paid to automating anomaly detection processes and minimizing false positives. The results can be used to enhance the resilience of corporate networks to cyber attacks.

 

Ключевые слова: информационная безопасность, DDos-атаки, обнаружение атак, алгоритмы защиты, кибербезопасность, компьютерные сети.

Keywords: information security, DDoS attacks, attack detection, protection algorithms, cybersecurity, computer networks.

 

ВВЕДЕНИЕ

В современном мире DDoS-атаки (атаки с распределенным отказом в обслуживании) представляют из себя чуть ли не наиболее серьезную угрозу для компаний и предприятий во всем мире. Такие атаки остаются неуязвимыми для большинства современных инструментов обнаружения. Они способны за короткое время парализовать работу предприятия или организации, тем самым нанося им огромный ущерб. DDos-атаки не просто проникают через «периметр» защиты, а полностью выводят из строя серверы, каналы связи и сетевое оборудование, перегружая их фальшивым трафиком. Можно понять, что обычные межсетевые экраны и системы обнаружения атак оказываются совсем не эффективными, их эффективность буквально стремится к нулю. Поэтому необходим другой подход к построению безопасности. В данной статье будет рассмотрен комплекс алгоритмов обнаружения DDos-атак, конкретно для защиты компьютерных сетей объектов высокой важности.

ХОД РАБОТЫ

В наше время очень быстро развиваются облачные технологии, где обрабатываются большие данные. И из-за этого нынешние IP-сети показывают свою ограниченность. Основной проблемой служит то, что они не обладают достаточной гибкостью, сложны для масштабирования и управления ими. Поэтому программно-определяемые сети (SDN) изменили стратегию построения сетей. Они уникальны тем, что они разделяют управление и данные, то есть значительно упрощают пользование такой сетью, позволяя быстро внедрять нужные сервисы и иметь централизованный контроль над всей сетью. Но SDN также уязвимы к атакам, в особенности к DDos-атакам. Обычно для обнаружения этих атак используют централизованные алгоритмы, из-за чего создается высокая нагрузка и увеличивается задержка. При сочетании преимуществ энтропийного анализа на устройствах и методов ансамблевого обучения получается метод, с помощью которого возможно распределить нагрузку, а также ускорить обнаружение атак.

Для мониторинга трафика используется энтропийный анализ. Энтропия вычисляется по следующей формуле:

где pi – вероятность появления пакетов с определенным IP-адресом, а m – количество активных хостов.

Когда происходит атака, то энтропия очень быстро снижается, что позволяет сделать вывод о том, что система «отклонилась» от обычных условий.

Для классификации трафика используется метод под названием «Random Forest». Этот алгоритм машинного обучения объединяет множество деревьев (Decision Trees), каждое из которых обучается на случайной выборке данных. Далее, все предсказания усредняются.

В стандартном случае данный алгоритм обучается на пяти ключевых признаках сетевого трафика, такие как: среднее число пакетов, их размер, увеличение числа портов, потоков и уникальных IP-адресов. Среднее число пакетов при DDos-атаке резко возрастает. Размер дает понять, атакующий это пакет или нет, так как атакующие пакеты в основном значительно меньше «законных», «доверяемых». Увеличение числа портов, потоков и уникальных IP-адресов также позволяют выявить нарушение с помощью обнаружения новых соединений и поддельных IP-адресов в большом количестве.

 

Рисунок 1. Схема обнаружения DDoS-атак на основе энтропии и ансамблевого обучения

 

Рассмотренные выше решения были усовершенствованы с помощью нескольких улучшений, направленных на повышение эффективности обнаружения DDos-атак в SDN.

В исходной методике пороговое значение энтропии δ выбирается на основе нормального трафика. Но порог в динамичных сетях может приводить к ложным срабатываниям. Поэтому модель была изменена так, что δ корректируется автоматически, в зависимости от текущей нагрузки на сеть.

где  – статический порог (стандартное значение),   – плавающее среднее энтропии за окно w,  – коэффициент адаптивности (при проверке использовалось значение 0.7).

Проверка эффективности порога осуществлялась при помощи развертывания SDN-сети. Была создана виртуальная сеть с 10 коммутаторами и 20 хостами, с модифицированным контроллером (для отслеживание DDos-атак), с генерацией стандартного трафика и с имитацией DDos-атак.

Генерация стандартного трафика (HTTP, VoIP) проходила в течение 1 часа. Значения энтропии постепенно записывались и сохранялись. За время проведения проверки было осуществлено 3 атаки с разной интенсивностью (1, 5, 10 Гбит/с). Особое внимание было на таких параметрах, как: T_detect – время обнаружения, FP – количество ложных срабатываний, FN – пропущенные атаки. В стандартном методе значение фиксированного порога равняется 0.2. А в модифицированном методе используются значения  = 0.7, w = 10 с.

Таблица 1

Значения эффективности обнаружения

Метод

T_detect (с)

FP (%)

FN (%)

Стандартный

3.2 ± 0.8

12.1

5.3

Модифицированный

1.8 ± 0.5

3.2

4.1

 

Для визуализации динамики энтропии был написан код на языке Python (См. приложение №1). Результат программного кода представлен ниже:

 

Рисунок 2. Результат программного кода

 

Таким образом, можно сделать вывод о том, что с помощью модифицированного подхода количество ложных срабатываний снизилось в 3-4 раза, пропущенных атак (FN) больше не стало. И при проведении данного тестирования было обнаружено, что такой метод имеет особую эффективность при нестабильном трафике.

