Х а б а р ш ы с ы в е с т н и к государственного

47 
 
ӘОЖ: 004.75: 004.42.3 
 
Г.А. Шангытбаева
1
, Оспанов  Е. А.
2
,  Жанузаков Е. Т.
2 
1
Қ.И.Сәтбаев атындағы Қазақ ұлттық техникалық университеті, Алматы 
2
Семей қаласының Шәкәрім атындағы мемлекеттік университеті, Семей 
 
 
“ҚЫЗМЕТ КӨРСЕТУДЕН БАС ТАРТУ” БӨЛІСТІК ЖЕЛІЛІК ШАБУЫЛДАРДЫ 
АНЫҚТАУ ӘДІСІН ӘЗІРЛЕУ 
Аннотация: Мақалада “қызмет көрсетуден бас тарту” бөлістік (распределённая) желілік 
шабуылдарды анықтау мүмкіндіктері қарастырылады. Бұл мақалада ұсынылып отырған әдіс  өте 
үлкен  “қызмет  көрсетуден  бас  тарту”  бөлістік  желілік  шабуылдар  кезінде  компьютерлік 
желілердегі есептелінетін ресурстарды пайдалану тиімділігін арттырады.  
 
Түйін  сөздер:  шабуылдар  мен  қауіп-қатерлер,  желілік  шабуылдар,  DoS-шабуылдар,  DDoS-
шабуылдар, “қызмет көрсетуден бас тарту”. 
 
Кіріспе 
Егер  де  сіз  компьютерлік  технологиялар  негізінде  немесе  желілік  қауіпсіздік  саласында 
жұмыс  істейтін  болсаңыз,  онда  сізге,  міндетті  түрде,  қазіргі  таңда  «DoS  шабуылы»  деген  атқа  ие  
“қызмет  көрсетуден  бас  тарту”  термині  таныс  болар.  Қазіргі  кезде  ол  Интернет  желісінде  өте  кең 
тараған желілік шабуылдар түріне жатады.  
“Қызмет көрсетуден бас тарту” немесе  «DoS шабуылы»  – Интернеттегі желілік машиналарды 
қажеті  жоқ,  өте  көп  мөлшердегі  интернет  трафиктермен  толтырып  жіберетін,  желілерге  зиянын 
тигізуге арналған желілік шабуылдардың бір түрі. Оның әсерінен көптеген желілік машиналар қайта-
қайта жүктеліп, зардап шегеді, тіптен, қолданыстан да шығып қалады.  
DoS шабуылдарының негізгі мақсаты – желідегі негізгі машинаның қызметтерін (мысалы, web- 
сайттар, DNS сервері т.б.) белгілі бір пайдаланушылар үшін уақытша тоқтата тұру.  
Ал,  DDoS  шабуылдары  өте  қажетті  қызметтер,  мысалы,    банктік  қызмет  көрсету,  электронды 
коммерция,  жеке  деректерді  өңдеу,  несиелік  карталар,  басқа  да  қызметтер  атқара  алатын  web-
серверлерде жүзеге асады. 
DoS  шабуылдарының  ең  көп  тараған  түрі  соңғы  кездері  кеңінен  таныла  бастаған  DDoS 
(Distributed Denial of Service — распределенный отказ в обслуживании, қызмет көрсетуден бас тарту) 
шабуылы болып табылады. Ол әрі қуатты, әрі күрделі шабуыл болып табылады. 
DoS  шабуылының  бір  ғана  шығыс  орны  болады,  ал  DDoS  бернеше  бөлістік  желілер  арқылы 
жайылатын көптеген IP-мекен-жайдан таралады [1]. 
DoS және DDoS шабуылдары 
DDoS – бұл ағылшын тілінен Distributed Denial of Service сөз тіркесінен қысқартылып алынған, 
қазақ тіліне аударғанда “Бөлістік қызмет көрсетуден бас тарту” деген мағынаны білдіреді. Яғни, ол 
дегеніміз  –  көптеген  бөлістік  (әртүрлі  интернет-қосылыс  нүктелерінен  шығатын)  сұраныстардың 
әсерінен желілік ресурстар қызметтерінен бас тарту деган сөз. DoS-шабуылдарынан (Denial of Service 
— «Отказ от обслуживания», “Қызмет көрсетуден бас тарту”)  DDoS – шабуылының айырмашылығы 
бұл  жағдайда  қайта  жүктелу  қандай  да  нақты  бір  интернет-түйіндеріндегі  сұраныстар  нәтижесінде 
орын алады. 
Егер  DDos-шабуылдары  өте  қиын  да  күрделі  болатын  болса,  онда  кез  келген  ресурстың  – 
кішігірім  ақпараттық  сайттардан  бастап  өте  ірі  интернет-дүкендеріне  дейін  немесе  пошталық 
серверлерге  дейін  жұмыстан  шығып  қалу  қаупі  басым  болады.  Шабуыл  кезінде  сайт-серверде 
қолданушылардан миллиондаған сқраныстарға дейін келіп түседі, соның салдарынан желі серверінде 
келеңсіз жағдайлар орын алып, қайта жүктеліп, істен шығуға дейін алып келеді. Сан мыңдаған келіп 
түскен сұраныстарды өңдеп үлгере алмайды, соның әсерінен желі серверіның жылдамдығы төмендеп, 
кейіннен  жұмысын  мүлдем  тоқтатады.  Сол  себептен  де  желі  серверінің  жұмысы  күрделеніп,  
қиындап кетеді [2]. 
DDoS-шабуылы  –  қазіргі  кезде  өте  кең  таралған  және  өте  қауіпті  желілік  шабуылдардың  бірі 
болып  саналатын,  желілік  шабуылдың  “Қызмет  көрсетуден  бас  тарту”  түріне  жататын  бөлістік 

