Безопасность информационных технологий

Рассмотрены существующие методы регистрации атак класса «отказ в обслуживании» на основе анализа сетевого трафика или данных протокола Netflow. Указаны недостатки и преимущества данных методов. Предложены способ использования метода оценки максимальной энтропии для анализа данных, поступающих по протоколу IPFIX, и способ регистрации распределенных атак «отказ в обслуживании».

протокол IPFIX; распределенная атака «отказ в обслуживании»

1 Gu Y., McCallum A., Towsley D. Detecting anomalies in network traffic using maximum entropy // Tech. rep. Department of Computer Science. UMASS. Amherst, 2005.

2 Lee W., Xiang D. Information-theoretic measures for anomaly detection // Proceedings of the IEEE Symposium on Security and Privacy. IEEE Computer Society. 2001.

3 Zhang H. Study on the TOPN Abnormal Detection Based on the NetFlow Data Set // Computer and Information Science. 2009. Vol. 2. № 3.

4 Distributed Change-Point Detection of DDoS Attacks: Experimental Results on DETER Testbed // USENIX Association Berkeley. CA, USA.

5 Maselli G., Deri L. Design and Implementation of an Anomaly Detection System: an Empirical Approach // Terena TNC. Zagreb, Croatia, 2003.

6 Sekar V., Duffield N., Spatscheck O., Van der Merwe J., Zhang H. Lads: Large-scale automated DDoS detection system // USENIX Annual Technical Conference. 2006.

7 Cisco-Arbor Clean Pipe Solution 2.0 White Paper. URL: http://www.arbornetworks.com/index.php?option=com_ docman&task=doc_download&gid=448.

8 Cisco Systems NetFlow Services Export Version 9 / Claise B., Ed. // RFC 3954. October 2004.

9 Leinen S. Evaluation of Candidate Protocols for IP Flow Information // RFC 3955. 2004.