автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.18, диссертация на тему:Многоагентное моделирование механизмов защиты от атак "распределенный отказ в обслуживании"

УДК 004.414.23 На правахрукописи

Уланов Александр Владимирович

МНОГОАГЕНТНОЕ МОДЕЛИРОВАНИЕ МЕХАНИЗМОВ ЗАЩИТЫ ОТ АТАК «РАСПРЕДЕЛЕННЫЙ бТКАЗ В ОБСЛУЖИВАНИИ»

Специальность-

05.13.18—Математическое моделирование, численные методы и комплексы программ

0513.19—Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

ииЛБ24Ю

Санкт-Петербург 2007

003162410

Работа выполнена в Санкт-Петербургском институте информатики и автоматизации РАН

Научный руководитель доктор технических наук, профессор

Котенко Игорь Витальевич

Официальные оппоненты доктор технических наук, профессор

Тимофеев Адиль Васильевич

кандидат технических наук, доцент

Корт Семен Станиславович

Ведущая организация

Специализированный центр программных систем «СПЕКТР»

Защита состоится «12» ноября 2007 г. в 11 часов на заседании диссертационного совета Д.002 199 01 при Санкт-Петербургском институте информатики и автоматизации РАН по адресу: 199178, Санкт-Петербург, В.О., 14 линия, 39.

С диссертацией можно ознакомиться в библиотеке Санкт-Петербургского института информатики и автоматизации РАН

Автореферат разослан « К » О^ТЛ ^^Л- 200^г Ученый секретарь

диссертационного совета Д.002.199.01

кандидат технических наук Ронжин Андрей Леоницович

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы диссертации.

В последнее время наблюдается рост количества распределенных атак на глобальные компьютерные сети Значительная часть этих атак направлена на нарушение доступности или «распределенный отказ в обслуживании» (Distnbuted Denial of Service, DDoS) Атака заключается в перегрузке хоста или сетевого ресурса посредством наполнения системы - цели атаки - большим количеством сетевых пакетов Эти атаки реализуются большим количеством программных агентов («ботов» или «демонов»), размещенными на хостах, которые злоумышленник скомпрометировал ранее Реализация этих атак может привести не только к выходу из строя отдельных хостов й служб, но и остановить работу корневых DNS-серверов и вызвать частичное или полное прекращение работы Интернета. В связи с критичностью и нетривиальностью данного класса атак, построение эффективных средств защиты от них представляет собой сложную научно-техническую проблему

На практике достаточно проблематично осуществить проверку и оценку применения того или иного механизма защиты Исследование на основе реальных сетей трудно реализуемо практически вследствие следующих причин Необходимо либо располагать большим выделенным фрагментом сети, где можно проводить эксперименты, либо использовать для экспериментов сети реальных Интернет-провайдеров (Internet Service Provider, ISP) Но атаки DDoS создают большую нагрузку на сеть, вплоть до полного отказа в обслуживании, что приводит к выходу эксперимента из под контроля, и даже распространению атак в Интернет При этом важные условия научного эксперимента, такие как повторяемость и контролируемость, не могут быть соблюдены Вследствие описанных причин для исследования механизмов защиты от атак DDoS необходимо использовать моделирование

Для реализации данной цепи предлагается использовать многоагентное моделирование, так как оно упрощает сам процесс моделирования, позволяя представить изучаемые процессы в виде совокупности автономных агентов и взаимодействий меледу ними. В известных в настоящее время работах задача многоагентного моделирования атак DDoS и механизмов защиты от них явным образом не ставилась.

Вводу критичное™ данного класса атак, сложности проведения исследований на реальных сетях, многоагентное моделирование механизмов защиты от атак DDoS представляется действительно актуальной задачей

Цепью исследования является повышение эффективности анализа механизмов защиты от распределенных атак «отказ в обслуживании» на основе разработки моделей и методик для многоагентного моделирования.

Для достижения данной цепи в диссертационной работе поставлены и решены следующие задачи

1 Анализ методов многоагентного моделирования и атак «распределенный отказ в обслуживании» и механизмов защиты от них

2 Разработка моделей команд агентов, реализующих атаки «распределенный отказ в обслуживании» и механизмы защиты от них и моделей их взаимодействия

3 Разработка модели среды взаимодействия (сети Интернет)

4 Построение архитектуры системы многоагентного моделирования

5 Разработка методики многоагентного моделирования на основе представленных моделей и архитектуры

6 Реализация системы многоагентного моделирования и проведение экспериментов

Объектом исследования являются атаки ООов и механизмы защиты от них. В исследовании особое внимание уделяется подзадаче многоагентного моделирования атак ООоЭ и механизмов защиты от них. Предметом исследования являются модели и методика многоагентного моделирования атак «распределенный отказ в обслуживании» и механизмов защиты от них.

Научная задача работы - разработка модельно-методического аппарата для моделирования механизмов защиты от распределенных атак «отказ в обслуживании» с целью исследования этих механизмов защиты

Методологическую и теоретическую основу исследования составили научные труды отечественных и зарубежных авторов в областях многоагентных систем, многоагентного моделирования, компьютерной безопасности, компьютерных сетей, моделирования сетей и сетевых процессов, динамической адаптации.

Методы исследования, использованные в диссертации, относятся к методам системного анализа, теории вероятности, объектно-ориентированного программирования, сравнения и аналогий, моделирования.

Основными результатами, выносимыми на защиту, являются: 1. Модели команд агентов, реализующих атаки «распределенный отказ в

обслуживании» и механизмы защиты от них 2 Модели взаимодействия команд агентов, реализующих атаки

«распределенный отказ в обслуживании» и механизмы защиты от них 3. Методика проведения многоагентного моделирования механизмов защиты от атак «распределенный отказ в обслуживании» Научная новизна исследования заключается в следующем 1 Разработаны модели команд, агентов, реализующих атаки «распределенный отказ в обслуживании» и механизмы защиты от них, отличающиеся использованием в качестве базиса методов командной работы агентов Особенностью моделей является применение процедур обеспечения

согласованности действий, мониторинга и восстановления функциональности агентов, а также обеспечения селективности коммуникаций 2 Разработаны модели взаимодействия команд агентов, реализующих атаки «распределенный отказ в обслуживании» и механизмы защиты от них Их особенностями являются вьщепение различных видов взаимодействий команд, которые основываются на антагонистическом противоборстве, кооперации и адаптации, использование различных схем кооперации команд агентов защиты, позволяющих вести обмен данными о трафике между агентами защиты и задействовать разные классы агентов защиты, возможность адаптации команд агентов посредством генерации новых экземпляров атак и механизмов защиты и сценариев их реализации 3. Разработана методика проведения многоагентного моделирования механизмов защиты от атак «распределенный отказ в обслуживании» в сети Интернет, базирующаяся на представленных в диссертационной работе моделях и алгоритмах и обладающая следующей совокупностью особенностей, подчеркивающей ее новизну учитываются ключевые параметры исследуемых процессов (параметры сети и ее узлов, параметры команды атаки и реализации атаки, параметры команды защиты и механизмов защиты, параметры взаимодействия команд), основные этапы методики автоматизированы за счет реализованной системы многоагентного моделирования механизмов защиты от атак «распределенный отказ в обслуживании», на основе выходных параметров производится оценка и сравнение различных механизмов защиты

Обоснованность и достоверность представленных в диссертационной работе научных положений обеспечивается за счет тщательного анализа состояния исследований в данной области, подтверждается согласованностью теоретических результатов с результатами, полученными при компьютерной реализации, а также апробацией основных теоретических положений в печатных трудах и докладах на научных конференциях.

Практическая значимость исследования Разработанные модели могут быть обобщены для цепей решения достаточно большого класса задач, в частное™, задачи информационной борьбы в Интернет, конкуренции в сфере электронного бизнеса и др Элементы разработанных моделей, в частности предложенные классификации механизмов защиты от атак ООоЭ, можно использовать для анализа систем защиты такого рода. Предложенную методику можно использовать для исследования эффективности разнообразных механизмов защиты на основе различных выходных параметров, оценки защищенности существующих сетей и выработки рекомендаций для построения перспективных систем защиты.

Реализация результатов работы. Результаты, полученные в диссертационной работе были использованы в рамках следующих научно-

исследовательских работ проекта шестой рамочной программы Европейского сообщества (Research Project of the European Community sixth framework programme) «Policy-based Security Tools and Framework (POSITIF)» (Contract #IST-2002-002314, 2004-2007), проекта «MIND— Machine Learning for Intrusion Detection», поддерживаемого Федеральным Министерством образования и науки Германии (фант 01ISC40A, 2004-2006), Российского фонда фундаментальных исследований (РФФИ) «Моделирование процессов защиты информации в компьютерных сетях в антагонистической среде формальный подход, математические модели, многоагентная архитектура, программный прототип и экспериментальная оценка» (проект № 04-01-00167, 2004-2006), программы фундаментальных исследований отделения информационных технологий и вычислительных систем (ОИТВС) Российской академии наук «Математические модели активного анализа уязвимостей, обнаружения вторжений и противодействия сетевым атакам в компьютерных сетях, основывающиеся на многоапентных технологиях» (контракт № 3 2/03, 2003-2007), проекта «Разработка научно-методических основ защиты информации в каналах связи системы международной коллективной экологической безопасности» (Государственный контракт с Центром исследования проблем безопасности Российской академии наук, 2006) и др

Апробация результатов работы. Основные положения и результаты диссертационной работы докладывались на следующих научных конференциях: «International Conference on Security and Cryptography (SECRYPT-2007)» (Барселона, Испания, 2007), «Autonomous Intelligent Systems Agent and Data Mining-2007 (AIS-ADM 07)» (Санкт-Петербург, 2007), «9th Information Security Conference (ISC 2006)» (Самос, Греция, 2006), XIII, XIV, XV общероссийские научно-технические конференции «Методо| и технические средства обеспечения безопасности информации (МТСОБИ)» (Сан кг-Петербург, 2004-2006), Международная научная школа «Моделирование и анализ безопасности и риска в сложных системах (МАБР-2006)» (Санкт-Петербург, 2006), «X Национальная конференция по искусственному интеллекту с международным участием (КИ14-2006)» (Обнинск, 2006), Международные научно-технические конференции «Интеллектуальные системы» (AIS) и «Интеллектуальные САПР» (CAD) (Дивноморское, 2005-2007), «Четвертая и пятая общероссийские конференции «Математика и безопасность информационных технологий (МаБИТ, 2005, 2006)» (Москва, 2005, 2006), Вторая всероссийская научно-практическая конференция по имитационному моделированию и его применению в науке и промышленности «Имитационное моделирование Теория и практика. ИММОД-2005» (Санкт-Петербург, 2005), IV Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России (ИБРР)» (Санкт-Петербург, 2005), «Second

International Workshop on Safety and Security in Multiagent Systems (SASEMAS '05) (Утрехт, Голландия, 2005) и др По итогам научной работы автор дважды побеждал в конкурсе «Лучшие аспиранты РАН» (2006, 2007 гг) и был награжден медалью РАН для мопсщых учёных РАН (2007 г)

Публикации. По материалам диссертационной работы опубликовано 42 статьи, в том числе две статьи из перечня ВАК на соискание ученой степени доктора и кандидата наук («Известия высших учебных заведений Приборостроение», «Известия РАН Теория и системы управления») На конференции «9th Information Secunty Conference» (2006) статья автора была награ>едена грамотой «Best Student-Authored Paper» как лучшая, написанная аспирантом

Структура и объем диссертационной работы. Диссертационная работа объемом 165 машинописных страниц, содержит введение, три главы и заключение, список литературы, содержащий 129 наименований, 3 таблицы, 31 рисунок.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована важность и актуальность темы диссертации, сформулированы цель диссертационной работы и решаемые задачи, определены научная новизна и практическая значимость работы, кратко описаны разработанные модели, архитектура и методика многоагентного моделирования механизмов защиты от атак «распределенный отказ в обслуживании», а также представлены основные результаты их реализации в научно-исследовательских проектах

В первой главе диссертации рассмотрены особенности задачи моделирования, представлено современное состояние проблемы многоагентного моделирования и области атак DDoS и механизмов защиты от них, приведен общий подход к исследуемой проблеме моделирования Определены задача исследования, ее цели и требования к ее реализации

Представлены вопросы моделирования процессов защиты информации и связанные с ним сложности Для исследования механизмов защиты от атак «распределенный отказ в обслуживании» предложено использовать многоагентное моделирование, так как рассматриваемые процессы требуют возможности реализации динамического поведения, автономности, адаптации отдельных компонентов, использования методов, основанных на переговорах и кооперации, которые лежат в основе агентно-ориентированных систем

Основным базисом для проведенного исследования является теория командной работы агентов Описаны классические подходы теория общих планов, теория общих намерений и гибридный подход Проанализированы подходы к организации командной работы агентов, которые воплощены в

программных реализациях различных многоагентных систем GRATE*, ОАА, CAST, RETSINA-MAS, COGNET/BATON, Robocup Soccer, Team-Soar

Рассмотрены особенности реализации, типы и основные классификации атак DDoS Приведенные классификации призваны помочь в построении онтологии предметной области

Проанализированы существующие классификации механизмов защиты от DDoS атак Предложена новая классификация, в рамках которой в диссертации рассматриваются различные механизмы защиты Особое внимание уделено механизмам кооперативной защиты Разработанная классификация использована для построения онтологии предметной области На основе рассмотренных работ в области многоагентного моделирования и анализа атак DDoS и механизмов защиты от них, предложен общий подход к многоагентому моделированию такого класса задач Он предполагает, что кибернетическое противоборство представляется в виде взаимодействия двух команд программных агентов команды агентов-злоумышленников по реализации атак DDoS и команды агентов защиты Они воздействуют друг на друга и на среду, которая является моделью Интернета

Сформулирована задача исследования Она заключается в разработке (1)

моделей противоборства команд агентов М = (Tfi,TD,l,E}, где ТА и TD -модели команд атаки и защиты, определяющие механизмы реализации атак DDoS и механизмы защиты от них соответственно, / - модель взаимодействия команд, Е - модель среды взаимодействия (модель Интернет), и (2) методики моделирования Р = G u М, где G -упорядоченное множество процедур по выполнению многоагентного моделирования механизмов защиты от атак DDoS, которая позволяет анализировать эти механизмы и находить наилучший по заданному критерию

механизм защиты T¿ из множества Т^,Тр при соблюдении

требований к своевременности, обоснованности и ресурсопотреблению выполнения методики.

Во второй главе представлены модели противоборства команд агентов, реализующих атаки «распределенный отказ в обслуживании» и механизмы защиты от них Это модели команды атаки и команды защиты, модель взаимодействия команд и модель сети Интернет

Модели команд агентов заданы с помощью следующих компонентов'

T = {Op,B,C,Pp,S\, где Ор - частная онтология команды, В - базовые функции агентов, С -классы агентов; Рр - протоколы взаимодействия агентов, S - сценарии поведения агентов К базовым функциям относятся инициализация,

окончание работы, доступ к частной онтологии, контроль списка активных агентов, работа с модулями транспортного уровня Разработан общий протокол взаимодействия агентов - протокол составления команды агентов

Задана частная онтология команды атаки, куда вошли понятия и отношения предметной области атак «распределенный отказ в обслуживании» Модель команды атаки включает два класса агентов «демон», непосредственно реализующий атаку, и «мастер», выполняющий действия по координации остальных компонентов системы Команда атаки использует следующие протоколы протокол составления команды, протокол проверки работоспособности, протокол рассылки параметров атаки; протокол реализации атаки Сценарии определяют последовательности действий агентсе команды атаки Приведен пример сценария функционирования команды атаки Рассмотрены различные режимы атаки

В частную онтологию команды защиты, которая задается на основе предложенной классификации, вошли понятия и отношения предметной области «механизмы защиты от атак «распределенный отказ в обслуживании» Предложены следующие классы агентов защиты первичной обработки информации («сэмплеры»), обнаружения атаки («детекторы»), фильтрации («фильтры»), ограничения трафика («ограничители»), агенты расследования Команда защиты использует следующие протоколы протокол составления команды, протокол сбора информации у сэмплеров, протокол рассылки адресов возможных источников атаки, протокол обезвреживания агентов атаки Сценарии задают последовательности действий агентов команды Приведен пример сценария работы команды защиты Представлены используемые режимы работы агентов-ограничителей и методы защиты, используемые сэмплером, — HCF (Hop Count Filtering, фильтрация по количеству «хопов»), Source IP Address Monitonng (мониторинг IP-адресов отправителей) и BPS (Bit Per Second, бит в секунду) В первом используется предположение, что пакеты из одной и той же сети проходят до получателя одинаковое количество интервалов (скачков, хопов) между точками маршрутизации Во втором предполагается, что в начале атаки появляется большое количество новых IP-адресов В третьем трафик от одного IP-адреса не должен превышаггъ некоторое пороговое значение.

Описаны разработанные модели взаимодействия команд антагонистическое противоборство, кооперативная защита, адаптивная схема Модель взаимодействия команд задается в следующем виде / = {S, Tj, где S и Т - субъекты и метод (или тип) взаимодействия

Модель антагонистического противоборства команд лежит в основе взаимодействия команд защиты и атаки, так как команды, имеют противоположные цели Команда атаки, реализуя arraiy, воздействует на сеть и цепь атаки, и через сеть это воздействие передается команде защиты

Команда защиты, обнаруживая атаку, на основе заданных методов защиты пытается применить определенные контрмеры ограничение трафика, фильтрацию трафика и обезвреживание агентов атаки Ограничивая и фильтруя трафик, команда защиты воздействует на сеть Это влияет на команду атаки отдельные агенты не смогут получать директивы атаки, а также пакеты атаки могут быть отфильтрованы Пытаясь обезвредить агентов атаки, команда защиты оказывает воздействие непосредственно на них

Кооперативное взаимодействие происходит между командами, преследующими общую цель по защите сети команды защиты обмениваются информацией для повышения эффективности противодействия атаке На основе анализа моделей кооперативных механизмов DefCOM и COSSACK предложены новые схемы кооперации.

В соответствии с архитектурой системы DefCOM вводятся следующие классы агентов «Alert generator» (строится на базе детектора и сэмплера), «Rate limiter» (представляет собой агента «ограничитель»), «Classifier» (агент «фильтр», получающий данные по фильтрации от детектора)

Для моделирования системы COSSACK представляются следующие классы агентов «snort» (строится на базе агента «сэмплер»), «watchdog» (строится на базе агента «детектор»). Для имитации фильтра на маршрутизаторе используется агент «фильтр».

В предлагаемом подходе к кооперации используются следующие четыре класса агентов команд защиты сэмплеры, детекторы, фильтры, агенты расследования Команды агентов защиты могут взаимодействовать по различным схемам кооперации без кооперации - все команды агентов работают сами по себе, кооперация на уровне фильтров - команда защиты может применять правила фильтрации на фильтрах других команд, кооперация на уровне сэмплеров - команда защиты получает информацию о трафике от сэмплеров других команд, слабая кооперация - команда защиты может использовать агентов фильтров и сэмплеров тех или иных команд, полнея кооперация - команда защиты может получать информацию о трафике от всех сэмплеров других команд и применять правила фильтрации на всех фильтрах других команд

Модель адаптации заключается в следующем Команда атаки эволюционирует посредством генерации новых экземпляров атак и сценариев их реализации, чтобы преодолеть систему защиты Команда защиты адаптируется к действиям злоумышленников путем изменения сценария защиты, применения новых механизмов защиты

Для команд защиты введены следующие параметры адаптации S(f ) -показатель серьезности (мощности) атаки в момент времени t, KD(t) = {M, ТК} - конфигурация системы защиты в момент времени t, где M - метод защиты и его параметры, ТК - схема кооперации,

C,(S{t),KD(t)) - I-й компонент стоимости защиты от атаки (/ = 1 . п) Заданы следующие показатели стоимости защиты CFP(S(t),KD(t)) отражает процент ложных срабатываний системы защиты, CFN (S(t), КD (t)) -процент пропуска атак системы защиты, CT(S(t\KD(t)) продолжительность атаки Общий принцип адаптации заключается в следующем при изменении S(f) подсистема адаптации выбирает конфигурацию системы защиты KD (f), которая минимизирует функцию

f=£C,(S(0,Kd(0)

1=1

Для команды защиты используется следующий критерий адаптации

1шп[СРР(5(г)Ло(0)+Сж(5(Г)До(0)+Сг(5(0Ло(0)]

Команда атаки старается максимизировать затраты команды защиты Применяется следующий критерий адаптации команды атаки

m(m[cMtlKM+CD(E(t),KMl

где E(t) - показатель действенности защиты в момент времени t, KA(t) = {l,R} - параметры атаки в момент времени t, где I -интенсивность атаки, R - метод подмены адреса отправителя, показатели стоимости атаки CP(E(t),KA(t)) отражает количество посланных пакетов, CD (E(t), КА (t)) - количество обезвреженных демонов

Модель сети задана в виде Network = {Тр, Р,Тг}, где Тр - топология

сети, Р - протоколы, Тг - трафик. Проведен анализ этих компонентов и различных подходов к генерации легитимного трафика, рассматриваются модели, которые наилучшим образом подходят для задачи исследования Рассмотрен способ построения топологий, близких к реально существующим в Интернете, на основе ранга узла при помощи заданной функции плотности распределения

Для моделирования необходимо генерировать трафик агентов атаки и трафик легитимных клиентов Для генерации пакетов агентов атаки необходима имитация протоколов TCP и UDP, а для легитимного трафика -гораздо больший пакет протоколов Для упрощения модели следует выбрать только те протоколы, которые реально влияют на результаты моделирования Представлены различные подходы к генерации трафика Для генерации трафика с целью исследования различных механизмов защиты от атак DDoS важна точность вплоть до пакетов протоколов и полей этого пакета Поэтому

хорошо применим подход к генерации трафика на уровне источников и коммуникаций узлов, так как здесь учитываются параметры конкретных узлов Третья глава посвящена представлению разработанной архитектуры системы моделирования и ее реализации, описанию предложенной методики проведения многоагентнопо моделирования механизмов защиты от атак «распределенный отказ в обслуживании», а также применению этой методики и оценке эффективности ее применения

Предложенная архитектура системы моделирования включает базовую систему имитационного моделирования, модуль (пакет) моделирования сети Интернет, подсистему агентно-ориентированного моделирования и модуль (библиотеку) имитации процессов предметной области Она отличается от средств многоагентного моделирования использованием в качестве основы пакета имитации сети Интернет С использованием OMNeT++ INET Framework и программных моделей, разработанных на С++, представленная архитектура была реализована для многоагентного моделирования механизмов защиты от атак DDoS. Модели агентов, реализованные в Agent-based Framework, представлены типовым агентом, агентами атаки и агентами защиты Subject Domain Library содержит различные модели узлов, например, атакующего, брандмауэра и др, а также модели приложений (механизмы реализации атак и защиты, анализаторы пакетов, таблицы фильтрации)

Основными этапами разработанной методики проведения многоагентного моделирования механизмов защиты от атак «распределенный отказ в обслуживании» являются (рис. 1) подготовительный этап, этап задания параметров, этап реализации процессов моделирования и этап анализа выходных параметров. Третий этап выполняется системой моделирования, остальные этапы - проектировщиком Двусторонними стрелками обозначено использование предложенных моделей на соответствующих этапах методики.

Для задания входных параметров в реализованной системе моделирования используется специализированный язык NED и язык инициализации и исполнения экспериментов пакета OMNET++.

Для оценки механизмов защиты используются следующие выходные параметры (расположены в порядке убывания важности) величина входного трафика атаки до и после фильтра команды, чья сеть под атакой, процент ложных срабатываний при обнаружении атак; процент пропуска атак при обнаружении атак; время реакции на атаку Методика позволяет исследовать эти параметры в зависимости от входных параметров, отображать процесс моделирования, выбирать лучший механизм защиты из моделируемых с помощью лекеико-графического метода, определяя альтернативы с наилучшей оценкой по наиболее важному показателю.

Представлены примеры применения предложенной методики (на основе использования разработанной системы моделирования) для исследования предлагаемых моделей кооперативной защиты и адаптации

( Начало )

Этап 1 Подготовительный

Определение параметров исследуемой _сети и механизмов защиты_

Этап 2 Задание параметров

/Ввод параметров

/ моделей

I ~

' Ввод параметров сценария эксперимента.

Обработка параметров

Этап 3 Реализация процессов моделирования

Модель сети

Модель команды защиты

Модель команды атаки

Модели взаимодействия

ААА--

Запуск программы моделирования

/ Вывод вых параметров в фай

Отображение процесса у^ моделирования

Отображение параметров ч^ функционирования моделей

i £

. Да корректировка

параметров

Этап 4 Анализ выходных параметров

Анализ механизмов защиты_

i

Выбор наилучшего механизма защиты

Нет

Рис 1 Обобщенное представление методики многоагентного моделирования механизмов защиты от атак «распределенный отказ в обслуживании»

Эксперименты по исследованию моделей кооперативной защиты включают моделирование механизмов защиты DelCOM, COSSACK, «без

кооперации», «на уровне фильтров», «на уровне сэмплеров», «полная кооперация» Использованы методы защиты HCF, SIPM, BPS Топология сети создана на основе степенной функции плотности распределения количества связей узлов и их числа (50) Заданы защищаемый сервер, 10 клиентов и параметры осуществления запросов к нему В команду атаки входят 10 демонов, реализующих атаку UDP flood на сервер Команды защиты сконфигурированы в соответствии с указанными кооперативными схемами Проведенные эксперименты показали эффективность различных схем кооперативной защиты от атак DDoS Трафик атаки был существенно снижен относительно начала атаки (рис 2) Лучшая кооперативная схема на основе величин выходных параметров - с полной кооперацией (рис 2, трафик атаки наименьший после 450 с)) Решающую роль в защите от атаки сыграла кооперация сэмплеров, благодаря чему осуществлялся постоянный обмен данными по трафику в различных командах защиты

Рис 2 Зависимости величины трафика атаки (Мбит) от времени (с) для механизмов защиты DefCom (круги), COSSACK (треугольники) и «полная г кооперация» (кресты)

Исследовалась следующая адаптивная схема взаимодействия команд Команда атаки начинает атаку в заданный злоумышленником момент времени с заданными интенсивностью и методом подмены адреса

отправителя Во время атаки, если мастер обнаруживает, что какой-то из демонов неработоспособен, то он изменяет параметры атаки, чтобы сохранить интенсивность и предотвратить обнаружение Команда защиты изначально работает, используя наименее ресурсоемкий способ защиты Как только обнаруживается атака, делается попытка заблокировать пакеты от атакующих, проследить их и обезвредить Если это не удается, метод защиты меняется на другой, более сложный Для эксперимента использовались кооперативные схемы команд «без кооперации», «на уровне фильтров», «на уровне сэмплеров», «полная кооперация» Входные параметры аналогичны использованным в предыдущем эксперименте

Рассмотрены отдельные свойства эффективности (своевременность, обоснованность и ресурсопотребление) и их показатели. Для определения показателей своевременности использован метод сетевого планирования Время реализации методики складывается из времен выполнения ее этапов Вероятность того, что время выполнения совокупности этапов методики не

превысит заданной величины ТД0П, вычисляется по формуле

Рсв(т * тдоп)=ф[[т«"-±т; 1/Л>,2(Г)

1=1

ожццаемая

где Ф(*) - функция Лапласа, 7",е и <х(2(7~,е) -продолжительность выполнения / -го этапа и ее дисперсия, п - количество этапов Экепертно-аналитическим методом получены основные значения времени выполнения операций методики на основе разработанной системы многоагентного моделирования механизмов защиты от ООоБ атак. Моделирование функционирования системы напрямую зависит от количества узлов в моделируемой сети Проведены эксперименты для сетей с количеством узлов 100, 500 и 1000, получены минимальное и максимальное время выполнения собственно процессов моделирования (от 3 до 140 секунд) Показано, что вероятность своевременного выполнения методики многоагентного моделирования механизмов защиты от атак ООзв для сети размером до 1000 хостов при Тдоп = 40 минут (Рсв(? < Тдоп)) составляет

0 9995, что соответствует предъявляемым требованиям к своевременности

При оценке обоснованности определялись значения следующих показателей полнота используемых входных параметров (она предполагает, чтобы в методике учитывались все входные параметры, представленные в таксономии атак ООоЭ (Л/а) и предложенной классификации механизмов

защиты от атак РОоБ (Л/Д Ыте{ = Л/а + Л/„), полнота параметров

методики (Л/те') в сравнении с существующими системами (Ык) -Л/те' > тахЛЛ (К - множество этих систем), адекватность

ЛеК

воспроизведения функциональности агентов атак DDoS и механизмов защиты, адекватность моделирования протоколов TCP и UDP Показано, что эти требования выполняются

При оценке ресурсопотребления использовалась разработанная система моделирования, сценарий моделирования аналогичен приведенным экспериментам Проведенные эксперименты показали, что ресурсопотребление соответствует предъявляемым требованиям

ЗАКЛЮЧЕНИЕ

В данной работе для повышения эффективности анализа механизмов защиты от распределенных атак «отказ в обслуживании» предложен мсдельно-методический аппарат для моделирования этих механизмов 1. Разработаны модели противоборства команд агентов, реализующих атаки «распределенный отказ в обслуживании» и механизмы защиты от них Выделены модели команд атаки и защиты, а также модели их взаимодействия и модели среды взаимодействия (сети Интернет) Они позволили формализовать процессы противостояния систем защиты атакам «распределенный отказ в обслуживании»

2 Разработана архитектура системы многоагентного моделирования механизмов защиты от распределенных атак «отказ в обслуживании» Архитектура состоит из четырех компонентов базовой системы имитационного моделирования, модуля моделирования сети Интернет, подсистемы агентно-ориентированного моделирования и библиотеки имитации процессов предметной области

3 Разработана методика проведения многоагентного моделирования механизмов защиты от атак «распределенный отказ в обслуживании» С помощью этой методики реализована возможность повышения эффективности анализа механизмов защиты от распределенных атак «отказ в обслуживании»

4 На основе данной методики и предложенной архитектуры реализована система многоагентного моделирования, базирующаяся на системе имитационного моделирования сети Интернет. Она позволила применить предложенные модели и методику в экспериментах по анализу кооперативных механизмов защиты и адаптации, а также показать их эффективность

Разработанные в рамках диссертационной работы модели и методика моделирования были использованы при проведении ряда научно-исследовательских работ Полученные в работе результаты могут быть использованы для исследования новых и существующих механизмов защиты от атак DDoS и обобщены для решения задач информационной борьбы в Интернет, конкуренции в сфере электронного бизнеса и др

СПИСОК ПУБЛИКАЦИЙ ПО ТЕМЕ ДИССЕРТАЦИИ

Публикации в ведущих рецензируемых научных журналах и изданиях из списка ВАК

Котенко, И.В. Алентнсюриентированная среда для моделирования и оценки механизмов защиты от распределенных атак «отказ в обслуживании» / И В Котенко, А В Уланов // Изв вузов Приборостроение - 2007 - Т 50 -№1 -С 18—21

Котенко, И.В. Многоагентное моделирование защиты информационных ресурсов компьютерных сетей в сети Интернет / И В Котенко, AB Уланов // Известия РАН Теория и системы управления -2007 - № 5 -С. 74-88

Другие публикации

Котенко, И.В. Агентно-ориентированное моделирование процессов защиты информации противоборство агентов за доступность ресурсов компьютерных сетей / ИВ. Котенко, А В Уланов // Тр междунар науч-техн. конференций «Интеллектуальные системы» (AIS'05) и «Интеллектуальные САПР» (CAD-2005). Дивноморское, 3-10 сент 2005 г - M ФИЗМАТЛИТ, 2005 -Т 1.С 296-301

Котенко, И.В. Многоагентная среда моделирования механизмов защиты от распределенных компьютерных атак /ИВ Котенко, А В Уланов И Материалы второй всероссийской науч-практ конф по имитационному моделированию и его применению в науке и промышленности «Имитационное моделирование. Теория и практика» (ИММ0Д-2005) в 2 т. Санкт-Петербург, 19-21 окт. 2005 г - СПб ФГУП ЦНИИТС. - Т 1 - С 220224

Котенко, И.В. Программный полигон и эксперименты по исследованию противоборства агентов нападения и защиты в сети Интернет /ИВ Котенко, AB Уланов // Материалы четвертой общероссийской конф «Математика и безопасность информационных технологий» (МаБИТ-05) Москва, 2-3 ноября 2005 г - М МНЦМО, 2005. С 78-91

Kotenko, I. Agent-based simulation of DDQS attacks and defense mechanisms /I Kotenko, A Ulanov//Journal of Computing -2005 -Vol 4.- №2 P 27-43.

Kotenko, 1. Multiagent modeling and simulation of agents' competition for network resources availability /1 Kotenko, A Ulanov II Proc Fourth International conf on Autonomous Agents and Multi-Agent Systems Second International Workshop on Safety and Security in Multiagent Systems (SASEMAS '05) Utrecht, The Netherlands, July 25-29,2005 - Utrecht University of Utrecht 2005 - P 2743

Котенко, И.В. Команды агентов в кибер-пространстве моделирование процессов защиты информации в глобальном Интернете /ИВ Котенко, AB Уланов, под ред Черешкина ДС // Тр. ин-та системного анализа РАН Проблемы управления кибербезопасностъю информационного общества -M КомКнига, 2006 -Т 27 -С 108-129

Котенко, И.В. Моделирование игры в «сетевые кошки-мышки» многоагентные технологии для исследования киберпротивоборства между антагонистическими командами кибер-агентов в Интернет /ИВ Котенко, А В Уланов // Новости искусственного интеллекта -2006 - №3 С 32-61

Котенко, И.В. Многоагентное моделирование распределенных атак «отказ в обслуживании» И В Котенко, А В Уланов II Тр СПИИРАН - СПб Наука, 2006 - Вып. 3, т 1 С 105-125

Котенко, И.В. Противостояние в Интернет моделирование противодействия распределенным киберагакам /ИВ Котенко, А В Уланов // Материалы пятой общероссийской конф. «Математика и безопасность информационных технологий» (МаБИТ-06). Москва, 25-28 окт 2006 г -М МНЦМО, 2006 С. 91-103

Уланов, А.В. Система многоагентного моделирования механизмов защиты компьютерных сетей / А В Уланов, ИВ. Котенко II Тр десятой национальной конф по искусственному интеллекту с международным участием Обнинск, 25-28 сент 2006 г - М Физматлиг, 2006 Т 3 С 867-876 Kotenko, L Agent-based modeling and simulation of network softbots' competition / I. Kotenko, A Ulanov // Proc Seventh Joint Conference on Knowledge-Based Software Engineenng (JCKBSE'06) Tallinn, Estonia, August 2831,2006 -Amsterdam IOS Press, 2006 -P. 243-252.

Kotenko, I. Agent-based Simulation of Distnbuted Defense against Computer Network Attacks /1 Kotenko, A Ulanov // Proc. 20th European Conf on Modelling and Simulation (ECMS 2006) Bonn, Germany, May 28-31, 2006 - Bonn SCS Publishing House - P. 560-565

Kotenko, I. Agent Teams in Cyberspace Security Guards in the Global Internet /1 Kotenko, A. Ulanov II Proc. International Conference on Cyberworids (CW2006) Lausanne, Switzerland, November 28-30, 2006. - Piscataway IEEE Computer Society Press, 2006 -P. 133-140.

Kotenko, L S/mulaiion of Internet DDoS Attacks and Defense /1 Kotenko, A. Ulanov II Proc. 9th Information Security Conference (ISC 2006) Samos, Greece August30-September2,2006 -Berlin Springer, 2006 - Vol 4176 P 327-342

Уланов, A.B. Защита от DDoS-атак механизмы предупреждения, обнаружения, отслеживания источника и противодействия / А.В Уланов, И В Котенко // Защита информации Инсайд - 2007 - № 1 - С 60-67, №2 -С. 70-77; №3,-С 62-69.

Уланов, А.В. Модели противоборства команд агентов, реализующих атаки «распределенный отказ в обслуживании» и механизмов защиты от них // Тр междунар науч -техн конференций «Интеллектуальные системы (AIS'07)» и «Интеллектуальные САПР (CAD-2007)» Дивноморское, 3-10 сент 2007 г - М ФИЗМАТЛИТ, 2007.- Т. 2 -С 120-126

Подписано в печать 0S 10 2007 г. Формат 60 х 84 1/16 Объем 1,2 пл.

Тираж 100 экз. Заказ № 10/05

Отпечатано в издательстве «Геликон Плюс» 199053, Санкт-Петербург, В О 1-ая линия, д 28 Тел.. (812) 327-46-13,328-20-40

Введение.

Глава 1. Системный анализ проблемы моделирования механизмов защиты от атак «распределенный отказ в обслуживании» на основе многоагентного подхода.

1.1. Задача моделирования механизмов защиты от атак «распределенный отказ в обслуживании».

1.2. Многоагентное моделирование и командная работа агентов.

1.3. Атаки «распределенный отказ в обслуживании» и механизмы защиты от них.

1.3.1. Атаки ОБо8.

1.3.2. Механизмы защиты.

1.4. Подход к моделированию механизмов защиты от атак «распределенный отказ в обслуживании» и требования к методике его проведения.

1.5. Постановка задачи исследования.

Выводы по главе 1.

Глава 2. Модели противоборства команд агентов, реализующих атаки распределенный отказ в обслуживании» и механизмы защиты от них .63 2.1. Структура основных моделей противоборства команд агентов, реализующих распределенные атаки «отказ в обслуживании» и механизмы защиты от них.

2.2. Модели команд атаки и защиты.

2.3. Модели взаимодействия команд.

2.3.1. Модель антагонистического противоборства.

2.3.2. Модель кооперативного взаимодействия.

2.3.3. Модель адаптации.

2.4. Модель сети Интернет.

2.4.1. Топология и параметры каналов передачи данных.

2.4.2. Протоколы.

2.4.3. Модели и алгоритмы генерации трафика.

Выводы по главе 2.

Глава 3. Методика проведения многоагентного моделирования механизмов защиты от атак «распределенный отказ в обслуживании» и оценка ее эффективности.

3.1. Архитектура и реализация системы моделирования.

3.2. Методика проведения многоагентного моделирования механизмов защиты от атак «распределенный отказ в обслуживании».

3.3. Применение предложенной методики для задач защиты от атак «распределенный отказ в обслуживании».

3.3.1. Исследование кооперативных механизмов защиты.

3.3.2. Исследование адаптивных механизмов защиты.

3.4. Оценка эффективности предложенной методики.

Выводы по главе 3.

Актуальность темы диссертации.

В последнее время наблюдается рост количества распределенных атак на глобальные компьютерные сети. Значительная часть этих атак направлена на нарушение доступности или «распределенный отказ в обслуживании» (Distributed Denial of Service, DDoS). Атака заключается в перегрузке хоста или сетевого ресурса посредством наполнения системы - цели атаки - большим количеством сетевых пакетов. Эти атаки реализуются большим количеством программных агентов («ботов» или «демонов»), размещенными на хостах, которые злоумышленник скомпрометировал ранее. Реализация этих атак может привести не только к выходу из строя отдельных хостов и служб, но и остановить работу корневых DNS-серверов и вызвать частичное или полное прекращение работы Интернета. В связи с критичностью и нетривиальностью данного класса атак, построение эффективных средств защиты от них представляет собой сложную научно-техническую проблему.

На практике достаточно проблематично осуществить проверку и оценку применения того или иного механизма защиты. Исследование на основе реальных сетей трудно реализуемо практически вследствие следующих причин. Необходимо либо располагать большим выделенным фрагментом сети, где можно проводить эксперименты, либо использовать для экспериментов сети реальных Интернет-провайдеров (Internet Service Provider, ISP). Но атаки DDoS создают большую нагрузку на сеть, вплоть до полного отказа в обслуживании, что приводит к выходу эксперимента из под контроля, и даже распространению атак в Интернет. При этом важные условия научного эксперимента, такие как повторяемость и контролируемость, не могут быть соблюдены. Вследствие описанных причин для исследования механизмов защиты от атак DDoS необходимо использовать моделирование.

Для реализации данной цели предлагается использовать многоагентное моделирование, так как оно упрощает сам процесс моделирования, позволяя представить изучаемые процессы в виде совокупности автономных агентов и взаимодействий между ними. В известных в настоящее время работах задача многоагентного моделирования атак БЭо8 и механизмов защиты от них явным образом не ставилась.

Ввиду критичности данного класса атак, сложности проведения исследований на реальных сетях, многоагентное моделирование механизмов защиты от атак ООо8 представляется действительно актуальной задачей.

Целью исследовании является повышение эффективности анализа механизмов защиты от распределенных атак «отказ в обслуживании» на основе разработки моделей и методик для многоагентного моделирования.

Для достижения данной цели в диссертационной работе поставлены и решены следующие задачи:

1. Анализ методов многоагентного моделирования и атак «распределенный отказ в обслуживании» и механизмов защиты от них.

2. Разработка моделей команд агентов, реализующих атаки «распределенный отказ в обслуживании» и механизмы защиты от них и моделей их взаимодействия.

3. Разработка модели среды взаимодействия (сети Интернет).

4. Построение архитектуры системы многоагентного моделирования.

5. Разработка методики проведения многоагентного моделирования на основе представленных моделей и архитектуры.

6. Реализация системы многоагентного моделирования и проведение экспериментов.

Объектом исследования являются атаки ОЭо8 и механизмы защиты от них. В исследовании особое внимание уделяется подзадаче многоагентного моделирования атак ЭЭо8 и механизмов защиты от них. Предметом исследования являются модели и методика многоагентного моделирования механизмов защиты от атак «распределенный отказ в обслуживании».

Научная задача работы - разработка модельно-методического аппарата для моделирования механизмов защиты от распределенных атак «отказ в обслуживании» с целью исследования этих механизмов защиты.

Методологическую и теоретическую основу исследования составили научные труды отечественных и зарубежных авторов в областях многоагентных систем, многоагентного моделирования, компьютерной безопасности, компьютерных сетей, моделирования сетей и сетевых процессов, динамической адаптации.

Методы исследования, использованные в диссертации, относятся к методам системного анализа, теории вероятности, объектно-ориентированного программирования, сравнения и аналогий, моделирования.

Основными результатами, выносимыми на защиту, являются:

1. Модели команд агентов, реализующих атаки «распределенный отказ в обслуживании» и механизмы защиты от них.

2. Модели взаимодействия команд агентов, реализующих атаки «распределенный отказ в обслуживании» и механизмы защиты от них.

3. Методика проведения многоагентного моделирования механизмов защиты от атак «распределенный отказ в обслуживании».

Научная новизна исследования заключается в следующем:

1. Разработаны модели команд агентов, реализующих атаки «распределенный отказ в обслуживании» и механизмы защиты от них, отличающиеся использованием в качестве базиса методов командной работы агентов. Особенностью моделей является применение процедур обеспечения согласованности действий, мониторинга и восстановления функциональности агентов, а также обеспечения селективности коммуникаций.

2. Разработаны модели взаимодействия команд агентов, реализующих атаки «распределенный отказ в обслуживании» и механизмы защиты от них. Их особенностями являются выделение различных видов взаимодействий команд, которые основываются на антагонистическом противоборстве, кооперации и адаптации, использование различных схем кооперации команд агентов защиты, позволяющих вести обмен данными о трафике между агентами защиты и задействовать разные классы агентов защиты, возможность адаптации команд агентов посредством генерации новых экземпляров атак и механизмов защиты и сценариев их реализации.

3. Разработана методика проведения многоагентного моделирования механизмов защиты от атак «распределенный отказ в обслуживании» в сети Интернет, базирующаяся на представленных в диссертационной работе моделях и алгоритмах и обладающая следующей совокупностью особенностей, подчеркивающей ее новизну: учитываются ключевые параметры исследуемых процессов (параметры сети и ее узлов, параметры команды атаки и реализации атаки, параметры команды защиты и механизмов защиты, параметры взаимодействия команд); основные этапы методики автоматизированы за счет реализованной системы многоагентного моделирования механизмов защиты от атак «распределенный отказ в обслуживании»; на основе выходных параметров производится оценка и сравнение различных механизмов защиты.

Обоснованность и достоверность представленных в диссертационной работе научных положений обеспечивается за счет тщательного анализа состояния исследований в данной области, подтверждается согласованностью теоретических результатов с результатами, полученными при компьютерной реализации, а также апробацией основных теоретических положений в печатных трудах и докладах на научных конференциях.

Практическая значимость исследования. Разработанные модели могут быть обобщены для целей решения достаточно большого класса задач, в частности, задачи информационной борьбы в Интернет, конкуренции в сфере электронного бизнеса и др. Элементы разработанных моделей, в частности предложенные классификации механизмов защиты от атак ООо8, можно использовать для анализа систем защиты такого рода. Предложенную методику можно использовать для исследования эффективности разнообразных механизмов защиты на основе различных выходных параметров, оценки защищенности существующих сетей и выработки рекомендаций для построения перспективных систем защиты.

Реализация результатов работы. Результаты, полученные в диссертационной работе были использованы в рамках следующих научно-исследовательских работ: проекта шестой рамочной программы Европейского сообщества (Research Project of the European Community sixth framework programme) «Policy-based Security Tools and Framework (POSITIF)» (Contract # IST-2002-002314, 2004-2007); проекта «MIND— Machine Learning for Intrusion Detection», поддерживаемого Федеральным Министерством образования и науки Германии (грант 01ISC40A, 2004-2006); Российского фонда фундаментальных исследований (РФФИ) «Моделирование процессов защиты информации в компьютерных сетях в антагонистической среде: формальный подход, математические модели, многоагентная архитектура, программный прототип и экспериментальная оценка» (проект № 04-01-00167, 2004-2006); программы фундаментальных исследований отделения информационных технологий и вычислительных систем (ОИТВС) Российской академии наук «Математические модели активного анализа уязвимостей, обнаружения вторжений и противодействия сетевым атакам в компьютерных сетях, основывающиеся на многоагентных технологиях» (контракт № 3.2/03, 2003-2007); проекта «Разработка научно-методических основ защиты информации в каналах связи системы международной коллективной экологической безопасности» (Государственный контракт с Центром исследования проблем безопасности Российской академии наук, 2006) и др.

Апробация результатов работы. Основные положения и результаты диссертационной работы докладывались на следующих научных конференциях: «International Conference on Security and Cryptography (SECRYPT-2007)» (Барселона, Испания, 2007); «Autonomous Intelligent Systems: Agent and Data Mining-2007 (AIS-ADM 07)» (Санкт-Петербург, 2007); «9th Information Security Conference (ISC 2006)» (Самос, Греция, 2006); XIII, XIV, XV общероссийские научно-технические конференции «Методы и технические средства обеспечения безопасности информации (МТСОБИ)» (Санкт-Петербург, 2004-2006); Международная научная школа

Моделирование и анализ безопасности и риска в сложных системах (МАБР-2006)» (Санкт-Петербург, 2006); «X Национальная конференция по искусственному интеллекту с международным участием (КИИ-2006)» (Обнинск, 2006); Международные научно-технические конференции «Интеллектуальные системы» (AIS) и «Интеллектуальные САПР» (CAD) (Дивноморское, 2005-2007); «Четвертая и пятая общероссийские конференции «Математика и безопасность информационных технологий (МаБИТ, 2005, 2006)» (Москва, 2005, 2006); Вторая всероссийская научно-практическая конференция по имитационному моделированию и его применению в науке и промышленности «Имитационное моделирование. Теория и практика. ИММОД-2005» (Санкт-Петербург, 2005); IV Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России (ИБРР)» (Санкт-Петербург, 2005); «Second International Workshop on Safety and Security in Multiagent Systems (SASEMAS '05). (Утрехт, Голландия, 2005) и др. По итогам научной работы автор дважды побеждал в конкурсе «Лучшие аспиранты РАН» (2006, 2007 гг.) и был награжден медалью РАН для молодых учёных РАН (2007 г.).

Публикации. По материалам диссертационной работы опубликовано 42 статьи, в том числе две статьи из перечня ВАК на соискание ученой степени доктора и кандидата наук [15] («Известия высших учебных заведений. Приборостроение», «Известия РАН. Теория и системы управления»). На конференции «9th Information Security Conference» (2006) статья автора была награждена грамотой «Best Student-Authored Paper» как лучшая, написанная аспирантом.

Структура и объем диссертационной работы. Диссертационная работа объемом 165 машинописных страниц, содержит введение, три главы и заключение, список литературы, содержащий 129 наименований, 3 таблицы, 31 рисунок.

Выводы по главе 3

1. Для реализации подхода предложена архитектура системы моделирования, включающая базовую систему имитационного моделирования, модуль моделирования сети Интернет, подсистему агентно-ориентированного моделирования и модуль имитации процессов предметной области. С использованием OMNeT++ INET Framework и программных моделей, разработанных на С++, представленная архитектура была реализована для многоагентного моделирования атак DDoS и механизмов защиты от них.

2. Методика моделирования противостояния систем защиты атакам DDoS в сети Интернет заключается в выполнении последовательности этапов: подготовительный этап, этап задания параметров, этап реализации процессов моделирования и этап анализа выходных параметров. В качестве входных параметров задаются: параметры модели сети, команды атаки, команды защиты, модели взаимодействия команд. В качестве выходных параметров рассматриваются: количество ложных срабатываний механизмов защиты; количество пропуска атак механизмов защиты; процент трафика атаки и нормального трафика в исследуемой сети; время реакции механизма защиты и др. Методика позволяет выбрать наилучший механизм защиты из моделируемых.

3. В качестве примера применения предложенной методики для задач защиты информации в реальных сетях проведены эксперименты по исследованию кооперативных механизмов защиты COSSACK, DefCOM, а также предложенные варианты «без кооперации», «на уровне фильтров», «на уровне сэмплеров» и «полная кооперация». К данным схемам применена модель адаптивного взаимодействия. Проведенные эксперименты показали, что наилучшие результаты в блокировке трафика атаки можно достичь при кооперации команд защиты. Лучшая адаптивная схема - с кооперацией на уровне сэмплеров и с полной кооперацией.

4. Результаты оценки эффективности методики проведения моделирования механизмов защиты от атак «распределенный отказ в обслуживании» показали, что удовлетворяются предъявленные нефункциональные требования и эффективность анализа механизмов защиты от распределенных атак «отказ в обслуживании» повышена благодаря разработке данной методики.

Заключение

В данной работе для повышения эффективности анализа механизмов защиты от распределенных атак «отказ в обслуживании» предложен модельно-методический аппарат для моделирования этих механизмов. Основные результаты работы заключаются в следующем.

1. Проведен системный анализ задачи многоагентного моделирования защиты от атак DDoS. Выполнены обзор подходов к командной работе агентов, а также обзор атак DDoS и механизмов защиты от них и их классификаций. Предложена новая классификация механизмов защиты от DDoS атак. На основе рассмотренных работ предложен подход к моделированию механизмов защиты от атак DDoS. Он обосновывает разработку моделей команд сторон атаки и защиты DDoS, их взаимодействий и методики многоагентного моделирования на базе данных моделей. Сформулированы требования, предъявляемые к методике.

2. Разработаны модели команд агентов атаки DDoS и защиты от DDoS атак. Каждая из данных моделей имеет самостоятельное значение и может использоваться для решения других задач в области защиты информации. Модели описывают параметры, базовые функции, классы, протоколы и сценарии агентов реализации атак DDoS и защиты от них. Они позволяют представить стороны атаки и защиты в виде команд агентов, что упрощает процесс анализа механизмов защиты.

3. Разработаны модели взаимодействия команд реализации атак DDoS и защиты от них. Модели антагонистического противоборства описывают действия команд агентов друг на друга и на среду взаимодействия - сеть Интернет. Модели кооперативной защиты позволяют описать обмен информацией между командами защиты, представляемыми, например, разными Интернет-провайдерами. С их помощью описаны кооперативные механизмы защиты DefCOM и COSSACK и предложены пять новых. Модель адаптации задает критерии адаптации команд атаки и защиты к действиям друг друга на основе минимизации затрат.

4. Разработана вспомогательная модель среды взаимодействия команд агентов, модель Интернета. Она описывается на основе топологии, протоколов и трафика сети и может быть использована для задач моделирования различных процессов в Интернет.

5. Разработана методика проведения многоагентного моделирования механизмов защиты от атак DDoS. Она заключается в выполнении последовательности следующих этапов: подготовительный, задания параметров, реализации процессов моделирования, анализа выходных параметров. На основе качественного подхода к оценке по сравнению с существующими системами моделирования данная методика позволяет повысить эффективность анализа механизмов защиты от атак «распределенный отказ в обслуживании» на 36%.

6. Разработана архитектура многоагентного моделирования противоборства команд агентов атак DDoS и защиты от них. Архитектура состоит из четырех компонентов: базовой системы имитационного моделирования, модуля моделирования сети Интернет, подсистемы агентно-ориентированного моделирования и библиотеки имитации процессов предметной области. Она позволила разработать программную систему моделирования, использовав в качестве основы систему имитационного моделирования Интернета OMNeT++ INET Framework.

7. Разработана программная система многоагентного моделирования атак DDoS и механизмов защиты от них. Она позволила применить предложенные модели и методику в экспериментах по анализу кооперативных механизмов защиты и адаптации, а также показать их эффективность.

Разработанные в диссертационной работе модели противоборства команд агентов, реализующих атаки DDoS и механизмы защиты от них, и методика многоагентного моделирования являются развитием результатов работ [3,4,5,6,8,9,10,11,12,18,19,20,58,59,60,61,63,64]. Решение представленной проблемы на новом уровне возможно именно с использованием разработанных моделей и методики.

Полученные в работе результаты позволяют описывать стороны атаки ЭЭоБ и системы защиты в виде команд агентов, используя основные параметры атаки и защиты, проводить моделирование в соответствии с предложенной методикой и оценить эффективность анализируемых механизмов защиты. Это может быть использовано для анализа систем защиты существующих сетей, а также для выработки рекомендаций по созданию перспективных систем защиты.

Практическая значимость сформулированных в диссертации научных результатов заключается в том, что они могут быть обобщены для решения других задач, в частности, задачи информационной борьбы в Интернет, конкуренции в сфере электронного бизнеса и др.

Разработанные в рамках диссертационной работы модели и методика моделирования были использованы при проведении ряда научно-исследовательских работ.

Апробация полученных результатов проводилась на 15 научно-технических конференциях. Основные результаты, полученные автором, опубликованы в 41 научной работе.

1. ГОСТ 24.701-86. Надежность автоматизированных систем управления. Основные положения. Введ. 1987-07-01. - М. : Изд-во стандартов, 1986. -11 с.

2. Котенко, И.В. Агентао-ориентированная среда для моделирования и оценки механизмов защиты от распределенных атак «отказ в обслуживании» / И.В. Котенко, A.B. Уланов // Изв. вузов. Приборостроение. 2007. - Т. 50. - № 1. -С. 18-21.

3. Котенко, И.В. Моделирование противоборства программных агентов в Интернет: общий подход, среда моделирования и эксперименты / И.В. Котенко, A.B. Уланов // Защита информации. Инсайд. 2006. - № 4. - С. 4452; №5.-С. 48-57.

4. Котенко, И.В. Многоагентное моделирование защиты информационных ресурсов компьютерных сетей в сети Интернет / И.В. Котенко, A.B. Уланов // Известия РАН. Теория и системы управления. 2007. - № 5. - С. 74-88.

5. Котенко, И.В. Многоагентное моделирование распределенных атак «отказ в обслуживании» И.В. Котенко, A.B. Уланов // Тр. СПИИРАН. СПб.: Наука, 2006. - Вып. 3, т. 1.С. 105-125.

6. Котенко, И.В. Перспективные направления исследований в области компьютерной безопасности / И.В. Котенко, P.M. Юсупов // Защита информации. Инсайд. 2006. - № 2. - С. 46-57.

7. Основы сетевого планирования и управления в физической культуре и спорте Электронный ресурс. / Электрон, дан. [Б. м. : б. и.]. - Режим доступа: http://books.ifmo.ru/book/pdf/5 l.pdf, свободный. -Загл. с экрана.

8. Система сетевого планирования и управления. Методические указания Электронный ресурс. / Электрон, дан. [Б. м. : б. и.], 2002. - Режим доступа: http://www.nntu.sci-nnov.ru/RUS/fakyl/VECH/metod/orgprodl/part5.htm, свободный. - Загл. с экрана.

9. Тарасов, В. Б. От многоагентных систем к интеллектуальным организациям: философия, психология, информатика / В. Б. Тарасов. М.: УРСС, 2002.-352 с.

10. Уланов, A.B. Защита от DDoS-атак: механизмы предупреждения, обнаружения, отслеживания источника и противодействия / A.B. Уланов, И.В. Котенко // Защита информации. Инсайд. 2007. - № 1. - С. 60-67; № 2. -С. 70-77;№3.-С. 62-69.