48 
 
шабуыл болып табылады. Оның нәтижесінде жоғарыда айтып өтілгендей, заңды қалданушылардың, 
желілер мен жүйелердің, басқа да ресурстардың қызметтері бұзылады немесе толық бұғатталады. 
DDoS-шабуылдарының басым көпшілігі негізгі базалық Internet (TCP/IP) хаттаманы қолданады, 
атап айтсақ, SYN сұранысты жүйені өңдеу әдісін пайдаланады. 
Қызмет көрсетуден бас тартуға әкелетін негізгі екі түрлі шабуылды бөліп қарауға болады. 
Бірінші  түрге  жататын  шабуыл  нәтижесінде  барлық  жүйенің  немесе  желінің  жұмысы 
тоқтатылады. Бұл жағдайда хакер жүйеге күтпеген жерден деректерді жібереді, оның әсерінен жүйе 
қайта жүктеледі немесе істен шығады.  
DDoS-шабуылдардың екінші түрі өңдеу мүмкін болмайтын өте көп мөлшердегі ақпараттардың 
әсерінен жүйе немесе жергілікті желі шамадан тыс толып қалады.  
DDoS-шабуыл  кезінде  сайтқа  деректер  әлемнің  әр  бөліктерінде  орналасқан  көптеген 
компьютерлерден  үздіксіз  келіп  түседі.  Көптеген  жағдайларда  бұл  компьютерлер  алаяқтарды  бір 
жүйеге  біріктіретін  және  бір  орталықтан  басқаруға  мүмкіндік  беретін  вираустар  жұқтырған  болып 
табылады.  Мұндай  жүйеге  кіретін  компьютерлер  DDoS-шабуылдарына  өз  үлестерін  қосып, 
спамдарды таратады. 
DDoS-шабуылдарының жұмыс жасау қызметтері төмендегі диаграммада берілген (сурет-1). 
 