ЗАКЛЮЧЕНИЕ

При выполнении работы было проведено исследование, которое подтвердило высокую эффективность предложенного подхода к обнаружению DDos-атак в программно-определяемых сетях (SDN). Был реализован энтропийный анализ на устройствах, и применен алгоритм «Random Forest». Данный механизм сократил время обнаружения атак почти на 40%. Помимо основного механизма была предложена динамическая модель расчета порога энтропии , к алгоритму «Random Forest» были добавлены новые признаки, такие как коэффициент вариации длины пакетов и скорость изменения IP-адресов.

На практике было определено, что ложные срабатывания снизились в 4-5 раз, процент пропущенных атак не увеличился, а наоборот, снизился, хоть и на не большое значение. Также система устойчиво проработала при интенсивности трафика до 10 Гбит/с.

Предложенный подход позволяет с большей вероятностью обнаружить DDos-атаку и повысить эффективность систем кибербезопасности и важных объектов.

Приложение 1

Код визуализации энтропии

import numpy as np

import matplotlib.pyplot as plt

from scipy.ndimage import gaussian_filter1d

from matplotlib.patches import Rectangle

 

plt.style.use('seaborn-v0_8-paper')

plt.rcParams.update({

    'font.size': 12,

    'axes.titlesize': 14,

    'axes.labelsize': 12,

    'xtick.labelsize': 10,

    'ytick.labelsize': 10,

    'legend.fontsize': 10,

    'figure.dpi': 300,

    'figure.figsize': (10, 5),

    'savefig.bbox': 'tight'

})

 

time = np.linspace(0, 40, 400)

 

normal_traffic = 0.82 + 0.06*np.sin(time/3)

normal_traffic += np.random.normal(0, 0.015, len(time))

normal_traffic = gaussian_filter1d(normal_traffic, sigma=4)

 

attack_traffic = normal_traffic.copy()

attack_window = (time >= 20) & (time <= 25)

attack_profile = 0.45 + 0.2*np.exp(-(time[attack_window]-22.5)**2/2)

attack_traffic[attack_window] = attack_profile

attack_traffic = gaussian_filter1d(attack_traffic, sigma=2)

 

adaptive_threshold = np.full_like(time, 0.65)

adaptive_threshold[attack_window] = 0.55 - 0.1*np.exp(-(time[attack_window]-22.5)**2/4)

adaptive_threshold = gaussian_filter1d(adaptive_threshold, sigma=6)

 

fig, ax = plt.subplots()

ax.plot(time, normal_traffic, 'b-', lw=1.8, label='Нормальный трафик (H(t))')

ax.plot(time, attack_traffic, 'r-', lw=1.8, label='Атака (H(t))')

ax.plot(time, adaptive_threshold, 'g--', lw=2, label='Адаптивный порог (δ(t))')

 

ax.add_patch(Rectangle((20, 0), 5, 1, color='red', alpha=0.08))

ax.text(22.5, 0.4, 'ICMP Flood\n20-25 сек', ha='center', color='darkred', fontweight='bold')

ax.set(xlabel='Время (секунды)', ylabel='Нормализованная энтропия',

       title='Динамика энтропии при DDoS-атаке',

       xlim=(0,40), ylim=(0.35,0.95))

ax.grid(ls='--', alpha=0.6)

ax.legend(loc='lower left')

 

plt.savefig('entropy_dynamics.pdf')

plt.show()

 

Список литературы:

  1. Библиотека Matplotlib. - devpractice.ru. 2019. - 100 с.
  2. Елистратова Е., Губко П. Ансамбли в машинном обучении. https://education.yandex.ru/handbook/ml/article/ansambli-v-mashinnom-obuchenii
  3. Предотвращение атак с распределенным отказом в обслуживании (DDoS): [Электронный ресурс] / Официальный сайт компании Cisco / URL: http://www.cisco.com/web/RU/products/ps5887/products_white_paper0900aecd8011e927_.html
  4. Титов А. Н. Визуализация данных в Python. Работа с библиотекой Matplotlib : учебно-методическое пособие / А. Н. Титов, Р. Ф. Тазиева; Минобрнауки России, Казан. нац. исслед. технол. ун-т. – Казань : Изд-во КНИТУ, 2022. – 92 с.
  5. Цветков О. В. Энтропийный анализ данных в физике, биологии и технике. СПб.: Изд-во СПбГЭТУ «ЛЭТИ», 2015. 202 с
  6. Щерба М.В. Анализ комплексного подхода к защите информации при еѐ передаче в распределенных беспроводных сетях / В.И. Никонов, Е.В. Щерба, М.В. Щерба // Омский научный вестник. Серия «Приборы, машины и технологии». - 2011. - №2(100). - С. 193-197.
  7. Щерба М.В. Система анализа устойчивости распределенных компьютерных сетей к атакам на «отказ в обслуживании» / М.В. Щерба // Омский научный вестник. Серия «Приборы, машины и технологии». - 2012. - №1(106). - С. 282-286.
  8. Yu, S., Zhang, J., Liu, J. et al. A cooperative DDoS attack detection scheme based on entropy and ensemble learning in SDN. J Wireless Com Network 2021, 90 (2021). https://doi.org/10.1186/s13638-021-01957-9

 

Оставить комментарий