ИССЛЕДОВАНИЕ БОТ-СЕТЕЙ И МЕХАНИЗМОВ ПРОТИВОДЕЙСТВИЯ ИМ НА ОСНОВЕ ИМИТАЦИОННОГО МОДЕЛИРОВАНИЯ
42 И. В. Котенко, А. М. Коновалов, А. В. Шоров
УДК. 004.94
И. В. КОТЕНКО, А. М. КОНОВАЛОВ, А. В. ШОРОВ
ИССЛЕДОВАНИЕ БОТ-СЕТЕЙ И МЕХАНИЗМОВ ПРОТИВОДЕЙСТВИЯ ИМ НА ОСНОВЕ ИМИТАЦИОННОГО МОДЕЛИРОВАНИЯ
Предлагается подход к исследованию бот-сетей и механизмов защиты от их воздействия, основанный на применении методов имитационного моделирования. Представлены общая формальная модель бот-сети и механизмов защиты, среда моделирования и результаты экспериментов.
Ключевые слова: бот-сети, модели атак, модели механизмов защиты, имитационное моделирование, агентно-ориентированное моделирование.
Введение. В настоящее время в сети Интернет наблюдается очевидная тенденция к распространению злоумышленниками так называемых бот-сетей. Бот-сети (от англ. botnet — robot и network), по существу, позволяют объединить в самостоятельную сеть вычислительные мощности большого количества уязвимых хостов. Целью данного объединения является выполнение таких действий, как, например, поиск уязвимых хостов, реализация атак типа „распределенный отказ в обслуживании“ (DDoS), рассылка „спама“, получение конфиденциальной информации. Функционирование бот-сетей характеризуется одновременными действиями большого количества бот-агентов в интересах злоумышленника. В большинстве случаев злоумышленник получает полный контроль над ресурсами инфицированного компьютера и может их беспрепятственно использовать.
Таким образом, исследование бот-сетей и механизмов защиты от их воздействия является актуальной проблемой. Одна из важнейших задач при решении данной проблемы — исследовательское моделирование бот-сетей и механизмов защиты в целях разработки эффективных методов и средств обнаружения этих сетей и противодействия им. В настоящей статье предложен подход к исследованию данной проблемы, базирующийся на объединении агентно-ориентированного моделирования и методов имитационного моделирования дискретных событий, сетевых событий и протоколов.
Проводимые в настоящее время исследования можно разделить на две категории. В первую категорию входят исследования, непосредственно посвященные разработке методов выявления бот-сетей и методов противодействия им. Например, выявление бот-сетей может быть основано на распознавании коллективных действий бот-агентов в сети [1], определении сигнатур коммуникационного трафика, инициируемого бот-агентами [2, 3], и обнаружении атак, проводимых бот-сетями [4, 5]. Ко второй категории относятся исследования, связанные с изучением бот-сетей [6, 7], в частности с выявлением и описанием их функций, а также измерением параметров их функционирования [8].
Одним из наиболее опасных типов атак, которые могут выполнять бот-сети, является „распределенный отказ в обслуживании“. Традиционные механизмы защиты от атак данного типа реализуются на основе последовательного выполнения двух процедур — распознавания атаки, выполняемой бот-сетью, и противодействия этой атаке. Процедура распознавания атаки основывается на поиске аномалий сетевого трафика и может быть решена различными методами (например, статистическими, методом сигнатурного поиска и т.п.).
Общая формальная модель бот-сети и механизмов защиты. Общую модель бот-сети и механизмов защиты будем описывать с использованием формальных теоретикомножественных конструкций.
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2010. Т. 53, № 11
Исследование бот-сетей и механизмов противодействия им
43
Представим общую модель бот-сети и механизмов защиты в виде кортежа Q =< N, L, S,O > , где N — множество узлов (хостов) вычислительной сети, L — множество
связей между узлами вычислительной сети, S — сценарий реализации атаки, O — параметр, характеризующий действия пользователя.