 
Сурет 1. DDoS бөлістік желілік шабуылы 
DoS-шабуылында  мақсатын  жүзеге  асыруда,  яғни,  шабуыл  кезінде  зиянкес  тек  бір  ғана 
компьютерді  немесе  желіні  қолданса,  ал  әдетте,  әртүрлі  желілерге  тиесілі  көптеген  желілер  мен 
серверлерден  шығады.  Осылайшы  DDoS-шабуылы  кезінде  зиянкес  әр  алуан  желілердің,  тіпті,  өзге 
елдердің компьютерлері мен серверлерін пайдаланады.Оны анақтау қиын болғандықтан,  алғашында 
қауіпсіздік қызметтерінің арасында күдік туғыза қоймайды. 
“Қызмет  көрсетуден  бас тарту”  бөлістік  шабуылы  тқтас желіні  немесе жүйені  қайта жүктеуге 
алып  келеді.  Бұл  шабуылдың  негізгі  мақсаты  шабуыл  үшін  түрлі  көздерді  (демоны)  және  басқару 
кезінде «иелерді»  пайдалану болып табылады [3].  
DDoS (бөлістік қызмет көрсетуден бас тарту) шабуылын ұйымдастыруда қолданылатын ең көп 
танымал  утилиттерге  Tribal  Flood  Network  (TFN),  TFN2K,  Trinoo  және  Stacheldraht  утилиттері 
жатады.  
Төменде беріліп отырған 13-суретте DdoS-шабуылын ұйымдастыру мысалы көрсетілген. 
 

49 
 
 
Сурет 2. “Қызмет көрсетуден бас тарту” бөлістік желілік шабуылы 
 
Зиянкес  шабуыл  көздерін  басқару  үшін  «Иелерді»  (masters)  пайдаланады.  TCP  қосылу  үшін 
«Иелерді»  қолдану  оларды  баптау  және  шабуылға  дайындау  кезінде  қажет.  «Иелер»  тек  қана  UDP 
хаттамасы арқылы шабуыл көздеріне командаларды жібереді. «Иелерсіз» зиянкес шабуылдың әрбір 
көзімен өзі жеке-жеке байланыс жасап отырар еді. Мұндай жағдайда, шабуыл көзін тауып алу оңай 
болар еді және оны жүзеге асыру үшін өте көп уақыт қажет болар еді. 
Шабуылдың  әрбір  көзі  «Иесімен»  арнайы  хабарламалар  арқылы  байланысып  отырады. 
Қолданылатын  утилиттерге  байланысты  байланыс  қуаттау  (авторизации)  немесе  шифрлеу 
механизмдері арқылы жүзеге асып отырады. Шабуыл көзі мен «Иесін» орнату үшін зиянкес белгілі 
күдіктікті (мысалы, буферді келесі қызметтермен - RPC, FTP т.б. толтыру) пайдаланады. Шабуылдың 
өзі Smurf немесе SYN-тасқыны болып табылады және негізгі желінің немесе жүйенің қызметінен бас 
тартуға әкеледі [4]  
Қызмет көрсетуден бас тарту бөлістік желілік шабуылын анықтау әдісі 
Қазіргі заманғы компьютерлік желілерді құру кезінде сенімділігі мен қолжетімділікке арналған 
желілік  есептеу  ресурстарын  есепке  алу  қажет.  b  -  бағдарлағыш  (маршрутизатор,  Router) 
хабарламаларын таңбалауға арналған IP-тақырыбындағы биттер саны болсын. Мысалы, b = 25 [2-4]. 
Желідегі  шабуылдарда  әрбір  X  бағдарлағыштан  V  қолданушыға  M
X
  хабарламаны  жеткізу 
алгоритмі  кездейсоқ  сілтеме  әдісіне  негізделген.  Бұл  әдістің  негізі  M
X 
үшін  келесі  түрлендірулерді 
қолдану болып табылады: 
- M
X
–тің мәні мынадай болуы тиіс, |M
X
|  l-ге еселі болуы керек. 
-  M
X
  тізбегінде  өте  үлкен  (және  статистикалық  кездейсоқ)  C  =  C(M
X
)  бақылау  қосындысын 
есептеу  керек.  Негізгі  мақсат  C(M
X
)  бақылау  қосындысы  кездейсоқ  немесе  статикалық  кездейсоқ  
(мысалы, кездейсоқ хэш функция) және бастамашы шабуылдарға төзімді бола білуі тиіс. 
- M
X 
тізбегін W бір бірімен қиылыспайтын M
0
, M
1
, M
2
,..., M
l -1 
сөздер бөліктеріне бөлу. 
- b
i
 = [i, C, M
i
] болатындай b битті қайта жазуда қолданылатын блоктар жиынтығын құру. 
Осылайша блок индекстен, бақылау қосындысынан және i хабарлама үзіндісінен тұрады. 
b
i 
блогы  M
X 
хабарламаны  V  қолданушыға  жеткізу  үшін  қолданылады,  бірақ,  олар  еркін 
реттілікпен берілмейді.  Мысалы, M
X
 хабарламасы үшін C = C (M
X
) M
X
–тің ассоциативті мекен-жайы 
ретінде  және  M
X
–тің  барлық  бөліктерінің  сілтемесіне  арналған  бақылау  қосындысы  ретінде 
қолданылады.  C-ның  мәні  статистикалық  кездейсоқ  және  бастамашы  шабуылдарға  төзімді  болады, 
сол себепті де хабарламаны қалпына келтіру алгоритмі үшін қолданылады.  
Хабарламаны қалпына келтіру алгоритмі өте қарапайым, сондықтан C мәнімен бірдей болатын  
b
i 
блоктар жиыны  үшін қолданушы бірге  хабарлама  блоктарының  тізбегі дұрыс  болатындай етіп, C 
бақылау қосындысын қолдана отырып, еркін реттілікпен b
i 
блоктар құрады. 
V  қолданушы  дұрыс  реттілікпен  құрылған  b
i   
нақты  тізбегіне  ие  болған  кезде  ғана  M
X 
хабарламасын қалпына келтіре алады. 
Егер бағдарлағышты таңбалауға арналған IP-тақырыпты кейбір биттерді қайтадан қолданатын 
болса, онда сәйкесінше IP-тақырыбындағы b бірнеше битті төмендегідей тәсілмен бөлуге болады: 
- i индекс үзіндісіне арналған [log l] биттер; 
- ассоциативті мекен-жай және бақылау қосындысы болып есептелетін C бақылау қосындысына 
арналған бит; 

