Устройство обнаружения удаленных атак на web-сервер
Предлагаемая полезная модель - устройство обнаружения удаленных атак на web-сервер относится к электросвязи и может быть использовано в средствах защиты информации, а именно в системах обнаружения удаленных атак на web-серверы компьютерных сетей, осуществляемых средствами сетевого соединения в глобальных компьютерных сетях, в которых связь между абонентами осуществляется путем передачи пакетов данных в соответствии с протоколом TCP/IP. Целью предлагаемой полезной модели является повышение вероятности обнаружения и защиты от удаленных атак на web-сервера, связанных с исчерпанием ресурсов производительности web-сервера. Эта цель достигается тем, что в устройство обнаружения удаленных атак на Web-сервер, содержащее блок хранения эталонов известных атак и необходимых коэффициентов, блок приема адресованных абоненту пакетов данных, блок проверки поступающих пакетов данных на соответствие заданным правилам, блок принятия решения для принятия мер защиты от атаки, вводится блок идентификации состояния web-сервера, блок прогнозирования состояния web-сервера, а также в блок принятия решения введены блоки реагирования при повышенной и при критической нагрузке, а в блок проверки по заданным правилам введен блок проверки величины прогнозируемого значения. Ил.2
Устройство обнаружения удаленных атак на web-сервер относится к электросвязи и может быть использовано в средствах защиты информации, а именно в системах обнаружения удаленных атак, на web- серверы компьютерных сетей, осуществляемых средствами сетевого соединения в глобальных компьютерных сетях, в которых связь между абонентами осуществляется путем передачи пакетов данных в соответствии с протоколом TCP/IP.
Наиболее близким по своей технической сущности к заявленному является «Способ обнаружения удаленных атак на автоматизированные системы управления», по патенту РФ №2264649 класс G 06 F 12/14, заявл. 26.04.2004 [1]. Изобретение содержит, блок хранения эталонов известных атак и необходимых коэффициентов, блок приема адресованных абоненту пакетов данных, блок проверки поступающих пакетов данных на соответствие заданным правилам, блок принятия решения для принятия мер защиты от атаки, причем вход блока приема связан с каналом связи, его выход соединен со входом блока проверки на соответствие заданным правилам, выход блока хранения эталонов соединен со входом блока проверки по заданным правилам, выход блока проверки по заданным правилам соединен со входом блока принятия решения, а выход блока принятия решения соединен со входом блока приема пакетов.
Недостатками описанного устройства являются: а) отсутствие подсистемы идентификации состояния; б) отсутствие подсистемы
прогнозирования в) отсутствие в подсистеме реагирования элементов управления при опасной и при критической нагрузке.
Технической задачей, решаемой предлагаемой полезной моделью является повышение вероятности обнаружения и защиты от удаленных атак, связанных с исчерпанием ресурсов производительности web-сервера.
Сущность решаемой технической задачи заключается в том, что в устройство обнаружения удаленных атак на Web-сервер, содержащее блок хранения эталонов известных атак и необходимых коэффициентов, блок приема адресованных абоненту пакетов данных, блок проверки поступающих пакетов данных на соответствие заданным правилам, блок принятия решения для принятия мер защиты от атаки, причем вход блока приема связан с каналом связи, его выход соединен со входом блока проверки на соответствие заданным правилам, выход блока хранения эталонов соединен со входом блока проверки по заданным правилам, выход блока проверки по заданным правилам соединен со входом блока принятия решения, а выход блока принятия решения соединен со входом блока приема пакетов, введен блок идентификации состояния web-сервера, блок прогнозирования состояния web-сервера, причем выход блока приема пакетов соединен со входом блока идентификации, выход блока идентификации подключен к блоку проверки по заданным правилам, выход блока приема пакетов соединен со входом блока прогнозирования, а выход блока прогнозирования подключен к блоку проверки по заданным правилам, причем в блок проверки по заданным правилам добавлен элемент сравнения прогнозируемого значения параметров с пороговым значением, а в блок принятия решения добавлены элемент реагирования при повышенной нагрузке и элемент реагирования при критической нагрузке. Блок идентификации содержит элемент построения регрессионных моделей и элемент построения аналитических моделей, выход блока приема пакетов подключен ко входам этих элементов, а выход элемента построения аналитических моделей
соединен с выходом элемента построения регрессионных моделей. Блок проверки по заданным правилам содержит элемент сравнения прогнозируемого значения параметров с пороговым, причем выход блока идентификации подключен к входу элемента сравнения прогнозируемого значения с пороговым, а выход блока прогнозирования соединен с входом элемента сравнения прогнозируемого значения параметров с пороговым, а выход элемента сравнения прогнозируемого значения параметров с пороговым подключен к выходу блока проверки по заданным правилам. Блок принятия решения содержит элемент реагирования при критической нагрузке и элемент реагирования при повышенной нагрузке, причем выход блока проверки по заданным правилам подключен к входу элемента реагирования при повышенной нагрузке и элемента реагирования при критической нагрузке, а выход элемента реагирования при критической нагрузке соединен с выходом элемента реагирования при повышенной нагрузке.