Множество N узлов зададим в виде кортежа элементов: N =< T , R, P, F > , где T — мно-
жество типов оборудования, соответствующее узлу вычислительной сети; R — множество функциональных ролей узла; P — множество компонентов программного обеспечения, используемого узлами; F : R → P — функция, реализующая отображение множества функцио-
нальных ролей узла на множество компонентов программного обеспечения (ПО). Программным и/или аппаратным компонентом ПО, является протокол, реализующий
набор правил и позволяющий осуществлять соединение и обмен данными между двумя и более включенными в сеть устройствами.
Множество связей L между узлами вычислительной сети в контексте различных протоколов описывается следующим образом: считается, что узлы a, b сети связаны посредством
некоторого протокола, если существует хотя бы одна непустая конечная последовательность с начальным узлом a и конечным узлом b , через которые будет проходить сообщение.
Сценарий реализации атаки S =< SB , SD , SK > содержит сценарии SB функционирова-
ния бот-сети, сценарии SD сдерживания бот-сети и противодействия атакам, а также сцена-
рии SK легитимной деятельности вычислительной сети. Каждый из сценариев SB , SD или
SK , в свою очередь, содержит множество подсценариев, цель сценария, алгоритм достижения цели, узлы, вовлеченные в сценарий; при этом может быть осуществлено разделение уз-
лов на группы Hi ⊂ N , где i — номер группы, соответствующий исполняемым ролям или
другим признакам.
Процесс детализации каждого из сценариев SB , SD , SK можно итеративно продолжить.
В этом случае каждый промежуточный сценарий становится объектом последующей деком-
позиции. Сценарии SB содержат подсценарии распространения бот-сети, управления ею и
реализации атак. Сценарии SD содержат подсценарии противодействия распространению
бот-сети, противодействия управлению ею и противодействия реализации атак. Сценарии SK
предназначены для генерации шаблонов легитимного трафика. Параметр О, характеризующий действия пользователя, необходим для оценки эффек-
тивности функционирования бот-сети и механизмов защиты. Рассмотренная общая формальная модель бот-сети и механизмов защиты используется
для построения имитационных моделей. Среда моделирования. В настоящее время авторами используется и постоянно модернизи-
руется многоуровневая инструментальная среда имитационного моделирования сетевых процессов для приложений в области защиты информации. Среда моделирования представляет собой программный комплекс, включающий в качестве нижнего уровня систему моделирования дискретных событий, а также ряд компонентов, реализующих сущности более высокого уровня.
Архитектура среды моделирования содержит четыре основных компонента: — базовую систему имитационного моделирования (Simulation Framework); — модуль имитации сети Интернет (Internet Simulation Framework); — подсистему агентно-ориентированного моделирования (Agent-Based Framework); — модуль процессов предметной области (Subject Domain Library), включающий сценарий реализации атаки в общей формальной модели бот-сети и механизмов защиты. С использованием симулятора OMNeT++, библиотек INET Framework, ReaSE, а также собственных программных компонентов представленная архитектура была реализована в виде
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2010. Т. 53, № 11
44 И. В. Котенко, А. М. Коновалов, А. В. Шоров
модели противоборства команд интеллектуальных агентов при многоагентном моделирова-
нии бот-сетей, атак типа „распределенный отказ в обслуживании“ и механизмов защиты от
воздействия бот-сети.
Параметры моделирования. Для проведения экспериментов было проведено модели-
рование вычислительных сетей, состоящих из 5—10 автономных систем. Каждая автономная
система содержит примерно 300 конечных узлов. Оборудование узлов представлено типами
„маршрутизатор“ и „хост“. Оборудование типа „хост“ представлено следующим множеством
функциональных ролей: web-сервер, web-клиент, почтовый сервер, сервер мультимедийного
контента, сервер „командный центр“, „уязвимый сервис“, „мастер“, IP-фильтр.
Команда интеллектуальных агентов атаки представлена агентами следующих типов:
„мастер“, „командный центр“, „цель“, „зомби“. В ходе экспериментов определялись один
агент „мастер“, один или несколько агентов „командный центр“ и множество агентов с уяз-
вимым программным обеспечением, которые потенциально могут обратиться в „зомби“.
