МОДИФІКОВАНИЙ МЕТОД ВИЯВЛЕННЯ DDoS-АТАК ПРИКЛАДНОГО РІВНЯ НА РЕСУРСИ ВЕБСЕРВЕРІВ

Abstract

Кількість підключених до мережі Інтернет пристроїв збільшується щороку, разом з тим частішають випадки проведення DDoS-атак, які спричиняють простій атакованої системи. Основною проблемою захисту є вчасне виявлення атаки в режимі реального часу та встановлення її джерела. Атаки прикладного рівня схожі на клієнтський трафік, бо вони мають низьку швидкість надсилання запитів та використовують вразливості ПЗ для того, щоб виснажувати обчислювальні ресурси. Причому HTTP є найпоширенішим протоколом серед атак прикладного рівня, а наявні методи не характеризуються одночасно високою точністю і швидкодією. Запропоновано покращений метод аналізу даних Інтернет-трафіку для ідентифікації DDoS-атак прикладного рівня на рівні протоколу HTTP, який матиме менший час реагування на вторгнення, ніж в наявних методів, та ідентичний рівень точності виявлення зловмисного трафіку. В основі модифікованого методу застосовано підхід на основі обчислення інформаційної ентропії з новими атрибутами, які характеризують прикладний рівень. Було знайдено параметри HTTP запитів, аналіз яких свідчить про проведення низькошвидкісних DDoS-атак, та виведено формули для обчислення їх ентропії. Запропонований метод дозволяє підвищити швидкодію ідентифікації джерел DDoS-атак на вебсервери, в тому числі для тих, які використовують протокол HTTPS завдяки розробленню проміжного ПЗ для вебфреймворків. Описано структурно-логічну організацію системи виявлення атак. Розглянуте рішення на основі мікросервісної архітектури може покращити захист вебсерверів від DDoS-атак, оскільки час ідентифікації зменшився, а точність збільшилась.