АНАЛІЗ ТРАФІКУ ПРОГРАМНО-ВИЗНАЧЕНИХ МЕРЕЖ ЗА ДОПОМОГОЮ ЕНТРОПІЇ
DOI:
https://doi.org/10.32782/mathematical-modelling/2022-5-1-14Ключові слова:
виявлення аномалій, ентропія, мережевий потік, вимірювання мережевого трафіку, програмно визначена мережа, DDoS-атакаАнотація
Програмно-визначена мережа (SDN) – це підхід до створення мережі, яка використовує програмні контролери або інтерфейси прикладного програмування (API) для зв’язку з базовою апаратною інфраструктурою та напрямком трафіку в мережі замість фізичних маршрутизаторів і комутаторів. Програмно-визначені мережі використовують централізований контролер, тому забезпечення надійності його роботи має дуже важливе значення для функціонування мережі. Питання безпеки стає особливо гострим, коли кількість користувачів мережі зростає. Однією з найбільших і найпоширеніших загроз для програмно-визначених мереж є атака розподіленої відмови в обслуговуванні (DDoS). Щоб виявити мережеві атаки, можна використовувати статистичні характеристики мережевого трафіку, такі як середнє значення вибірки, дисперсія вибірки, критерій хі-квадрат Пірсона та теоретико-інформаційна міра – ентропія. Кількісно ентропія характеризується за допомогою ентропії розподілу ймовірностей К. Шеннона. Інформаційна ентропія – це міра невизначеності, пов'язана з випадковою величиною. Ентропія характеризує ймовірність, з якою встановлюється той чи інший стан, є мірою хаотичності чи незворотності. Чим більша хаотичність системи, тим вище значення ентропії, і навпаки. Програмні комплекси базуються на основі ентропійного аналізу мережевих даних, записаних датчиками NetFlow. Типові датчики підключаються до портів TAP або SPAN на комутаторах. Потоки аналізуються протягом фіксованих інтервалів часу. Зібрані потоки реєструються в базі даних, а потім аналізуються. Фільтри аномалій передбачені за напрямком, протоколом і підмережею. Далі розраховується значення ентропії додатних і від’ємних значень α для розподілу характеристик руху. На етапі виявлення спостережувана ентропія порівнюється з мінімальними та максимальними значеннями, що зберігаються в профілі, і визначається поріг аномалії. Порогові значення менше 0 або більше 1 вказують на ненормальну концентрацію або дисперсію відповідно. Одним із рішень для виявлення таких атак є використання ентропії синтезу. Цей метод дозволяє виявляти DDoS-атаки за час, близький до реального, а значення ентропії для нормального і шкідливого трафіку відрізняються на 90%.
Посилання
G What is Software-Defined Networking (SDN)? [Електронний ресурс]. – Режим доступу: https://www.vmware.com/topics/glossary/content/software-defined-networking.html
DoS атака [Електронний ресурс]. – Режим доступу: uk.wikipedia.org/wiki/DoS attack 3. Fan C., Kaliyamurthy N.M., Che S., Jiang H., Zho Y. and Campbell C. Detection of DDoS Attacks in Software Defined Networking Using Entropy. 2022, 12, 370.
Bereziński P., Jasiul B. and Szpyrka M. An entropy-based network anomaly detection method, Entropy. 2015, 17(4). Р. 2367-2408.
Barford P., Plonka D. Characteristics of Network Traffic Flow Anomalies. Proceedings of the 1st ACM SIGCOMM Workshop on Internet Measurement. 2001. Р. 69–73.
Kim S.S., Reddy A.L. Statistical techniques for detecting traffic anomalies through packet header data. IEEE/ACM TON. 2008. V. 16. Issue 3. P. 562–575.
Morlet wavelet [Електронний ресурс]. – Режим доступу: https://www.mathworks.com/help/wavelet/ref/morlet.html
Barford P., Kline J., Plonka D., Ron A. A signal analysis of network traffic anomalies. Proceedings of the 2nd ACM SIGCOMM Workshop on Internet measurement. 2002. P. 71–82.
Lee K., Kim J., Kwon K.H., Han Y., Kim S. DDoS attack detection method using cluster analysis. Expert Systems with Applications. 2008. V. 34. Issue 3. P. 1659–1665.
Branitskiy A., Kotenko I. Analysis and Classification of Methods for Network Attack Detection. SPIIRAS Proceedings, 2016, 2(45):207.
Gu Y., McCallum A., Towsley D. Detecting Anomalies in Network Traffic Using Maximum Entropy Estimation. Proceedings of the 5th ACM SIGCOMM conference on Internet Measurement. 2005. P. 32–32.
Robert M.X. Wu, Yongwen Wang. Which Objective Weight Method Is Better: PCA or Entropy?. Scientific Journal of Research and Reviews, 2022.
Shannon C. A Mathematical Theory of Communication. Bell Syst. Tech. J. 1948, 27, 379–423.
Бабенко Т. В. Дослідження ентропії мережевого трафіка як індикатора DDOS-атак. Науковий вісник Національного гірничого університету. 2013. № 2. С. 86-89.