Команда интеллектуальных агентов защиты представлена следующими общими клас-
сами агентов: первичной обработки информации („сенсор“); вторичной обработки информа-
ции („сэмплер“); обнаружения атаки („детектор“); фильтрации („фильтр“); „расследования“;
управления нагрузкой на коммуникационные каналы („ограничитель“).
Одним из примеров реализованных сценариев атаки, выполняемой бот-сетью, является
атака типа UDP Flood, проводимая по отношению к некоторому узлу (подсети), IP-адрес ко-
торого (которой) указывается агентом „мастер“.
В ходе исследований было реализовано несколько сценариев сдерживания бот-сети и
противодействия атакам DDoS: сценарий, реализуемый без кооперации интеллектуальных
агентов защиты [9], с кооперацией типа DefCOM [10], с кооперацией типа COSSACK [11] и с
полной кооперацией [9].
Результаты экспериментов. Оценка результатов реализации сценариев атак и сцена-
риев защиты проводилась по следующим параметрам:
V, кБ 30 000
— без кооперации — полная кооперация — DefCOM — COSSACK
— количеству принадлежащих атакующему трафику входящих пакетов до и после фильтрации, выполняемой ко-
25 000
мандами, защищающими ата-
куемую сеть (узел);
20 000
— количеству ошибок
первого и второго рода (оценки
15 000
false positive — FP — и false
negative — FN), характеризую-
10 000
щих результаты обнаружения
атак командами интеллекту-
5000 альных агентов защиты.
Результаты
процесса
фильтрации оценивались по
0 100 200 300 400 500 600 700 t, с значениям FP и FN. Например,
значения этих оценок в одном
из экспериментов, при исследовании сценария защиты, реализуемого без кооперации агентов,
были следующими: FP=0,002, FN=0,09.
На рисунке представлен график, демонстрирующий уровень трафика атаки внутри ата-
куемой подсети при использовании различных сценариев сдерживания бот-сети и противо-
действия атакам.
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2010. Т. 53, № 11
Исследование бот-сетей и механизмов противодействия им
45
Как показали результаты экспериментов, сценарий, реализуемый при полной кооперации агентов, наиболее эффективен при защите от DDoS-атак, следующим по эффективности является метод DefCOM, а затем — защита без кооперации агентов и метод COSSACK.
Заключение. Рассмотрен подход к исследовательскому моделированию бот-сетей и механизмов защиты от их воздействия в сети Интернет. Представлены общая формальная модель бот-сети и механизмов защиты, архитектура разрабатываемой среды моделирования, предназначенной для анализа бот-сетей, и ее программная реализация. Проведенные эксперименты показали применимость предложенного подхода для моделирования бот-сетей и механизмов защиты.
Работа выполнена при финансовой поддержке Российского фонда фундаментальных исследований (проект № 10-01-00826) и программы фундаментальных исследований Отделения нанотехнологий и информационных технологий РАН (проект № 3.2), а также при частичной финансовой поддержке, осуществляемой в рамках проектов Евросоюза “SecFutur”, “Massif” и др.
СПИСОК ЛИТЕРАТУРЫ
1. Gu G., Perdisci R., Zhang J., Lee W. BotMiner: Clustering analysis of network traffic for protocol- and structureindependent botnet detection // Proc. of the 17th USENIX Security Symp. (Security’08). San Jose, CA, 2008.
2. Goebel J., Holz T. Rishi: Identify bot contaminated hosts by IRC nickname evaluation // Proc. of the 1st Workshop on Hot Topics in Understanding Botnets (HotBots’07). Cambridge, MA, 2007.
3. Binkley J., Singh S. An algorithm for anomaly-based botnet detection // Proc. of the 2nd Conf. on Steps to Reducing Unwanted Traffic on the Internet (SRUTI’06). San Jose, CA, 2006.
4. Chen S., Song Q. Perimeter-based defense against high bandwidth DDoS attacks // IEEE Transact. on Parallel and Distributed System. 2005. Vol. 16. N. 7.
