ИЗВЕСТИЯ РАН. ТЕОРИЯ И СИСТЕМЫ УПРАВЛЕНИЯ, 2013, № 1, с. 45-68
= КОМПЬЮТЕРНЫЕ МЕТОДЫ
УДК 004.056
ИССЛЕДОВАНИЕ БОТ-СЕТЕЙ И МЕХАНИЗМОВ ЗАЩИТЫ ОТ НИХ НА ОСНОВЕ ИМИТАЦИОННОГО МОДЕЛИРОВАНИЯ*
© 2013 г. А. М. Коновалов, И. В. Котенко, А. В. Шоров
Санкт-Петербург, СПИИРАН Поступила в редакцию 20.10.11 г., после доработки 11.05.12 г.
Для защиты от бот-сетей необходимо иметь инструменты, позволяющие исследовать процессы, которые происходят на всех этапах жизненного цикла бот-сетей (распространение, управление, выполнение атаки), а также механизмы защиты, которые могут противодействовать бот-сетям. Предлагается подход к исследованию бот-сетей и механизмов защиты от них, основанный на имитационном моделировании с помощью специальной программной среды моделирования, разработанной авторами статьи. Описывается архитектура разработанной среды моделирования, включая библиотеки, необходимые для создания моделей бот-сетей и механизмов защиты. Приводятся данные экспериментов, демонстрирующие возможности среды моделирования для исследования различных этапов функционирования бот-сети, а также эффективности соответствующих механизмов защиты от бот-сетей.
БО1: 10.7868/80002338812060042
Введение. Бот-сети позволяют злоумышленникам одновременно управлять миллионами зараженных компьютеров, что обеспечивает постоянный рост числа киберпреступлений. Существуют примеры успешных масштабных атак, осуществляемых посредством бот-сетей. К примеру, атаки типа "распределенный отказ в обслуживании" (DDoS — Distribute Denial of Service), направленные на правительственные сайты Эстонии в 2007 г. и Грузии в 2008 г., привели к практической недоступности данных сайтов на несколько дней. В 2009 г. была обнаружена бот-сеть Stuxnet, поражающая SCADA-системы и похищающая интеллектуальную собственность корпораций. По данным ФБР за октябрь 2009 г., потери из-за бот-сетей составили около 100 млн. долл. Мощность распределенных атак типа "отказ в обслуживании" как одной из самых опасных атак, осуществляемых с помощью бот-сетей, постоянно растет. Как показывает отчет "Worldwide Infrastructure Security Report", опубликованный компанией "Arbor Networks" в 2010 г., суммарная мощность DDoS-атак в 2010 г. преодолела барьер в 100 Гб/с. Отмечено, что мощность DDoS-атак возросла более чем в 2 раза по сравнению с 2009 г. и более чем в 10 раз по сравнению с 2005 г.
В настоящее время специалисты наблюдают усиление конкуренции на рынке бот-сетей: в конце 2009 г.—начале 2010 г. появился целый ряд новых программ для реализации бот-сетей, таких как Filon, Clod, Buga, Spy Eye и др. Очевидно, что рост числа и мощности бот-сетей будет продолжаться, а значит, учитывая высокую опасность бот-сетей, необходимо исследовать бот-сети и механизмы защиты от них. Одним из подходов, позволяющих исследовать функционирование бот-сетей, а также методы защиты от них, является имитационное моделирование.
Данная публикация посвящена исследованию бот-сетей, распространяющихся с помощью сетевых червей и выполняющих распределенные атаки типа "отказ в обслуживании", посредством методов имитационного моделирования. Статья основана на предыдущих работах авторов [1—7], но в отличие от них включает в себя спецификацию архитектуры реализованной программно-инструментальной среды и описание комплекса проведенных экспериментов по имитационному моделированию бот-сетей и механизмов защиты от них. Архитектура программно-инструментальной среды была значительно переработана, улучшены модели атак и механизмов защиты и используется компонентно-ориентированный подход представления архитектуры. Также добавлено большое количество новых экспериментов, улучшено их представление и методы анализа. Все это позволило сравнить возможности моделируемых методов защиты противодействующих бот-сетям в процессе их развития.
* Работа выполнена при финансовой поддержке РФФИ (проект № 10-01-00826), программы фундаментальных исследований ОНИТ РАН (проект № 3.2), государственного контракта 11.519.11.4008 и проектов Евросоюза Sec-Futur и Massif.
1. Релевантные работы. В основном использовались результаты исследований трех направлений: анализ бот-сетей как явления, наблюдаемого в Интернете [8—14], включая работы по методам измерения параметров бот-сетей; разработка и совершенствование методов противодействия современным бот-сетям; исследование методов моделирования современных бот-сетей и механизмов защиты от них.
В работах по анализу бот-сетей дается определение их жизненного цикла [10, 13 ,14], состоящего из фаз первичного заражения, фаз распространения, фаз управления и атаки. Рассматриваются роли участников бот-сети [13], анализируются особенности бот-сетей, имеющих централизованную [10, 14] и децентрализованную [8, 9, 13, 15] архитектуру, а также описываются возможные типы атак, реализуемых посредством бот-сетей. Дополнительно можно отметить работу [16], посвященную вопросам формирования критериев эффективности функционирования бот-сетей.
