Αναγνώριση επιθέσεων άρνησης εξυπηρέτησης για την υπηρεσία του παγκόσμιου ιστού (World Wide Web)

Κάκκος, Βασίλειος

28 August 2009

Τα τελευταία χρόνια, ιδιαίτερα μετά το 2000, έχει παρατηρηθεί μια αξιοσημείωτη αύξηση στις διαδικτυακές επιθέσεις εισβολής και στις DDoS επιθέσεις, με ιδιαίτερα σημαντικές οικονομικές επιπτώσεις. Στην παρούσα διπλωματική αναλύουμε εκτενώς το πρόβλημα των DoS και DDoS επιθέσεων και μελετάμε πιθανές μεθόδους αντιμετώπισης του. Ιδιαίτερα ασχολούμαστε με μια πρωτοποριακή μέθοδο ανίχνευσης DDoS επιθέσεων η οποία χρησιμοποιεί παραπλανητικούς υπερσυνδέσμους για να εντοπίζει πιθανά προγράμματα-χρήστες. Επίσης αναλύουμε τα πειραματικά αποτελέσματα που προέκυψαν από προσομοιώσεις επιθέσεων με χρήση αυτής της μεθόδου. / In recent years, especially after the year 2000, there has been observed a sudden increase of Network-based intrusion and DDoS attacks, causing very significant financial losses. The present thesis analyses thoroughly the DoS and DDoS attack problem and studies possible means of countering such attacks. Especially an innovative method is proposed, that uses decoy hyperlinks in order to trace possible attackers. Also the experimental results that derived from the use of this method are analysed.

Άρνηση εξυπηρέτησης

Ιστότοποι

Παγίδες

005.84

Denial of service

Web sites

Traps

Αναγνώριση επιθέσεων άρνησης εξυπηρέτησης

Γαβρίλης, Δημήτρης

15 February 2008

Στη Διδακτορική Διατριβή μελετώνται 3 κατηγορίες επιθέσεων άρνησης εξυπηρέτησης (Denial-of-Service). Η πρώτη κατηγορία αφορά επιθέσεις τύπου SYN Flood, μια επίθεση που πραγματοποιείται σε χαμηλό επίπεδο και αποτελεί την πιο διαδεδομένη ίσως κατηγορία. Για την αναγνώριση των επιθέσεων αυτών εξήχθησαν 9 στατιστικές παράμετροι οι οποίες τροφοδότησαν τους εξής ταξινομητές: ένα νευρωνικό δίκτυο ακτινικών συναρτήσεων, ένα ταξινομητή κ-κοντινότερων γειτόνων και ένα εξελικτικό νευρωνικό δίκτυο. Ιδιαίτερη σημασία στο σύστημα αναγνώρισης έχουν οι παράμετροι που χρησιμοποιήθηκαν. Για την κατασκευή και επιλογή των παραμέτρων αυτών, προτάθηκε μια νέα τεχνική η οποία χρησιμοποιεί ένα γενετικό αλγόριθμο και μια γραμματική ελεύθερης σύνταξης για να κατασκευάζει νέα σύνολα παραμέτρων από υπάρχοντα σύνολα πρωτογενών χαρακτηριστικών. Στη δεύτερη κατηγορία επιθέσεων, μελετήθηκαν επιθέσεις άρνησης εξυπηρέτησης στην υπηρεσία του παγκόσμιου ιστού (www). Για την αντιμετώπιση των επιθέσεων αυτών προτάθηκε η χρήση υπερσυνδέσμων-παγίδων οι οποίοι τοποθετούνται στον ιστοχώρο και λειτουργούν σαν νάρκες σε ναρκοπέδιο. Οι υπερσύνδεσμοι-παγίδες δεν περιέχουν καμία σημασιολογική πληροφορία και άρα είναι αόρατοι στους πραγματικούς χρήστες ενώ είναι ορατοί στις μηχανές που πραγματοποιούν τις επιθέσεις. Στην τελευταία κατηγορία επιθέσεων, τα μηνύματα ηλεκτρονικού ταχυδρομείου spam, προτάθηκε μια μέθοδος κατασκευής ενός πολύ μικρού αριθμού παραμέτρων και χρησιμοποιήθηκαν για πρώτη φορά νευρωνικά δίκτυα για την αναγνώριση τους. / The dissertation analyzes 3 categories of denial-of-service attacks. The first category concerns SYN Flood attacks, a low level attack which is the most common. For the detection of this type of attacks 9 features were proposed which acted as inputs for the following classifiers: a radial basis function neural network, a k-nearest neighbor classifier and an evolutionary neural network. A crucial part of the proposed system is the parameters that act as inputs for the classifiers. For the selection and construction of those features a new method was proposed that automatically selects constructs new feature sets from a predefined set of primitive characteristics. This new method uses a genetic algorithm and a context-free grammar in order to find the optimal feature set. In the second category, denial-of-service attacks on the World Wide Web service were studied. For the detection of those attacks, the use of decoy-hyperlinks was proposed. Decoy hyperlinks, are hyperlinks that contain no semantic information and thus are invisible to normal users but are transparent to the programs that perform the attacks. The decoys act like mines on a minefield and are placed optimally on the web site so that the detection probability is maximized. In the last type of attack, the email spam problem, a new method was proposed for the construction of a very small number of features which are used to feed a neural network that for the first time is used to detect such attacks.

Αναγνώριση προτύπων

Άρνηση εξυπηρέτησης

Νευρωνικά δίκτυα

Γενετικοί αλγόριθμοι

Εξαγωγή παραμέτρων

Κατασκευή παραμέτρων

Θεωρία γράφων

005.82

Pattern recognition

Denial of service

Neural networks

Genetic algorithms

Grammatical evolution

Feature extraction

Feature construction

Graph theory