Сущность изобретения поясняется чертежами, приведенными на фиг.№1., фиг.№2., на которых показаны:
Фигура №1. - структурная схема предлагаемого устройства;
Фигура №2. - структурная схема блока идентификации, блока проверки по заданным правилам, блока принятия решения;
где цифрами обозначены: 1 - Блок приема пакетов; 2 - Блок хранения эталонов; 3 - Блок Идентификации; 4 - Блок проверки; 5 - Блок принятия решения; 6 - Блок прогнозирования; 7 - Блок проверки по заданным правилам; 8 - Блок сравнения прогнозируемого значения параметров с пороговым значением; 9 - Блок построения регрессионных моделей; 10 - Блок построения аналитических моделей; 11 - Блок реагирования при повышенной нагрузке; 12 - Блок реагирования при критической нагрузке.
I - связь между блоком хранения эталонов и блоком проверки по заданным правилам, II - связь между блоком приема пакетов и блоком проверки, III - связь между блоком приема пакетов и блоком идентификации,
IV - связь между блоком принятия решения и блоком приема пакетов, V - связь между блоком проверки и блоком принятия решения, VI - связь между блоком прогнозирования и блоком проверки, VII - связь между блоком идентификации и блоком проверки.
Предлагаемое устройство обнаружения удаленных атак на web-сервер функционирует следующим образом.
Блок приема пакетов №1 фиг.№1, принимает запрос клиента на получение web-ресурса. Запрос характеризуется рядом параметров, а именно параметрами транспортных протоколов стэка TCP/IP, размером запрашиваемого ресурса, временем выполнения запроса, временем отклика сервера на запрос в процессе установления соединения и др. (Енюков И.С. и др. Статистический анализ и мониторинг научно-образовательных Интернет-сетей. - М.: Финансы и статистика, 2004. - 320 с. [2])
В блоке №2 фиг.№1, задаются N>1 эталонов известных атак, коэффициенты Ксх. мин - минимально допустимое значение показателя сходства выделенных признаков сообщений, Ксовп. допуст - максимально допустимое количество совпадений.
На предварительном этапе в блоке идентификации №3 фиг.№1. проводится факторный эксперимент, в котором, выявляются значимые параметры, позволяющие управлять производительностью сервера [3]. Идентификация заключается в поиске таких параметров производительности сервера, которые обеспечат минимальное время выполнения запросов пользователей при различной интенсивности поступающих запросов. По полученным экспериментальным данным изменения времени выполнения транзакции определяются границы зоны нормального функционирования, зоны повышенной нагрузки и зоны критической нагрузки. Найденные сочетания параметров управления производительностью и минимальных времен выполнения транзакции используются в блоке №4. Также в блоке №3 строятся аналитические модели времени выполнения транзакции на
основе математического аппарата систем массового обслуживания (элемент №10)
Блок №6 фиг.№1, реализует прогноз показателя - время выполнения запросов пользователей, полученных из блока №1. Прогнозирование осуществляется с помощью математического аппарата временных рядов. (Айвазян С.А. Основы эконометрики - М.: ЮНИТИ - ДАНА, 2001. - 432 с.[4]) Полученное прогнозное значение параметра передается в блок №4.
В блоке №4 фиг.№1 происходит сравнение параметров полученного пакета с эталонами возможных атак, хранящимися в блоке хранения эталонов, вычисляются коэффициенты Ксх. мин, Ксовп. допуст. Также, в элементе №8, по данным, полученным из блока №1, блока №6 и блока №3, элемента №9 определяется прогнозируемый режим функционирования web-сервера (нормальная работа, повышенная или критическая нагрузка), происходит сравнение его с результатами аналитического моделирования (блок №10). В случае повышенной или критической нагрузки, а также, в случае если выполняется правило Ксовп_доп_i
Ксовп_доп происходит передача информации о режиме работы или о реализации возможной атаки в блок №5 принятия решения.
Блок №5 фиг.№1 по информации, полученной из элементов №7, №8 осуществляется принятие мер защиты от возможных атак, а именно оптимальная подстройка параметров производительности web-сервера, тем самым уменьшается время выполнения запросов пользователей. В случае режима работы «повышенная нагрузка» элемент №11 осуществляет изменение количества одновременно обрабатываемых запросов сервером, длины очереди сервера, изменения времени таймаута, увеличение числа очереди полуоткрытых соединений. В случае режима работы «критическая нагрузка» элемент №12 осуществляет сброс полуоткрытых соединений, изменение количества повторных перепередач. (Кабир, Мохаммед, Дж. Сервер Apache 2. Библия пользователя.: Пер. с англ. - М.: Издательский дом «Вильямс», 2002. -
672 с.: ил. - Парал. Тит. Англ. [5])
Одной из важнейших характеристик web-сервера является время выполнения запросов пользователей, поэтому в качестве показателя, характеризующего доступность сервера, выбран показатель - время выполнения запросов пользователей. Причем по значению этого показателя можно судить о том, в каком из режимов работы находится web-сервер (нормального функционирования, повышенной нагрузки, критический режим). Причиной ухудшения режима работы сервера может оказаться как осуществленная атака «Отказ в обслуживании», так и повышенная интенсивность потока запросов пользователей. Существуют реализации медленных атак «Отказа в обслуживании», которые не обнаруживаются современными системами обнаружения атак, по причине того, что они не отличаются от легальных запросов пользователей. (А.Кузьманович, Э.Найтли. Низкоскоростные TCP-ориентированные DOS атаки. http://www.acm.org/sigcomm/sigcomm2003/papers/p75-kuzmanovic.pdf [6]).