5. Mirkovic J., Dietrich S., Dittrich D., Reiher P. Internet Denial of Service: Attack and Defense Mechanisms. NJ: Prentice Hall PTR, 2004.
6. Dagon D., Gu G., Lee C., Lee W. A taxonomy of botnet structures // Proc. of the 23rd Annual Computer Security Applications Conf. (ACSAC’07). Florida, 2007.
7. Gianvecchio S., Xie M., Wu Z., Wang H. Measurement and classification of huamans and bots in Internet chat // Proc. of the 17th USENIX Security Symp. (Security’08). San Jose, CA, 2008.
8. Bailey M., Cooke E., Jahanian F. et al. A survey of botnet technology and defenses // Proc. of the Cybersecurity Applications & Technology Conf. for Homeland Security. Washington, DC: IEEE Computer Society, 2009.
9. Kotenko I., Ulanov A. Packet level simulation of cooperative distributed defense against Internet attacks // Proc. of the 16th Euromicro Intern. Conf. on Parallel, Distributed and Network-Based Processing (PDP 2008). Toulouse: IEEE Computer Society, 2008.
10. Mirkovic J., Robinson M., Reiher P., Oikonomou G. Distributed defense against DDOS attacks // Univ. of Delaware, CIS Department Technical Report. 2005. N 2.
11. Papadopoulos C., Lindell R., Mehringer I. et al. COSSACK: Coordinated suppression of simultaneous attacks // DISCEX — DARPA: Information Survivability Conference and Exposition. 2003.
Игорь Витальевич Котенко Алексей Михайлович Коновалов Андрей Владимирович Шоров
Сведения об авторах — д-р техн. наук, профессор; СПИИРАН, лаборатория проблем компью-
терной безопасности; E-mail: ivkote@comsec.spb.ru — аспирант; СПИИРАН, лаборатория проблем компьютерной безопас-
ности; E-mail: konovalov@comsec.spb.ru — аспирант; СПИИРАН, лаборатория проблем компьютерной безопас-
ности; E-mail: ashorov@comsec.spb.ru
Рекомендована СПИИРАН
Поступила в редакцию 09.07.10 г.
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2010. Т. 53, № 11
УДК. 004.94
И. В. КОТЕНКО, А. М. КОНОВАЛОВ, А. В. ШОРОВ
ИССЛЕДОВАНИЕ БОТ-СЕТЕЙ И МЕХАНИЗМОВ ПРОТИВОДЕЙСТВИЯ ИМ НА ОСНОВЕ ИМИТАЦИОННОГО МОДЕЛИРОВАНИЯ
Предлагается подход к исследованию бот-сетей и механизмов защиты от их воздействия, основанный на применении методов имитационного моделирования. Представлены общая формальная модель бот-сети и механизмов защиты, среда моделирования и результаты экспериментов.
Ключевые слова: бот-сети, модели атак, модели механизмов защиты, имитационное моделирование, агентно-ориентированное моделирование.
Введение. В настоящее время в сети Интернет наблюдается очевидная тенденция к распространению злоумышленниками так называемых бот-сетей. Бот-сети (от англ. botnet — robot и network), по существу, позволяют объединить в самостоятельную сеть вычислительные мощности большого количества уязвимых хостов. Целью данного объединения является выполнение таких действий, как, например, поиск уязвимых хостов, реализация атак типа „распределенный отказ в обслуживании“ (DDoS), рассылка „спама“, получение конфиденциальной информации. Функционирование бот-сетей характеризуется одновременными действиями большого количества бот-агентов в интересах злоумышленника. В большинстве случаев злоумышленник получает полный контроль над ресурсами инфицированного компьютера и может их беспрепятственно использовать.
Таким образом, исследование бот-сетей и механизмов защиты от их воздействия является актуальной проблемой. Одна из важнейших задач при решении данной проблемы — исследовательское моделирование бот-сетей и механизмов защиты в целях разработки эффективных методов и средств обнаружения этих сетей и противодействия им. В настоящей статье предложен подход к исследованию данной проблемы, базирующийся на объединении агентно-ориентированного моделирования и методов имитационного моделирования дискретных событий, сетевых событий и протоколов.
