Περίληψη |
Τα τελευταία χρόνια, πολλοί δικτυακοί τόποι έχουν υποστεί Επίθεση ’ρνησης Υπηρεσίας (Denial of Service DoS), μεταξύ των οποίων, η πιο διαδεδομένη είναι η επίθεση TCP SYN flooding. Σκοπός των επιθέσεων άρνησης υπηρεσίας είναι η κατανάλωση όσο το δυνατόν περισσότερων πόρων, με τελικό αποτέλεσμα τη στέρηση της παροχής των προβλεπόμενων υπηρεσιών από τους νόμιμους χρήστες. Η επίθεση τύπου TCP SYN flooding εκμεταλλεύεται το μηχανισμό χειραψίας τριών σημείων (three way handshake) του πρωτοκόλλου TCP καθώς και τον περιορισμό του στη δυνατότητα διατήρησης ημι-ανοιχτών συνδέσεων. Κάθε σύστημα που είναι συνδεδεμένο στο Διαδίκτυο και παρέχει υπηρεσίες δικτύου οι οποίες βασίζονται στο πρωτόκολλο TCP, όπως για παράδειγμα ένας εξυπηρετητής παγκόσμιου ιστού (web server) ή ένας εξυπηρετητής ηλεκτρονικού ταχυδρομείου, είναι δυνατό να υποστεί μια επίθεση άρνησης υπηρεσίας. Στην παρούσα εργασία παρουσιάζουμε και αξιολογούμε δυο αλγόριθμους εντοπισμού ανωμαλιών στην προσπάθειά μας να εντοπίσουμε έγκαιρα επιθέσεις τύπου TCP SYN flooding: έναν αλγόριθμο προσαρμοζόμενου κατωφλιού και μια συγκεκριμένη εφαρμογή του αθροιστικού αλγόριθμου ελέγχου (CUSUM) για τον εντοπισμό σημείου ανωμαλίας. Σκοπός μας είναι να αναλύσουμε μέσω εκτενών πειραμάτων με πραγματικά ίχνη κίνησης, τα πλεονεκτήματα και τα μειονεκτήματα των αλγορίθμων αυτών όσον αφορά στην πιθανότητα εντοπισμού, στο ποσοστό των λανθασμένων σημάνσεων συναγερμού και στην καθυστέρηση εντοπισμού. Επίσης, μελετούμε τον τρόπο με τον οποίο τα παραπάνω χαρακτηριστικά επηρεάζονται από τις παραμέτρους του εκάστοτε αλγόριθμου αλλά και από το είδος των επιθέσεων. Ακόμη, η μελέτη αυτή στοχεύει στο να συμβάλλει στην κατάλληλη ρύθμιση των παραμέτρων των αλγορίθμων, έτσι ώστε να ικανοποιούνται συγκεκριμένες απαιτήσεις επίδοσης. Τα πειραματικά μας αποτελέσματα δείχνουν πως παρόλο που οι απλοί αλγόριθμοι, όπως ο αλγόριθμος προσαρμοζόμενου κατωφλιού, παρουσιάζουν πολύ ικανοποιητική επίδοση όσον αφορά σε επιθέσεις υψηλής έντασης, η απόδοσή τους ελαττώνεται όταν καλούνται να εντοπίσουν επιθέσεις χαμηλής έντασης. Αντίθετα, αλγόριθμοι οι οποίοι στηρίζονται σε ισχυρές θεωρητικές βάσεις, όπως ο αλγόριθμος CUSUM, επιδεικνύουν σταθερά καλή απόδοση ανεξάρτητα από το είδος των επιθέσεων που καλούνται να εντοπίσουν, χωρίς να είναι απαραίτητα δαπανηρή ή περίπλοκη η υλοποίησή τους.
|