На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера
№ 4 июль–август 2010 г.
Тема номера:
УГРОЗЫ И ПОСЛЕДСТВИЯ СЕТЕВЫХ ВОЙН

Агентно-ориентированное моделирование функционирования бот-сетей
и механизмов защиты от них

И. В. Котенко, д. т. н., профессор, заведующий научно-исследовательской лабораторией проблем компьютерной безопасности А. М. Коновалов, аспирант А. В. Шоров, аспирант
СПИИРАН


Предыдущая статьяСледующая статья

Распознавание бот-сетей и противодействие им является сложной комплексной научно-технической и организационной задачей. В настоящей статье предлагается подход к исследованию бот-сетей и механизмов защиты от них, основанный на построении формальных моделей бот-сетей и механизмов защиты и применении парадигмы агентно-ориентированного моделирования. Различные типы атак и методы защиты исследуются путем представления процесса функционирования бот-сетей и противодействия им в виде комплекса противоборствующих команд интеллектуальных программных агентов.

Введение

Бот-сеть (англ. botnet) — это вычислительная сеть, состоящая из большого количества хостов, с запущенным автономным программным обеспечением, называемым ботом (bot). Бот в составе бот-сети является программой, скрытно устанавливаемой на некотором компьютере и позволяющей злоумышленнику выполнять определенные вредоносные действия с использованием ресурсов зараженного компьютера. На сегодняшний день бот-сети уверенно занимают лидирующие позиции в списке актуальных угроз в сети Интернет.

Появление бот-сетей позволило злоумышленникам получить доступ к миллионам зараженных компьютеров пользователей, а число киберпреступлений увеличилось в сотни раз [4]. В настоящее время специалисты наблюдают усиление конкуренции на рынке бот-сетей: в конце 2009 года — начале 2010 года появился целый ряд новых программ для реализации бот-сетей, таких как Filon, Clod, Buga, Spy Eye и др.

Отличительной чертой использования современных бот-сетей как инструментов для кибератак является большое разнообразие возможных целей проведения атак:

  • кража персональных или любых других конфиденциальных данных (кража денег с электронных счетов, номеров кредитных карт и т. д.);
  • организация рассылки спама;
  • принудительный показ рекламы;
  • организация атак DDoS;
  • использование вычислительной мощности инфицированных компьютеров в своих целях;
  • компрометация легитимных пользователей;
  • кибершантаж;
  • обман систем отслеживания рейтинга (например, атака типа ClickFraud) и др.

Спектр атак, проводимых при помощи бот-сетей для реализации названных целей, довольно обширен: от традиционных компьютерных атак до атак в сфере социальной инженерии.

Функционирование бот-сетей характеризуется одновременными действиями огромного количества бот-агентов в интересах злоумышленника. В большинстве случаев злоумышленник получает полный контроль над ресурсами инфицированного компьютера и может беспрепятственно использовать их практически по своему усмотрению. Важным аспектом использования бот-сетей является направленность реализации атак, как правило, на финансовый результат или политические цели и, как следствие, высокий уровень подготовки таких атак. Это обусловливает значительные трудности в обнаружении и нейтрализации бот-сетей и выявлении их организаторов.

В предыдущие годы, в частности в России, наблюдались следующие тенденции в развитии бот-сетей:

  • малые бот-сети вливались в более крупные, то есть происходило их объединение и наращивание функциональных возможностей для реализации более мощных атак;
  • управляющие центры переносились в страны третьего мира, и бот-сети характеризовались все большей децентрализацией;
  • появлялись непрофессиональные бот-сети, реализуемые с помощью специальных конструкторов или программ — для создания такой сети и управления ею не требуются специальные знания;
  • профессиональные бот-сети стали применять передовые технологии для управления и обеспечения анонимности, в частности технологию аутентификации portknocking и др.

Все это говорит об актуальности исследования проблемы защиты от бот-сетей в сети Интернет. Одной из важнейших задач, выполнение которой необходимо для решения данной проблемы, является исследовательское моделирование бот-сетей и механизмов защиты от них с целью разработки эффективных методов и средств их обнаружения и противодействия бот-сетям.

В данной работе представляется подход к исследованию бот-сетей и механизмов защиты от них на основе агентно-ориентированной парадигмы. Предлагаемый подход базируется на объединении методов моделирования дискретных событий, методов моделирования сетевого трафика на основе имитации отдельных сетевых пакетов и методов агентно-ориентированного моделирования.

Первоначально данный подход был предложен для моделирования сетевых атак и механизмов защиты. В настоящей статье в отличие от этих работ представлены результаты формализации и моделирования различных типов бот-сетей, а также действий, направленных на их обнаружение и сдерживание, посредством представления бот-сетей и механизмов защиты от них в виде различных команд интеллектуальных агентов.

Основной целью данной работы является разработка программной инструментальной среды и библиотеки, предназначенной для анализа различных типов бот-сетей и разнообразных методов противодействия. Наибольший акцент в статье делается на описании используемой среды агентно-ориентированного моделирования и представлении проведенных экспериментов.

Данная работа структурирована следующим образом. Во втором разделе описываются релевантные работы и ключевые особенности предлагаемого подхода. В третьем — задается архитектура и реализация программной среды агентно-ориентированного моделирования бот-сетей и механизмов защиты. Конфигурация системы моделирования специфицируется в четвертом разделе, проведенные эксперименты характеризуются в пятом. В заключении делаются выводы и определяются направления дальнейших исследований.

< ... >
 


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2024 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

   Rambler's Top100    Технологии разведки для бизнеса