50 
 
- M
i
 сөздерға арналған h = b - c – [log l] бит. 
C(M
X
)  немесе  M
X 
функциясы  кездейсоқ  болсын,  онда  C(M
X
)  бақылау  қосындысының  мәні 
статистикалық  кездейсоқ  және  шабуыл  бастамашысы  үшін  күтілмеген  жағдай.  Бірақ,  хэш-функция 
бастапқы  өлшеммен  сәйкес  әрі  екі әртүрлі  хабарламалы M
X
  және  М
y 
  бағдарлағыштарына  арналған 
C(M
X
)  =  C(M
Y
)  үшін  кездейсоқ  болады.  Атап  айтқанда,  C(M
X
)  барлық  M
X
  хабарламасын  біле 
бермейтін, тек X мәнін ғана білетін бастамашы үшін болжанбайтын болуы тиіс. M
X
-тің мәні l-ге еселі 
болуы керек, сол кезде ғана M
X
 үшін C = C(M
X
) бақылау қосынды c-битті есептеуге болады және M
X 
мәнін әрбірі h бит биіктікті l-ден M
0
, M
1
, M
2
,..., M
l -1 
сөздер W тізбегіне бөлуге болады. L блоктан b
i
 = 
[i,  C, M
i
] болатындай  b
0
,  b
1
, …, b
l -1 
жиынтығын анықтаймыз, мұнда C бақылау қосындысы әрбір b
i 
блогына кіреді. C-ның мәні b
i 
блогын бірге байланыстырады және блоктар үшін ассоциативті мекен-
жайы болып табылады [5]. 
Осылайша,  кездейсоқ  сілтемелер  тәсілі  өлшемі  үлкен  тізбекті  хабарламаның  бақылау 
қосындысын  пайдаланады.  Бұл  әдісте  M
X
  хабарлама  үзіндісі  C  бақылау  қосындысы  тізбегі 
ассоциативті  мекен-жайы  және  берілген  хабарлама  деректерінің  бүтіндігі  ретінде  қолданыла 
алатындай етіп құрылады. 
Қорытынды 
Мақалада  қарастырылып  отырған  мұндай  әдіс  желілік  шабуылдарда  бағдарлағыш 
(маршрутизатор, router) саны 500 болған жағдайда қолданушылар хабарламаларын қалпына келтіруге 
арналған  ең  тиімді  де  жедел  тәсілі  болып  табылады.  Сондықтан,  мұндай  кездейсоқ  сілтеме  әдісін 
қолдану  қысқа  уақыт  кезеңінде  хабарламаларды  қалпына  келтіруге  және  желілік  шабуылдардың 
үлкен көлемінде шабуылдарын көздерін анықтауға мүмкіндік береді. Олай болса, ғылыми мақалада 
ұсынылып отырған тәсіл компьютерлік желілердегі өте үлкен “қызмет көрсетуден бас тарту” бөлістік 
шабуылдарда компьютерлік ресурстарды пайдалану тиімділігін арттыратыны сөзсіз.  
 
