«Лучшие проекты информатизации 2013»: Средство обнаружения аномального трафика сетевых атак

Рабочая группа конкурса «Лучшие проекты информатизации» завершает серию «Золотая коллекция конкурса» и представляет вашему IT-проект 2013 года, посвященный борьбе с DDOS атаками, разработанный в Алтайском госуниверситете.

Цель проекта заключается в разработке алгоритма противодействия HTTP- flood DDOS атакам. DDOS атака – это распределенная атака, направленная на отказ в обслуживании. В результате атак такого типа, атакуемый сетевой ресурс получает лавинообразное количество запросов, которые не успевает обработать. Источником вредоносных запросов являются так называемые зомби-сети, состоящие в основном из компьютером обычных пользователей, зараженных вредоносным ПО.

Сетевые атаки в последние годы стали настоящим кошмаром для многих сетевых ресурсов. Особенно сильно они вредят сайтам крупных информагентств и государственных органов.

В качестве среды разработки был выбран PHP – это было обусловлено несколькими факторами. Во-первых, PHP является одним из самых популярных средств разработки. Возможность исполнения php-скриптов есть практически на каждом сервер предоставляющем услуги хостинга. Значит, у системного администратора не будет проблем с внедрением данного решения. Во-вторых, данный язык имеет богатый инструментарий, позволяющий гибко обрабатывать полученные данные.

Алгоритм работы программы достаточно прост и доступен каждому. Программа постоянно анализирует поступающий трафик на предмет начала атаки. В случае начала атаки, фиксируется точка начала атаки и в базе данных создаются две дополнительные таблицы, соответствующие благонадежному трафику и трафику, пришедшему после начала атаки. С помощью алгоритма k-means трафик пришедший после начала атаки делиться на две группы. На основании вредоносного трафика создаются необходимые запрещающие правила для firewall’а.

Работа данной программы, равно как и теоретическая часть алгоритма, были апробированы в лабораторных условиях с использованием данных, соответствующих реальным DDOS атакам. Использование данного средства позволило уменьшить время реакции на атаку в 5 раз. И увеличить точность обнаружение вредоносного трафика в 3 раза по сравнению с реакцией системного администратора на DDOS атаку в ручном режиме.

Справка

Основной задачей конкурса «Лучшие проекты информатизации» является выявление наиболее перспективных инновационных стартап-разработок, а так же уже внедренных ИТ-проектов, с целью создания условий для их поддержки и развития.

Участвуя в конкурсе, появляется возможность презентовать проекты ведущим экспертам и профессионалам IT-отрасли, продемонстрировать результаты своих разработок в условиях реального рынка, кроме того, привлекаете потенциальных клиентов и внимание СМИ.

Конкурсным проектом может быть авторская, коллективная работа, тематики, касающейся конкретной значимой задачи в разработке web-сайтов, Интернет-магазинов, на производстве, в отрасли, в системе управления, выполненной с использованием информационных технологий (компьютеров, систем телекоммуникаций, программного обеспечения, копировально-множительной техники и т.п.).