Публикации, описывающие методы защиты от бот-сетей, можно условно разделить на две группы: 1) основанные на сравнении с предопределенными сигнатурами [17] и 2) использующие поиск общих локальных и сетевых аномалий [18—22]. Преимуществами сигнатурных методов являются относительная простота их реализации, зачастую сводящаяся к сравнению наблюдаемого потока байт с множеством сигнатур [23], а также низкое значение уровня ошибок первого и второго рода. С другой стороны, существенный недостаток сигнатурных методов — неспособность обнаруживать неизвестные типы бот-сетей и необходимость оперативной актуализации базы сигнатур. Основным преимуществом методов поиска аномалий перед методами, основанными на сигнатурном поиске, является способность автоматического обнаружения неизвестных типов бот-сетей без знания особенностей их реализации [23], но, c другой стороны, методы данной группы — сложнее в реализации и в большей степени подвержены ошибкам первого и второго рода.
В силу значительного различия протекания фаз жизненного цикла бот-сети, в качестве методов противодействия используются комплексные методы защиты с учетом особенностей функционирования каждой фазы. Для защиты от бот-сети на фазе распространения, реализуемой посредством распространения сетевых червей, применяются методики, базирующиеся на Virus Throttling (VT) [24] и Failed Connection (FC) [25]. VT основано на ограничении количества новых соединений с уникального IP-адреса на другие IP-адреса в заданный интервал времени. Метод FC предполагает анализ TCP-соединений с уникального IP-адреса. Отслеживаются пакеты с установленными флагами TCP RST и TCP SYN. Если хост за определенное время чаще предустановленного значения производит обрывы соединения, ограничиваются новые запросы на соединение, исходящие с этого IP-адреса. Также рассматривались такие подходы, как Threshold Random Walk [26], механизмы Credit Base-based Rate Limiting.
В настоящей статье описываются бот-сети, имеющие в качестве целевой фазы атаки, DDoS-атаку. Исследовались методы, работающие на разных этапах защиты от DDoS-атак. В качестве механизмов для предотвращения атак рассматривались подходы Ingress/Egress Filtering [27] и Source Address Validity Enforcement Protocol (SAVE) [28], с их помощью предлагается фильтровать трафик, для которого используется подмена IP-адреса отправителя. Для обнаружения атак анализировались методы Source IP Address Monitoring (SIM) [29], Hop-count filtering (HCF) [30] и Detecting SYN flooding [31] и др.
Также в настоящей работе исследованы методы защиты, ориентированные на обнаружение бот-сетей различных архитектур. Архитектура бот-сети определяется в соответствии с управляющим протоколом, используемым в бот-сети. В настоящее время принято выделять IRC-, HTTP- и P2P-ориентированные архитектуры бот-сетей [14]. IRC-ориентированные бот-сети в качестве коммуникационного протокола применяют протокол IRC [32]. Бот-сети данного множества принадлежат к классу бот-сетей с централизованной архитектурой. В основной массе подходов обнаружения бот-сетей данного типа анализируются пакеты на сетевом или на прикладном уровнях с целью осуществления сигнатурного поиска или отслеживания сетевых аномалий [11, 18, 33, 34]. По результатам анализа трафика, исходящего от предполагаемых участников бот-сети, осуществляется локализация и нейтрализация подмножества узлов командных центров и, таким образом, ослабление бот-сети. Существенным недостатком методов обнаружения бот-сетей, основанных на анализе протоколов прикладного уровня, является невозможность работы методов при наличии шифрования IRC-пакетов. Для преодоления данного ограничения рядом авторов предлагаются методы, анализирующие исключительно потоки пакетов сетевого уровня на предмет наличия корреляции между потоками пакетов, исходящих от множества узлов [21, 34].
В HTTP-ориентированных бот-сетях в качестве связующей среды используется http-инфра-структура. Бот-сети данной группы [35] применяют http-протокол в качестве носителя для внут-
ренней коммуникации, которая осуществляется посредством доменных имен [36] выделенных web-серверов. Применение http-протокола делает неприменимыми методы, базирующиеся на анализе содержимого пакета данных, которые направлены против IRC-ориентированных бот-сетей. Для обнаружения бот-сетей данной группы используются методы, основанные на обнаружении аномалий в работе служб доменных имен (DNS), например [37—39].
Р2Р-ориентированные бот-сети принадлежат к множеству бот-сетей с децентрализованной архитектурой. В качестве коммуникационного протокола в бот-сетях данной группы используется одна из реализаций Р2Р-протокола, например "Chord" [40] и "Kademlia" [41]. В общем случае сложность обнаружения и нейтрализации подобной бот-сети значительно превышает сложность аналогичной задачи для централизованных бот-сетей. Тем не менее рядом авторов предлагаются методики по обнаружению бот-сетей, основанных на Р2Р-протоколах, например публикация [42], в которой автор использует эпидемиологические методы обнаружения сегментов бот-сети, а именно отслеживание цепочек узлов, образующих с
Для дальнейшего прочтения статьи необходимо приобрести полный текст. Статьи высылаются в формате PDF на указанную при оплате почту. Время доставки составляет менее 10 минут. Стоимость одной статьи — 150 рублей.