Әдебиет 
1.Халиль  Х. А. Алгоритмы  маршрутизации  в  мобильных  сетях  /  Х.  А.  Халиль, А. Шкерат // 
Горная электромеханика и автоматика: наук.-техн. – 2002. – 94–100 стр.  
2.Dean D. An algebraic approach to IP traceback / D. Dean, M. Franklin, A. Stubblefield // In Network and 
Distributed System Security Symposium (NDSS). – 2001. – P. 3–12.  
3.Goodrich M. T. Efficient packet marking for large-scale IP traceback / M. T. Goodrich //  In 9th ACM 
Conf. on Computer and Communications Security (CCS). – 2002. – P. 117–126.  
4.Goodrich  M.  T.  Implementation  of  an  authenticated  dictionary  with  skip  lists  and commutative  
hashing  /  M.  T.  Goodrich,  R.  Tamassia,  A.  Schwerin  //    In  Proc.  2001  DARPA Information 
Survivability Conference and Exposition. – 2001. – Vol. 2. – P. 68–82.  
5.URL:http://arduinokit.ru/computers/administration-of-computers/chto-takoe-otkaz-v-obsluzhivanii-dos-
ddos.html  
 
РАЗРАБОТКА МЕТОДА ОБНАРУЖЕНИЯ РАСПРЕДЕЛЁННЫХ СЕТЕВЫХ АТАК НА 
ОТКАЗ В ОБСЛУЖИВАНИИ 
Г.А. Шангытбаева, Е.А.Оспанов, Е.А.Жанузаков 
 
В статье приведен подход к обнаружению распределённых сетевых атак на отказ в 
обслуживании, предложенный метод увеличивает продуктивность использования вычисляемого 
ресурса компьютерной сети при больших распределенных сетевых атаках на отказ в 
обслуживании. 
 
DEVELOPMENT OF THE METHOD OF DISTRIBUTED OF NETWORK ATTACKS  TO  
DENIAL OF SERVICE 
G.A. Shangytbayevа, E.A. Ospanov, E.T. Zhanuzakov  
 
The article presents an approach to detection of the distributed network attacks to refusal in service, the 
offered method increases efficiency of use of the calculated resource of a computer network at the big 
distributed network attacks to “denial of service”. 
 