Проводимые в настоящее время исследования можно разделить на две категории. В первую категорию входят исследования, непосредственно посвященные разработке методов выявления бот-сетей и методов противодействия им. Например, выявление бот-сетей может быть основано на распознавании коллективных действий бот-агентов в сети [1], определении сигнатур коммуникационного трафика, инициируемого бот-агентами [2, 3], и обнаружении атак, проводимых бот-сетями [4, 5]. Ко второй категории относятся исследования, связанные с изучением бот-сетей [6, 7], в частности с выявлением и описанием их функций, а также измерением параметров их функционирования [8].
Одним из наиболее опасных типов атак, которые могут выполнять бот-сети, является „распределенный отказ в обслуживании“. Традиционные механизмы защиты от атак данного типа реализуются на основе последовательного выполнения двух процедур — распознавания атаки, выполняемой бот-сетью, и противодействия этой атаке. Процедура распознавания атаки основывается на поиске аномалий сетевого трафика и может быть решена различными методами (например, статистическими, методом сигнатурного поиска и т.п.).
Общая формальная модель бот-сети и механизмов защиты. Общую модель бот-сети и механизмов защиты будем описывать с использованием формальных теоретикомножественных конструкций.
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2010. Т. 53, № 11
Исследование бот-сетей и механизмов противодействия им
43
Представим общую модель бот-сети и механизмов защиты в виде кортежа Q =< N, L, S,O > , где N — множество узлов (хостов) вычислительной сети, L — множество
связей между узлами вычислительной сети, S — сценарий реализации атаки, O — параметр, характеризующий действия пользователя.
Множество N узлов зададим в виде кортежа элементов: N =< T , R, P, F > , где T — мно-
жество типов оборудования, соответствующее узлу вычислительной сети; R — множество функциональных ролей узла; P — множество компонентов программного обеспечения, используемого узлами; F : R → P — функция, реализующая отображение множества функцио-
нальных ролей узла на множество компонентов программного обеспечения (ПО). Программным и/или аппаратным компонентом ПО, является протокол, реализующий
набор правил и позволяющий осуществлять соединение и обмен данными между двумя и более включенными в сеть устройствами.
Множество связей L между узлами вычислительной сети в контексте различных протоколов описывается следующим образом: считается, что узлы a, b сети связаны посредством
некоторого протокола, если существует хотя бы одна непустая конечная последовательность с начальным узлом a и конечным узлом b , через которые будет проходить сообщение.
Сценарий реализации атаки S =< SB , SD , SK > содержит сценарии SB функционирова-
ния бот-сети, сценарии SD сдерживания бот-сети и противодействия атакам, а также сцена-
рии SK легитимной деятельности вычислительной сети. Каждый из сценариев SB , SD или
SK , в свою очередь, содержит множество подсценариев, цель сценария, алгоритм достижения цели, узлы, вовлеченные в сценарий; при этом может быть осуществлено разделение уз-
лов на группы Hi ⊂ N , где i — номер группы, соответствующий исполняемым ролям или
другим признакам.
Процесс детализации каждого из сценариев SB , SD , SK можно итеративно продолжить.
В этом случае каждый промежуточный сценарий становится объектом последующей деком-
позиции. Сценарии SB содержат подсценарии распространения бот-сети, управления ею и
реализации атак. Сценарии SD содержат подсценарии противодействия распространению
бот-сети, противодействия управлению ею и противодействия реализации атак. Сценарии SK
предназначены для генерации шаблонов легитимного трафика. Параметр О, характеризующий действия пользователя, необходим для оценки эффек-
тивности функционирования бот-сети и механизмов защиты. Рассмотренная общая формальная модель бот-сети и механизмов защиты используется
для построения имитационных моделей. Среда моделирования. В настоящее время авторами используется и постоянно модернизи-
руется многоуровневая инструментальная среда имитационного моделирования сетевых процессов для приложений в области защиты информации. Среда моделирования представляет собой программный комплекс, включающий в качестве нижнего уровня систему моделирования дискретных событий, а также ряд компонентов, реализующих сущности более высокого уровня.
