Аннотация:
В работе усовершенствован подход к обнаружению DDoS-атак на основе использования оператора эволюции динамических систем, разработанный ранее авторами. В предложенном подходе сетевому трафику ставятся в соответствие различные характеристики — признаки его временной структуры, формируемые по адресным и нагрузочным параметрам заголовков пакетов данных трафика. Предполагается, что различным состояниям трафика (нормальное состояние, атаки разных типов) соответствуют различные временные структуры характеристик, которые генерируется неизвестными линейными динамическими операторами. Связь между значениями различных характеристик в различных дискретных временных отсчетах устанавливается оператором эволюции. Основная рабочая гипотеза исследования заключается в том, что различным состояниям трафика соответствуют различные динамические операторы, а следовательно, и операторы эволюции. Приведен общий вид матрицы оператора эволюции трафика, реконструированной по значениям его наблюдаемых характеристик. Матричные элементы оператора эволюции определяют взаимосвязь характеристик трафика, давая целостное описание его динамической структуры. Введено понятие среднего значения оператора эволюции трафика, на основе которого формируются специальные хеш-функции и их статистические распределения для различных состояний трафика. В вычислительном эксперименте формировались адресные и нагрузочные хеш-функции, причинно соответствующие адресным и нагрузочным параметрам заголовков пакетов данных трафика. Результаты вычислительного эксперимента подтвердили возможность точной классификации трех состояний трафика: нормального и двух аномальных (HTTP flood атака и SlowLoris атака).