 
 

51 
 
Draft: 324.04.37 
 
N.P. Karpinski
1 
, G.A. Shangytbayeva
2 
, E.A. Ospanov
3 
, E.M. Mukhametov
3       
1
Academy of  Technologies and the Humanities in Bielsko-Biala, Poland.   
2
Kazakh national technical university named after K.I.Satpayev, Kazakhstan 
3
Shakarim state university of Semey, Semey, Kazakhstan 
 
 
IDENTIFICATION AND LOCALIZATION OF DISTRIBUTED NETWORK ATTACKS 
 
  
 Summary:  The  article  discusses  an  identification  and  localization  of  distributed  network  attacks 
and attacks of malicious behavior and attacks of abnormal activity in distributed networks. 
  
 
Keywords:  information security, attacks, threats, network attacks. 
 
Introduction 
Computer  viruses  are  currently  one  of  the  most  dangerous  threats  to  the  information  security  of 
automated  information  systems.  Computer  viruses  are  currently  one  of  the  most  significant  threats  to 
information security, as evidenced by the numerous data on the annual financial losses of the company as a 
result of exposure to viral attacks. 
To minimize the risk of information security in corporate networks of information currently relevant 
development  and  implementation  of  systems  to  detect  network  attacks.  They  are  a  specialized  software  or 
firmware  that  enable  active  audit  and  security  management  (predict,  detect,  prevent,  monitor,  react  in  real 
time to security risks) in a corporate network. Solution of the problem of developing an effective information 
protection from network attacks requires the development of new methods that can withstand a distributed 
network  attacks  of  different  origin  and  to  more  adequately  reflect  the  complex  dynamics  of  stochastic 
processes of these attacks. Requires the development of methods to identify the distributed network attacks 
using modern methods in the complex decision support based on the theory of intelligent systems, allows us 
to go in solving problems of protection products and information technology systems of the principle of "the 
discovery and elimination of" the principle of "prediction and prevention in real time " . 
Shortcomings of existing approaches 
Currently  many  companies  to  effectively  protect  automated  information  systems  from  malicious 
software is sufficient to establish anti-virus products on all workstations and servers that will automatically 
provide the desired level of security. Unfortunately, experience shows that this approach does not allow to 
fully solve the problem of protection against malicious code. This is due to the following reasons: 
• the vast majority of antivirus tools based on the signature method detection of malicious software 
that does not allow them to detect new viruses whose signatures are not available in their databases; 
• In some cases, organizations are no regulatory guidance documents governing the work of antivirus 
protection equipment. This can lead to possible violations of the rules of operation - namely, failure to update 
signature  databases,  disabling  antivirus  components,  run  the  program  with  unverified  information  carriers, 
etc.; 
•  antivirus  protection  does  not  allow  to  identify  and  eliminate  vulnerabilities  based  on  which 
computer viruses can penetrate in automated information systems of enterprises; 
•  antivirus  software  does  not  have  the  features  that  enable  to  eliminate  the  consequences  of  virus 
attacks [1]. 
 