Поэтому в случае ухудшения показателя качества время выполнения транзакции, невозможно определить, является ли причиной ухудшения атака или легальные запросы пользователей. Существует возможность управлять производительностью web-сервера, причем это необходимо, когда сервер находится в режиме работы «повышенная нагрузка» и при режиме работы «критическая нагрузка».
Таким образом, предложенное устройство обнаружения и защиты web-сервера от удаленных атак повышает вероятность обнаружения и защиты от удаленных атак на web-сервер, связанных с исчерпанием ресурсов производительности web-сервера, за счет введения блока идентификации состояния web-сервера, блока прогнозирования состояния web-сервера, а также добавления в блок реагирования блоков реагирования при повышенной и при критической нагрузке, добавления в блок проверки по заданным правилам блока проверки величины прогнозируемого значения.
Список литературы
1. Патент РФ. Способ обнаружения удаленных атак на автоматизированные системы управления, №2264649, класс G 06 F 12/14, заявл. 26.04.2004.
2. Енюков И.С. и др. Статистический анализ и мониторинг научно-образовательных интернет-сетей. - М.: Финансы и статистика, 2004. - 320 с.
3. Блохин В.Г., О.П.Глудкин, А.И.Гуров. Современный эксперимент, проведение, анализ результатов. - М.: Радио и связь, 1997, - 232 с.: ил.
4. Айвазян С.А. Основы эконометрики - М.: ЮНИТИ - ДАНА, 2001. - 432 с.
5. Кабир, Мохаммед, Дж. Сервер Apache 2. Библия пользователя.: Пер. с англ. - М.: Издательский дом «Вильямс», 2002. - 672 с.: ил. - Парал. Тит. Англ.
6. А.Кузьманович, Э.Найтли. Низкоскоростные TCP-ориентированные DOS атаки, http://www.acm.org/sigcomm/sigcomm2003/papers/p75-kuzmanovic.pdf
1. Устройство обнаружения удаленных атак на Web-сервер, содержащее блок хранения эталонов известных атак и необходимых коэффициентов, блок приема адресованных абоненту пакетов данных, блок проверки поступающих пакетов данных на соответствие заданным правилам, блок принятия решения для принятия мер защиты от атаки, причем вход блока приема связан с каналом связи, его выход соединен с входом блока проверки на соответствие заданным правилам, выход блока хранения эталонов соединен со входом блока проверки по заданным правилам, выход блока проверки по заданным правилам соединен с входом блока принятия решения, а выход блока принятия решения соединен с входом блока приема пакетов, отличающееся тем, что в устройство введен блок идентификации состояния Web-сервера, блок прогнозирования состояния Web-сервера, причем выход блока приема пакетов соединен с входом блока идентификации, выход блока идентификации подключен к блоку проверки по заданным правилам, выход блока приема пакетов соединен с входом блока прогнозирования, а выход блока прогнозирования подключен к блоку проверки по заданным правилам, причем в блок проверки по заданным правилам добавлен элемент сравнения прогнозируемого значения параметров с пороговым значением, а в блок принятия решения добавлены элемент реагирования при повышенной нагрузке и элемент реагирования при критической нагрузке.
2. Устройство по п.1, отличающееся тем, что блок идентификации содержит элемент построения регрессионных моделей и элемент построения аналитических моделей, выход блока приема пакетов подключен ко входам этих элементов, а выход элемента построения аналитических моделей соединен с выходом элемента построения регрессионных моделей.
3. Устройство по п.1, отличающееся тем, что блок проверки по заданным правилам содержит элемент сравнения прогнозируемого значения параметров с пороговым, причем выход блока идентификации подключен к входу элемента сравнения прогнозируемого значения с пороговым, а выход блока прогнозирования соединен с входом элемента сравнения прогнозируемого значения параметров с пороговым, а выход элемента сравнения прогнозируемого значения параметров с пороговым подключен к выходу блока проверки по заданным правилам.
4. Устройство по п.1, отличающееся тем, что блок принятия решения содержит элемент реагирования при критической нагрузке и элемент реагирования при повышенной нагрузке, причем выход блока проверки по заданным правилам подключен к входу элемента реагирования при повышенной нагрузке и элемента реагирования при критической нагрузке, а выход элемента реагирования при критической нагрузке соединен с выходом элемента реагирования при повышенной нагрузке.
