Czasopismo | PRZEGLĄD TELEKOMUNIKACYJNY - WIADOMOŚCI TELEKOMUNIKACYJNE | Rocznik 2016 - zeszyt 8-9

WYKRYWANIE ANOMALIIW RUCHU SIECIOWYM PRZY POWOLNYM ATAKUWARSTWY APLIKACJI ANOMALY DETECTION IN TRAFFIC FLOWS IN PRESENCE OF SLOW APPLICATION LAYER ATTACK

10.15199/59.2016.8-9.12

Robert Gajewski

nr katalogowy: 101865
10.15199/59.2016.8-9.12

Ataki odmowy usługi staja˛ sie˛ coraz cze˛stsze, ros´nie ich skala, i sa˛ bardziej wyrafinowane, co przyczynia si˛e do coraz wi˛ekszych strat. Powolny atak w krótkim czasie jest w stanie zu˙zy´c zasoby serwera dla prawowitego ruchu. Aby przezwyci˛e˙zy´c ten problem, proponowany algorytm wykrywania anomalii skupia si˛e na ilo´sci bajtów ukierunkowanych na serwer, z uwzgl˛ednieniem flag RST/FIN TCP. Celem algorytmu jest identyfikacja anomalii w biez˙a˛cym oknie czasowym na podstawie prawidłowych próbek w profilu normalnym. Abstract: Denial of Service attacks become more frequent, increasing their scale and level of sophistication, which contributes to increasing losses. In a short time, slow attacks are able to consume server resources for legitimate traffic. To overcome this problem, the proposed anomaly detection algorithm is focused on the number of bytes directed to the server, taking into account the TCP RST/FIN flags. The purpose of the algorithm is the identification of anomalies in the current time window based on the normal profile built from legitimate traffic. Słowa kluczowe: Argus, atak odmowy usługi, NetFlow, powolne ataki, slowloris Keywords: Argus, DoS, NetFlow, Slow attacks, slowloris 1. WPROWADZENIE Wykrywanie przez serwer anomalii zwia˛zanych z atakiem odmowy usługi (Denial of Service) wymaga czasu na rozpoznanie. Wewn˛etrzne systemy monitorowania nie od razu wykrywaja˛ ataki ilos´ciowe, zwane inaczej obje˛tos´ciowymi, które da˛z˙a˛ w swych skutkach do uniemo ˙zliwienia dost˛epu do usługi. W ostatnich latach pojawiło sie˛ wiele propozycji metod detekcji. Jedna˛ z nich jest analiza oparta na selektywnym próbkowaniu [1, 2]. Podej´scie to jednak nie uwzgl˛ednia du˙zej cz˛e´sci informacji, w efekcie urza˛dzenie analizuja˛ce przepływy potrzebuje znacznie wi˛ecej czasu do wychwycenia anomalii. O wiele lepsze szanse szybkiego wykrycia anomalii zapewnia metoda wzajemnej informacji [3], w której zaproponowano anal[...]

Bibliografia

[1] Sanjeev Khanna, Santosh S. Venkatesh, Omid Fatemieh, Fariba Khan, and Carl A Gunter, Adaptive selective verification, In INFOCOM, pages 529-537, 2008
[2] Yuri G. Dantas, Vivek Nigam, Iguatemi E. Fonseca, A Selective Defense for Application Layer DDoS Attaks, In Inteligence and Security Informatics Conference (JISIC), 2014 IEEE Joint. 2014
[3] Dipali Vaidya, Sonal Fatangare, A Survey Paper on an On-Line Intrusion Detection Approach to Identify Low-Rate DoS Attacks, In International Journal of Science and Research (IJSR), 2016
[4] Z. Tan, A. Jamdagni, X. He, P. Nanda, R. P. Liu, A system for Denial-Service attack detection based on multivariate correlation analysis, In IEEE Transactions on Parallel and Distributed System, vol. 25, no. 2, pp. 447-456, 2014
[5] ha.ckers.org, Slowloris HTTP DoS Retrieved Oct. 19, 2012,
[online] http://ha.ckers.org/slowloris
[6] GitHub - llaera/slowloris.pl: A new DoS Perl Programm
[online] https://github.com/llaera/ slowloris.pl
[7] TrustWave SpiderLab, (Updated) ModSecurity Advanced Topic of the Week: Mitigating Slow HTTP DoS Attacks, Jul. 13, 2011,
[8] ARGUS - Auditing Network Activity
[online] http: //qosient.com/argus/
[9] Brownlee N., Mills C., Ruth G.: "Traffic flow measurement: Architecture." RFC 2722, 1999
[10] Handelman S., Stibler S., Brownlee N., Ruth G.: “New attributes for traffic flow measurement." RFC 2724, 1999
[11] K. Kołty´s, R. Gajewski, SHaPe: a Honeypot for Electric Power Substation, JTIT, 2015, vol. 4, pp. 37-43.
[12] M. Kruczkowski, System do wykrywania kampanii złos´liwego oprogramowania, Przegla˛d Telekomunikacyjny - Wiadomo´sci Telekomunikacyjne, 2015, vol. 8-9, pp. 789-797.
[13] A. Felkner, A. Kozakiewicz, Praktyczne zastosowanie je˛zyków zarza˛dzania zaufaniem, Przegla˛d Telekomunikacyjny - Wiadomo´sci Telekomunikacyjne, 2015, vol. 8-9, pp. 1108-1117.

Jeśli masz wykupiony/przyznany dostęp - zaloguj się. Skorzystaj z naszych propozycji zakupu!

Publikacja


e-Publikacja (format pdf) - nr 101865 "WYKRYWANIE ANOMALIIW RUCH..." licencja: Osobista Produkt cyfrowy	10.00 zł

Zeszyt


PRZEGLĄD TELEKOMUNIKACYJNY - e-zeszyt (pdf) 2016-8-9 licencja: Osobista Produkt cyfrowy	30.50 zł

Prenumerata

PRZEGLĄD TELEKOMUNIKACYJNY - prenumerata cyfrowa
licencja: Osobista

Produkt cyfrowy
Nowość

300.00 zł

PRZEGLĄD TELEKOMUNIKACYJNY - papierowa prenumerata roczna + wysyłka
licencja: Osobista

Szczegóły pakietu

Nazwa
PRZEGLĄD TELEKOMUNIKACYJNY - papierowa prenumerata roczna	348.00 zł brutto 322.22 zł netto 25.78 zł VAT (stawka VAT 8%)
PRZEGLĄD TELEKOMUNIKACYJNY - pakowanie i wysyłka	21.00 zł brutto 17.07 zł netto 3.93 zł VAT (stawka VAT 23%)

369.00 zł

PRZEGLĄD TELEKOMUNIKACYJNY - PAKIET prenumerata PLUS
licencja: Osobista

Szczegóły pakietu

Nazwa
PRZEGLĄD TELEKOMUNIKACYJNY - PAKIET prenumerata PLUS (Prenumerata papierowa + dostęp do portalu sigma-not.pl + e-prenumerata)	450.00 zł brutto 416.67 zł netto 33.33 zł VAT (stawka VAT 8%)

450.00 zł

Zeszyt

2016-8-9

Twój Koszyk

Publikacja

Zeszyt

Prenumerata

Zeszyt

Czasopisma