Архитектура среды моделирования содержит четыре основных компонента: — базовую систему имитационного моделирования (Simulation Framework); — модуль имитации сети Интернет (Internet Simulation Framework); — подсистему агентно-ориентированного моделирования (Agent-Based Framework); — модуль процессов предметной области (Subject Domain Library), включающий сценарий реализации атаки в общей формальной модели бот-сети и механизмов защиты. С использованием симулятора OMNeT++, библиотек INET Framework, ReaSE, а также собственных программных компонентов представленная архитектура была реализована в виде
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2010. Т. 53, № 11
44 И. В. Котенко, А. М. Коновалов, А. В. Шоров
модели противоборства команд интеллектуальных агентов при многоагентном моделирова-
нии бот-сетей, атак типа „распределенный отказ в обслуживании“ и механизмов защиты от
воздействия бот-сети.
Параметры моделирования. Для проведения экспериментов было проведено модели-
рование вычислительных сетей, состоящих из 5—10 автономных систем. Каждая автономная
система содержит примерно 300 конечных узлов. Оборудование узлов представлено типами
„маршрутизатор“ и „хост“. Оборудование типа „хост“ представлено следующим множеством
функциональных ролей: web-сервер, web-клиент, почтовый сервер, сервер мультимедийного
контента, сервер „командный центр“, „уязвимый сервис“, „мастер“, IP-фильтр.
Команда интеллектуальных агентов атаки представлена агентами следующих типов:
„мастер“, „командный центр“, „цель“, „зомби“. В ходе экспериментов определялись один
агент „мастер“, один или несколько агентов „командный центр“ и множество агентов с уяз-
вимым программным обеспечением, которые потенциально могут обратиться в „зомби“.
Команда интеллектуальных агентов защиты представлена следующими общими клас-
сами агентов: первичной обработки информации („сенсор“); вторичной обработки информа-
ции („сэмплер“); обнаружения атаки („детектор“); фильтрации („фильтр“); „расследования“;
управления нагрузкой на коммуникационные каналы („ограничитель“).
Одним из примеров реализованных сценариев атаки, выполняемой бот-сетью, является
атака типа UDP Flood, проводимая по отношению к некоторому узлу (подсети), IP-адрес ко-
торого (которой) указывается агентом „мастер“.
В ходе исследований было реализовано несколько сценариев сдерживания бот-сети и
противодействия атакам DDoS: сценарий, реализуемый без кооперации интеллектуальных
агентов защиты [9], с кооперацией типа DefCOM [10], с кооперацией типа COSSACK [11] и с
полной кооперацией [9].
Результаты экспериментов. Оценка результатов реализации сценариев атак и сцена-
риев защиты проводилась по следующим параметрам:
V, кБ 30 000
— без кооперации — полная кооперация — DefCOM — COSSACK
— количеству принадлежащих атакующему трафику входящих пакетов до и после фильтрации, выполняемой ко-
25 000
мандами, защищающими ата-
куемую сеть (узел);
20 000
— количеству ошибок
первого и второго рода (оценки
15 000
false positive — FP — и false
negative — FN), характеризую-
10 000
щих результаты обнаружения
атак командами интеллекту-
5000 альных агентов защиты.
Результаты
процесса
фильтрации оценивались по
0 100 200 300 400 500 600 700 t, с значениям FP и FN. Например,
значения этих оценок в одном
из экспериментов, при исследовании сценария защиты, реализуемого без кооперации агентов,
были следующими: FP=0,002, FN=0,09.
На рисунке представлен график, демонстрирующий уровень трафика атаки внутри ата-
куемой подсети при использовании различных сценариев сдерживания бот-сети и противо-
действия атакам.
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2010. Т. 53, № 11
Исследование бот-сетей и механизмов противодействия им
45
Как показали результаты экспериментов, сценарий, реализуемый при полной кооперации агентов, наиболее эффективен при защите от DDoS-атак, следующим по эффективности является метод DefCOM, а затем — защита без кооперации агентов и метод COSSACK.