52 
 
 
Figure 1. Antiviral Laboratories, responsive to emerging viruses differently 
 
Another common approach to protecting against malicious code is the use of automated information 
systems,  antivirus  protection  is  only  one  producer,  which  are  installed  on  the  servers,  workstations  and 
network  gateways.  The  disadvantage  of  this  method  is  the  high  level  of  dependence  on  products  of  this 
manufacturer.  This  means  that  if,  for  whatever  reason,  will  not  operate  a  scan  engine  or  the  vendor 
(manufacturer software) is not able to timely update its database, under threat of a virus outbreak would be 
the entire infrastructure of the company. The urgency of the problem stems from the fact that the Antiviral 
Laboratories, responsive to emerging viruses differently (Figure 1). The difference in reaction time of up to 
eight  hours,  during  which  the  automated  information  system  could  potentially  be  successfully  attacked  by 
hackers. It is also necessary to note the difference in time of response of companies to a particular virus, the 
manufacturer,  which  is  now  the  first  to  respond  to  the  emergence  of  the  virus,  Class  A,  tomorrow  may 
release the latest virus signature for type B [2]. 
Next, consider what way should build protection system. It is indisputable that only a comprehensive 
approach to protecting against viruses and to detect distribution network attacks avoids the above drawbacks. 
Detection of malicious attacks conduct 
Accepted provide two basic kinds of Intrusion Detection System: Work First is to find evidence of 
previously  known  attacks;  The  second  comprises  a  program  to  detect  anomalies  in  the  functioning  of  the 
system. 
If  the  detection  of  attack  requires  an  understanding  of  the  expected  behavior  of  the  controlled 
offender information, the technology - the technology of detecting malicious behavior. Work abuse detection 
systems based on the compilation of patterns or "signatures" attacks. Safety systems of this type are effective 
for the known attack patterns, however, in case of a new unknown attacks or stroke attack deviations from a 
template, there are serious problems. Therefore it is necessary to maintain a large database of every attack 
and its variations, and continuously replenish the base templates. Also it is important to determine the sample 
size parameters controlled by the detection of network attacks based on malicious behavior. A small number 
or incorrectly selected parameters may lead to the fact that a model describing the behavior of entities in the 
system based on this method will be incomplete, and many attacks can’t be detected. On the other hand, too 
large a number of monitoring parameters carried method will cause a decrease productivity controlled unit 
due to increased demands for resources consumed [3]. 
Detection of attack abnormal activity 
Intrusion Detection Technology Based on the methods of detecting abnormal (suspicious) activity, in 
contrast to the discussed above, is more flexible and can detect unknown attacks. Anomaly detection systems 
based on the assumption that all the actions the attacker certainly something different from the behavior of 
the average user.  

53 
 
Detect attacks caused by abnormal activity, based on a comparison of current values of the parameters 
of  activity  with  the  values  that  are  currently  considered  normal.  As  these  parameters  may  be,  for  example, 
quantitative use of system resources, the intensity of requests to resources or system service. Under the current 
values  of  the  parameters  generally  understood  activity  average  computed  over  a  short  time  interval  (from 
several minutes to several hours), immediately preceding the moment in question. The normal mean values of 
these parameters are calculated over a sufficiently long period of time (days to months) [4]. 
This  technology  is  based  on  the  conclusion  that  the  anomalous  behavior  of  the  subject  (system 
software,  user),  manifested  as  a  deviation  from  normal  behavior.  An  example  of  anomalous  behavior  can 
serve  a  large  number  of  compounds  in  a  short  period  of  time,  high  CPU  load  and  network  load  ratio. 
However,  the  anomalous  behavior  is  not  always  attack.  For  example,  the  attack  is  not  receiving  a  large 
number of responses to a query about the activity of the stations from the network management system.  
Work systems to detect anomalous activity is preceded by a period of accumulation of information 
when building the concept of normal system activity, process or user. It becomes a benchmark for evaluating 
subsequent data. Therefore, when setting up and operation of this category are faced with two problems: 
– building a profile of the subject (difficult to formalize and time-consuming task that requires more 
work); 
– certain thresholds behavioral characteristics of the subject to reduce the probability of occurrence 
of one of the above two extreme cases. 
This technology requires continuous registration of all activities controlled entity, for the detection of 
abnormal activity, which significantly reduces the performance of the protected host. Such systems are a lot 
of CPU require large amounts of space to store the collected data and, in principle, applicable to systems that 
are critical to the speed, operating in real time. Another drawback of existing systems to detect anomalous 
activity  is  that  they  are  based  on  assumptions  about  the  stationarity  of  network  processes  and  the  mutual 
independence  of  private  metrics  that  are  never  fulfilled  in  practice.  This  predetermines  the  use  of  such 
systems  the  method  of  stationary  statistics,  which are  not  suitable  for  short-term  forecasting,  which  makes 
responding to security threats in real time. Rather rarely update the database parameters of normal behavior 
allows  offenders  to  adapt  their  behavior  to  the  requirements  of  the  detection  of  abnormal  activity,  which 
treats it as a result of a legitimate user. Ignoring the mutual dependence of private metrics leads to inadequate 
response of the system, resulting in a large number of false positives [5]. 

жүктеу/скачать 7,62 Mb.

Достарыңызбен бөлісу: