Имитационное моделирование механизмов защиты от бот-сетей.
Ключевые слова:
имитационное моделирование, бот-сети, оценка защищенности компьютерных сетей, распределенные атаки типа «отказ в обслуживании», атаки на компьютерную сеть и защита от нихАннотация
Для создания эффективных механизмов защиты от бот-сетей необходимо исследовать поведение бот-сетей, их влияние на работу компьютерных сетей, а также методы детектирования бот-сетей и противодействия им. В данной статье исследуются механизмы защиты от бот-сетей, распространяющихся с помощью технологии компьютерных червей и выполняющих распределенные атаки типа «отказ в обслуживании». В качестве инструмента для исследования бот-сетей и механизмов защиты предлагается программно-инструментальная среда имитационного моделирования, разработанная авторами статьи. Описывается общая архитектура среды моделирования и представлены эксперименты, которые показывают возможности разработанной среды имитационного моделирования для исследования бот-сетей и механизмов защиты от них.Литература
Kotenko I. Simulation of Agent Teams: the Application of Domain-Independent Framework to Computer Network Security // 23rd European Conference on Modeling and Simulation (ECMS2009). Madrid, Spain. June 9-12, 2009. P.137-143.
Kotenko I., Ulanov A. Agent-Based Modeling and Simulation of Network Softbots' Competition. Knowledge Based Software Engineering // Proceedings of the Seventh Joint Conference on Knowledge-Based Software Engineering. Ed. By E.Tyugu and T.Yamaguchi. Frontiers in Artificial Intelligence and Applications, Amsterdam: IOS Press, Vol.140, 2006.
Krishnaswamy J. Wormulator: Simulator for Rapidly Spreading Malware. Master's Projects, 2009.
Kugisaki Y., Kasahara Y., Hori Y., Sakurai K. Bot detection based on traffic analysis// Proceedings of the International Conference on Intelligent Pervasive Computing, 2007. P.303-306.
Li L., Alderson D., Willinger W., Doyle J. A first-principles approach to understanding the internet's router-level topology // ACM SIGCOMM Computer Communication Review, 2004.
Li J., Mirkovic J., Wang M., Reither P., Zhang L. Save: Source address validity enforcement protocol // Proceedings of IEEE INFOCOM, 2002. P.1557–1566.
Mao C., Chen Y., Huang S., Lee H. IRC-Botnet Network Behavior Detection in Command and Control Phase Based on Sequential Temporal Analysis // Proceedings of the 19th Cryptology and Information Security Conference, 2009.
Mazzariello C. IRC traffic analysis for botnet detection // Proceedings of Fourth International Conference on Information Assurance and Security, 2008.
Nagaonkar V., Mchugh J. Detecting stealthy scans and scanning patterns using threshold random walk, Dalhousie University, 2008.
Naseem F., Shafqat M., Sabir U., Shahzad A. A Survey of Botnet Technology and Detection // International Journal of Video & Image Processing and Network Security, Vol.10, No. 01, 2010.
Owezarski P., Larrieu N. A trace based method for realistic simulation // Communications, 2004 IEEE International Conference, 2004
Peng T., Leckie C., Ramamohanarao K. Proactively Detecting Distributed Denial of Service Attacks Using Source IP Address Monitoring // Lecture Notes in Computer Science, Vol.3042/2004, 2004. P.771-782.
ReaSE Realistic Simulation Environments for OMNeT++. https://i72projekte.tm.uka.de/trac/ReaSE.
Riley G., Sharif M., Lee W. Simulating internet worms // Proceedings of the 12th International Workshop on Modeling, Analysis, and Simulation of Computer and Telecommunication Systems (MASCOTS), 2004. P.268-274.
Ruitenbeek E. V., Sanders W. H. Modeling peer-to-peer botnets // Proceeding of 5th International Conference on Quantitative Evaluation of Systems, 2008. P.307-316.
Schuchard M., Mohaisen A., Kune D., Hopper N., Kim Y., Vasserman E. Losing control of the internet: using the data plane to attack the control plane // Proceedings of the 17th ACM conference on Computer and communications security, 2010. P.726-728.
Sen S., Spatscheck O., Wang D. Accurate, scalable in-network identification of p2p traffic using application signatures // Proceedings of the 13th international conference on World Wide Web, 2004. P.512-521.
Simmonds R., Bradford R., Unger B. Applying parallel discrete event simulation to network emulation // Proceedings of the fourteenth workshop on Parallel and distributed simulation, 2000.
Suvatne A. Improved Worm Simulator and Simulations. Master's Projects, 2010.
Varga A. OMNeT++. Chapter in the book "Modeling and Tools for Network Simulation", Wehrle, Klaus; Günes, Mesut; Gross, James (Eds.). Springer-Verlag, 2010.