Заключение. Рассмотрен подход к исследовательскому моделированию бот-сетей и механизмов защиты от их воздействия в сети Интернет. Представлены общая формальная модель бот-сети и механизмов защиты, архитектура разрабатываемой среды моделирования, предназначенной для анализа бот-сетей, и ее программная реализация. Проведенные эксперименты показали применимость предложенного подхода для моделирования бот-сетей и механизмов защиты.
Работа выполнена при финансовой поддержке Российского фонда фундаментальных исследований (проект № 10-01-00826) и программы фундаментальных исследований Отделения нанотехнологий и информационных технологий РАН (проект № 3.2), а также при частичной финансовой поддержке, осуществляемой в рамках проектов Евросоюза “SecFutur”, “Massif” и др.
СПИСОК ЛИТЕРАТУРЫ
1. Gu G., Perdisci R., Zhang J., Lee W. BotMiner: Clustering analysis of network traffic for protocol- and structureindependent botnet detection // Proc. of the 17th USENIX Security Symp. (Security’08). San Jose, CA, 2008.
2. Goebel J., Holz T. Rishi: Identify bot contaminated hosts by IRC nickname evaluation // Proc. of the 1st Workshop on Hot Topics in Understanding Botnets (HotBots’07). Cambridge, MA, 2007.
3. Binkley J., Singh S. An algorithm for anomaly-based botnet detection // Proc. of the 2nd Conf. on Steps to Reducing Unwanted Traffic on the Internet (SRUTI’06). San Jose, CA, 2006.
4. Chen S., Song Q. Perimeter-based defense against high bandwidth DDoS attacks // IEEE Transact. on Parallel and Distributed System. 2005. Vol. 16. N. 7.
5. Mirkovic J., Dietrich S., Dittrich D., Reiher P. Internet Denial of Service: Attack and Defense Mechanisms. NJ: Prentice Hall PTR, 2004.
6. Dagon D., Gu G., Lee C., Lee W. A taxonomy of botnet structures // Proc. of the 23rd Annual Computer Security Applications Conf. (ACSAC’07). Florida, 2007.
7. Gianvecchio S., Xie M., Wu Z., Wang H. Measurement and classification of huamans and bots in Internet chat // Proc. of the 17th USENIX Security Symp. (Security’08). San Jose, CA, 2008.
8. Bailey M., Cooke E., Jahanian F. et al. A survey of botnet technology and defenses // Proc. of the Cybersecurity Applications & Technology Conf. for Homeland Security. Washington, DC: IEEE Computer Society, 2009.
9. Kotenko I., Ulanov A. Packet level simulation of cooperative distributed defense against Internet attacks // Proc. of the 16th Euromicro Intern. Conf. on Parallel, Distributed and Network-Based Processing (PDP 2008). Toulouse: IEEE Computer Society, 2008.
10. Mirkovic J., Robinson M., Reiher P., Oikonomou G. Distributed defense against DDOS attacks // Univ. of Delaware, CIS Department Technical Report. 2005. N 2.
11. Papadopoulos C., Lindell R., Mehringer I. et al. COSSACK: Coordinated suppression of simultaneous attacks // DISCEX — DARPA: Information Survivability Conference and Exposition. 2003.
Игорь Витальевич Котенко Алексей Михайлович Коновалов Андрей Владимирович Шоров
Сведения об авторах — д-р техн. наук, профессор; СПИИРАН, лаборатория проблем компью-
терной безопасности; E-mail: ivkote@comsec.spb.ru — аспирант; СПИИРАН, лаборатория проблем компьютерной безопас-
ности; E-mail: konovalov@comsec.spb.ru — аспирант; СПИИРАН, лаборатория проблем компьютерной безопас-
ности; E-mail: ashorov@comsec.spb.ru
Рекомендована СПИИРАН
Поступила в редакцию 09.07.10 г.
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2010. Т. 53, № 11