Захист інформаційних систем від мережевих DDOS атак на основі марківської моделі поведінки ботнету

Abstract

Запропоновано приховану марківську модель DDoS атаки, яка являє собою результат двох випадкових процесів і забезпечує можливість визначення характеру поведінки ботів у інформаційній мережі. Це дає змогу ефективно визначати вразливі місця за рахунок декомпозиції мережі на окремі частини, що є необхідним для визначення найменш захищених її ланок. Модель дозволяє враховувати розміри, топологію та протоколи маршрутизації досліджуваної мережі. На основі цієї моделі розроблено алгоритм відбиття атаки шляхом аналізу вхідного трафіку при появі аномальних властивостей в мережі. The paper presents a hidden Markov model of network DDoS attack, which represents a result of two random processes. The advantage of the proposed model is a possibility of determination of bots behaviour in the information network. Such determination allows us to effectively identify weak spots by decomposition of the network into separated parts. Besides, this model allows considering additional factors, such as size, topology, and network routing protocols in the analized network. Designed algorithm, which is based on this model, repels attacks by analyzing incoming traffic during appearance of anomalous properties in the network.