Villamarín-Salomón R., Brustoloni J. C. Bayesian bot detection based on DNS traffic similarity // Proceedings of the 2009 ACM symposium on Applied Computing, 2009.
Vishwanath K.V., Vahdat A. Realistic and responsive network traffic generation // Proceedings of the Conference on Applications, technologies, architectures, and protocols for computer communications, 2006.
Wang P., Sparks S., Zou C.C. An advanced hybrid peer-to-peer botnet // Proceedings of the First Workshop on Hot Topics in Understanding Botnets, 2007.
Wang H., Zhang D., Shin K. Detecting SYN flooding attacks // Proceedings of IEEE INFOCOM, 2002. P.1530–1539.
Wehrle K., Gunes M., Gross J. Modeling and Tools for Network Simulation. Springer- Verlag, 2010.
Williamson M. Throttling Viruses: Restricting propagation to defeat malicious mobile code // Proceedings of ACSAC Security Conference, 2002. P.61–68.
Zhou S., Zhang G., Zhang G., Zhuge Zh. Towards a Precise and Complete Internet Topology Generator // Proceedings of International Conference Communications, 2006.
Котенко И.В., Коновалов А.М., Шоров А.В. Агентно-ориентированное моделирование функционирования бот-сетей и механизмов защиты от них // Защита информации. Инсайд, 2010. № 4, С.36-45. № 5, С.56-61.
Котенко И.В., Уланов А.В. Моделирование игры в "сетевые кошки-мышки": многоагентные технологии для исследования киберпротивоборства между антагонистическими командами кибер-агентов в Интернет // Новости искусственного интеллекта, № 3, 2006.
Котенко И.В., Уланов А.В. Команды агентов в кибер-пространстве: моделирование процессов защиты информации в глобальном Интернете // Проблемы управления кибербезопасностью информационного общества. Сборник Института системного анализа РАН, URSS, Москва, 2006.
Уланов А.В., Котенко И.В. Многоагентная среда для проведения экспериментов по защите компьютерных сетей // Математические методы распознавания образов: 13-я Всероссийская конференция (ММРО-13). Ленинградская обл., г. Зеленогорск, 30 сентября - 6 октября 2007 г.: Сборник докладов. М.: МАКС Пресс, 2007. С.631-634.
Akiyama M., Kawamoto T., Shimamura M., Yokoyama T., Kadobayashi Y., Yamaguchi S. A proposal of metrics for botnet detection based on its cooperative behavior // SAINT Workshops, 2007. P.82.
Bailey M., Cooke E., Jahanian F., Xu Y., Karir M. A Survey of Botnet Technology and Defenses Cybersecurity Applications // Technology Conference for Homeland Security, 2009.
Binkley J.R., Singh S. An algorithm for anomaly-based botnet detection // Proceedings of the 2nd conference on Steps to Reducing Unwanted Traffic on the Internet, Vol.2, 2006.
Chen S., Tang Y. Slowing Down Internet Worms // Proceedings of the 24th International Conference on Distributed Computing Systems, 2004.
Dagon D., Zou C., Lee W. Modeling botnet propagation using time zones // Proc. 13th Annual Network and Distributed System Security Symp. San Diego, 2006.
Feily M., Shahrestani A., Ramadass S. A Survey of Botnet and Botnet Detection // Third International Conference on Emerging Security Information Systems and Technologies, 2009.
Gamer T., Mayer C. Large-scale Evaluation of Distributed Attack Detection // 2nd International Workshop on OMNeT++, 2009.
Grizzard J.B., Sharma V., Nunnery C., Kang B.B., Dagon D. Peer-to-Peer Botnets: Overview and Case Study, 2007.
Huang Zh., Zeng X., Liu Y. Detecting and blocking P2P botnets through contact tracing chains // International Journal of Internet Protocol Technology archive, Vol.5, Issue 1/2, 2010.
Hyunsang C., Hanwoo L., Heejo L., Hyogon K. Botnet Detection by Monitoring Group Activities in DNS Traffic // 7th IEEE International Conference on Computer and Information Technology CIT 2007, 2007. P.715-720.
The INET Framework is an open-source communication networks simulation package for the OMNeT++ simulation environment. Http://inet.omnetpp.org/
Kotenko I. Agent-Based Modelling and Simulation of Network Cyber-Attacks and Cooperative Defence Mechanisms, Discrete Event Simulations, Sciyo, 2010. P.223-246.
Kotenko I., Konovalov A., Shorov A. Agent-based Modeling and Simulation of Botnets and Botnet Defense // Conference on Cyber Conflict. CCD COE Publications. Tallinn, Estonia, 2010. P.21-44.
Kotenko I. Agent-Based Modelling and Simulation of Network Cyber-Attacks and Cooperative Defence Mechanisms // Discrete Event Simulations. Sciyo, In-the. 2010. P.223-246.
Kotenko I., Ulanov A. Agent-Based Modeling and Simulation of Network Softbots' Competition. Knowledge Based Software Engineering // Proceedings of the Seventh Joint Conference on Knowledge-Based Software Engineering. Ed. By E.Tyugu and T.Yamaguchi. Frontiers in Artificial Intelligence and Applications, Amsterdam: IOS Press, Vol.140, 2006.
Krishnaswamy J. Wormulator: Simulator for Rapidly Spreading Malware. Master's Projects, 2009.
Kugisaki Y., Kasahara Y., Hori Y., Sakurai K. Bot detection based on traffic analysis// Proceedings of the International Conference on Intelligent Pervasive Computing, 2007. P.303-306.
Li L., Alderson D., Willinger W., Doyle J. A first-principles approach to understanding the internet's router-level topology // ACM SIGCOMM Computer Communication Review, 2004.
Li J., Mirkovic J., Wang M., Reither P., Zhang L. Save: Source address validity enforcement protocol // Proceedings of IEEE INFOCOM, 2002. P.1557–1566.
Mao C., Chen Y., Huang S., Lee H. IRC-Botnet Network Behavior Detection in Command and Control Phase Based on Sequential Temporal Analysis // Proceedings of the 19th Cryptology and Information Security Conference, 2009.
Mazzariello C. IRC traffic analysis for botnet detection // Proceedings of Fourth International Conference on Information Assurance and Security, 2008.
Nagaonkar V., Mchugh J. Detecting stealthy scans and scanning patterns using threshold random walk, Dalhousie University, 2008.
Naseem F., Shafqat M., Sabir U., Shahzad A. A Survey of Botnet Technology and Detection // International Journal of Video & Image Processing and Network Security, Vol.10, No. 01, 2010.
Owezarski P., Larrieu N. A trace based method for realistic simulation // Communications, 2004 IEEE International Conference, 2004
Peng T., Leckie C., Ramamohanarao K. Proactively Detecting Distributed Denial of Service Attacks Using Source IP Address Monitoring // Lecture Notes in Computer Science, Vol.3042/2004, 2004. P.771-782.
ReaSE Realistic Simulation Environments for OMNeT++. https://i72projekte.tm.uka.de/trac/ReaSE.
Riley G., Sharif M., Lee W. Simulating internet worms // Proceedings of the 12th International Workshop on Modeling, Analysis, and Simulation of Computer and Telecommunication Systems (MASCOTS), 2004. P.268-274.
Ruitenbeek E. V., Sanders W. H. Modeling peer-to-peer botnets // Proceeding of 5th International Conference on Quantitative Evaluation of Systems, 2008. P.307-316.
Schuchard M., Mohaisen A., Kune D., Hopper N., Kim Y., Vasserman E. Losing control of the internet: using the data plane to attack the control plane // Proceedings of the 17th ACM conference on Computer and communications security, 2010. P.726-728.
Sen S., Spatscheck O., Wang D. Accurate, scalable in-network identification of p2p traffic using application signatures // Proceedings of the 13th international conference on World Wide Web, 2004. P.512-521.
Simmonds R., Bradford R., Unger B. Applying parallel discrete event simulation to network emulation // Proceedings of the fourteenth workshop on Parallel and distributed simulation, 2000.
Suvatne A. Improved Worm Simulator and Simulations. Master's Projects, 2010.
Varga A. OMNeT++. Chapter in the book "Modeling and Tools for Network Simulation", Wehrle, Klaus; Günes, Mesut; Gross, James (Eds.). Springer-Verlag, 2010.
Villamarín-Salomón R., Brustoloni J. C. Bayesian bot detection based on DNS traffic similarity // Proceedings of the 2009 ACM symposium on Applied Computing, 2009.
Vishwanath K.V., Vahdat A. Realistic and responsive network traffic generation // Proceedings of the Conference on Applications, technologies, architectures, and protocols for computer communications, 2006.
Wang P., Sparks S., Zou C.C. An advanced hybrid peer-to-peer botnet // Proceedings of the First Workshop on Hot Topics in Understanding Botnets, 2007.
Wang H., Zhang D., Shin K. Detecting SYN flooding attacks // Proceedings of IEEE INFOCOM, 2002. P.1530–1539.
Wehrle K., Gunes M., Gross J. Modeling and Tools for Network Simulation. Springer- Verlag, 2010.
Williamson M. Throttling Viruses: Restricting propagation to defeat malicious mobile code // Proceedings of ACSAC Security Conference, 2002. P.61–68.
Zhou S., Zhang G., Zhang G., Zhuge Zh. Towards a Precise and Complete Internet Topology Generator // Proceedings of International Conference Communications, 2006.
Котенко И.В., Коновалов А.М., Шоров А.В. Агентно-ориентированное моделирование функционирования бот-сетей и механизмов защиты от них // Защита информации. Инсайд, 2010. № 4, С.36-45. № 5, С.56-61.
Котенко И.В., Уланов А.В. Моделирование игры в "сетевые кошки-мышки": многоагентные технологии для исследования киберпротивоборства между антагонистическими командами кибер-агентов в Интернет // Новости искусственного интеллекта, № 3, 2006.
Котенко И.В., Уланов А.В. Команды агентов в кибер-пространстве: моделирование процессов защиты информации в глобальном Интернете // Проблемы управления кибербезопасностью информационного общества. Сборник Института системного анализа РАН, URSS, Москва, 2006.
Уланов А.В., Котенко И.В. Многоагентная среда для проведения экспериментов по защите компьютерных сетей // Математические методы распознавания образов: 13-я Всероссийская конференция (ММРО-13). Ленинградская обл., г. Зеленогорск, 30 сентября - 6 октября 2007 г.: Сборник докладов. М.: МАКС Пресс, 2007. С.631-634.
Akiyama M., Kawamoto T., Shimamura M., Yokoyama T., Kadobayashi Y., Yamaguchi S. A proposal of metrics for botnet detection based on its cooperative behavior // SAINT Workshops, 2007. P.82.
Bailey M., Cooke E., Jahanian F., Xu Y., Karir M. A Survey of Botnet Technology and Defenses Cybersecurity Applications // Technology Conference for Homeland Security, 2009.
Binkley J.R., Singh S. An algorithm for anomaly-based botnet detection // Proceedings of the 2nd conference on Steps to Reducing Unwanted Traffic on the Internet, Vol.2, 2006.
Chen S., Tang Y. Slowing Down Internet Worms // Proceedings of the 24th International Conference on Distributed Computing Systems, 2004.
Dagon D., Zou C., Lee W. Modeling botnet propagation using time zones // Proc. 13th Annual Network and Distributed System Security Symp. San Diego, 2006.
Feily M., Shahrestani A., Ramadass S. A Survey of Botnet and Botnet Detection // Third International Conference on Emerging Security Information Systems and Technologies, 2009.
Gamer T., Mayer C. Large-scale Evaluation of Distributed Attack Detection // 2nd International Workshop on OMNeT++, 2009.
Grizzard J.B., Sharma V., Nunnery C., Kang B.B., Dagon D. Peer-to-Peer Botnets: Overview and Case Study, 2007.
Huang Zh., Zeng X., Liu Y. Detecting and blocking P2P botnets through contact tracing chains // International Journal of Internet Protocol Technology archive, Vol.5, Issue 1/2, 2010.
Hyunsang C., Hanwoo L., Heejo L., Hyogon K. Botnet Detection by Monitoring Group Activities in DNS Traffic // 7th IEEE International Conference on Computer and Information Technology CIT 2007, 2007. P.715-720.
The INET Framework is an open-source communication networks simulation package for the OMNeT++ simulation environment. Http://inet.omnetpp.org/
Kotenko I. Agent-Based Modelling and Simulation of Network Cyber-Attacks and Cooperative Defence Mechanisms, Discrete Event Simulations, Sciyo, 2010. P.223-246.
Kotenko I., Konovalov A., Shorov A. Agent-based Modeling and Simulation of Botnets and Botnet Defense // Conference on Cyber Conflict. CCD COE Publications. Tallinn, Estonia, 2010. P.21-44.
Kotenko I. Agent-Based Modelling and Simulation of Network Cyber-Attacks and Cooperative Defence Mechanisms // Discrete Event Simulations. Sciyo, In-the. 2010. P.223-246.
Опубликован
2011-12-01
Как цитировать
Котенко, И. В., Коновалов, А. М., & Шоров, А. В. (2011). Имитационное моделирование механизмов защиты от бот-сетей. Труды СПИИРАН, 4(19), 7-33. https://doi.org/10.15622/sp.19.1
Раздел
Статьи
Авторы, которые публикуются в данном журнале, соглашаются со следующими условиями:
Авторы сохраняют за собой авторские права на работу и передают журналу право первой публикации вместе с работой, одновременно лицензируя ее на условиях Creative Commons Attribution License, которая позволяет другим распространять данную работу с обязательным указанием авторства данной работы и ссылкой на оригинальную публикацию в этом журнале.
Авторы сохраняют право заключать отдельные, дополнительные контрактные соглашения на неэксклюзивное распространение версии работы, опубликованной этим журналом (например, разместить ее в университетском хранилище или опубликовать ее в книге), со ссылкой на оригинальную публикацию в этом журнале.
Авторам разрешается размещать их работу в сети Интернет (например, в университетском хранилище или на их персональном веб-сайте) до и во время процесса рассмотрения ее данным журналом, так как это может привести к продуктивному обсуждению, а также к большему количеству ссылок на данную опубликованную работу (Смотри The Effect of Open Access).