11. Черноруцкий, И.Г. Методы принятия решений. / И.Г. Черноруцкий СПб.: БХВ-Петербург, 2005. 416 с.

12. Alstyne, М. Electronic Communities: Global Village or Cyberbalkanization Electronic resource. / M. Alstyne, E. Brynjolfsson. Electronic data. - [S. 1. : s. п.], 1996. - Access mode: http://ebusiness.mit.edu/erik, free. - Title from screen.

13. Barford, P. Generating representative web workloads for network and server performance evaluation / P. Barford, M. Crovella // Proc. of ACM SIGMETRICS. Madison, July, 1998.-USA.: ACM publishing, 1998.-p. 151-160.

14. Bellovin, S. ICMP Traceback Messages Electronic resource. / S. Bellovin, M. Leech, T. Taylor. Electronic data. - [S. 1. : s. п.], 2001. - Access mode: http://lasr.cs.ucla.edu/save/rfc/draft-bellovin-itrace-00.txt, free. - Title from screen.

15. Bernet, Y. Framework for Differentiated Services / Y. Bernet, J. Binder, S. Blake et al. Electronic data. - S. 1. : s. п., 1999. - Access mode: http://www3.ietf.org/proceedings/98dec/I-D/draft-ietf-diffserv-framework-01.txt, free. - Title from screen.

16. Bond, A. H. Readings in Distributed Artificial Intelligence / A.H. Bond, L. Gasser. New York: Morgan Kaufmann, 1988. - 649 p.

17. CAIDA Electronic resource. Electronic data. - [S. 1. : s. п.], 2007. - Access mode: http://www.caida.org/tools, free. - Title from screen.

18. Carl, G. Denial-of-Service Attack-Detection Techniques / G. Carl, G. Kesidis, R.R. Brooks et al. // IEEE Internet Computing. 2006. - Vol. 10; № 1. - P. 8289.

19. Catanzaro, M. Generation of uncorrected random scale-free networks / M. Catanzaro, M. Bogunä, R. Pastor-Satorras // Physical Review. 2005. - Vol. 71; №027103.-P. 12-15.

20. Chen, L.-C. Characterization of Defense Mechanisms against Distributed Denial of Service Attacks / L.-C. Chen, T.A. Longstaff, M.C. Carley // Computers & Security. 2004. - Vol. 23; no. 8. - P. 665-678.

21. Chen, S. Perimeter-Based Defense against High Bandwidth DDoS Attacks / S. Chen, Q. Song// IEEE Transactions on Parallel and Distributed Systems. 2005. -Vol. 16; № 6. P. 526-537.

22. Cisco Systems Electronic resource. Electronic data. - [S. 1. : s. n.], 2007. -Access mode: http:// www.cisco.com, free. - Title from screen.

23. Zou, C. Adaptive Defense Against Various Network Attacks / C. Zou, N. Duffield, D. Towsley, W. Gong // Proc. of SRUTI: Steps to Reducing Unwanted Traffic on the Internet. Boston, July 7-8, 2005. Berkley : USENIX Association. -P. 10-20.

24. Cohen, P. Teamwork / P. Cohen, H.J. Levesque // Nous. 1991. - Vol. 25; no. 4. -P. 487-512.

25. CoIIins, M. An Empirical Analysis of Target-Resident DoS Filters / M. Collins, M.K. Reiter // Proc. of 2004 IEEE Symposium on Security and Privacy (S&P'04). Oakland, May 9-12,2004. Piscataway : IEEE, 2004. - P. 103-114.

26. CS3 Electronic resource. Electronic data. - [S. 1.: s. n.], 2007. - Access mode: http:// www.cs3-inc.com, free. - Title from screen.

27. DDoS-Guard. Green Gate Labs Electronic resource. Electronic data. - [S. 1.: s. n.], 2007. - Access mode: http://www.ddos-guard.com, free. Title from screen.

28. Dorogovtsev, S.N. The shortest path to complex networks. Electronic resource. / S.N. Dorogovtsev, J.F.F. Mendes J.F.F. Electronic data. - [S. 1. : s. n.], 2004. -Access mode: http://arxiv.org/abs/cond-mat/0404593, free. - Title from screen.

29. Fan, X. Modeling and Simulating Human Teamwork Behaviors Using Intelligent Agents / X. Fan, J. Yen // Journal of Physics of Life Reviews. 2004. - Vol. 1, № 3.-P. 33-51.

30. FIPA Electronic resource. Electronic data. - [S. 1. : s. n.], 2007. - Access mode: http://www.fipa.org, free. - Title from screen.

31. Floyd, S. Difficulties in Simulating the Internet / S. Floyd, V. Paxson // IEEE/ACM Transactions on Networking. 2001. - Vol. 9; no. 4. - P. 392-403.

32. Gemberling, B.W. ISP Security Real World Techniques Electronic resource. / B.W. Gemberling, C.L. Morrow. - Electronic data. - [S. 1. : s. n.], 2004. - Access mode: http://www.nanog.org/mtg-0110/greene.html, free. - Title from screen.

33. Giampapa, J. A. Team-Oriented Agent Coordination in the RETSINA MultiAgent System : Technical Report CMU-RI-TR-02-34. / J. A. Giampapa, K. Sycara. Robotics Institute, Carnegie Mellon University, 2002. - 8 p.

34. GiI, T. M. Multops: a data-structure for bandwidth attack detection / T. M. Gil, M. Poletter // Proc. of 10th USENIX Security Symposium. Washington, August 1317,2001. Berkley : USENIX Association. - P. 4-7.

35. Grosz, B. Collaborative Plans for Complex Group Actions / B. Grosz, S. Kraus // Artificial Intelligence. 1996. - Vol. 86. - P. 269-358.

36. HoIIot, C.V. A Control Theoretic Analysis of RED / C.V. Hollot, V. Misra, D. Towsley, W.-B. Gong // Proc. of Twentieth Annual Joint Conference of the IEEE

37. Computer and Communications Societies (IEEE Infocom). Anchorage, April 2226,2001. Piscataway : IEEE, 2001. - Vol. 3. - P. 1510-1519.

38. Ioannidis, J. Implementing Pushback: Router-Based Defense Against DDoS Attacks / J. loannidis, S.M. Bellovin // Proc. of Symposium of Network and Distributed Systems Security (NDSS). San Diego, 6-8 Februaiy 2002. S. 1. : s. n., 2002.-P. 57-71.

39. J-Sim homepage Electronic resource. Electronic data. - [S. 1. : s. n.], 2007. -Access mode:http://www.j-sim.org, free. - Title from screen.

40. Jennings, N. R. Controlling cooperative problem solving in industrial multi-agent systems using joint intentions / N.R. Jennings // Artificial Intelligence. 1995. -Vol. 75, no. 2.-P. 120-134.

41. Karagiannis, T. Blinc: Multilevel traffic classification in the dark / T. Karagiannis, K. Papagiannaki, M. Faloutsos // Proc. of ACM SIGCOMM 2005. Philadelphia, August 22-26, 2005. USA. : ACM publishing, 2005. - P. 229240.

42. Keromytis, A. SOS: Secure Overlay Services / A. Keromytis, V. Misra, D. Rubenstein // Proc. of ACM SIGCOMM'02. Pittsburgh, August, 2002. USA. : ACM publishing, 2002. - P. 61-72.

43. Kotenko, I. Agent-based simulation of DDOS attacks and defense mechanisms / I. Kotenko, A. Ulanov // Journal of Computing. 2005. - Vol. 4, № 2. P. 27-43.

44. Kotenko, I. Simulation of Internet DDoS Attacks and Defense / I. Kotenko, A. Ulanov // Proc. 9th Information Security Conference (ISC 2006). Samos, Greece. August 30 September 2, 2006. - Berlin : Springer, 2006. - Vol. 4176. P. 327342.

45. Krishnamurthy, B. On network-aware clustering of Web clients / B. Krishnamurthy, J. Wang // Proc. of ACM SIGCOMM 2000. Stockholm 28 August 1 September, 2000. - USA.: ACM publishing, 2000.- P. 97-110.

46. Law, K.T. You Can Run, But You Can't Hide: An Effective Statistical Methodology to Traceback DDoS Attackers / K.T. Law, J.C.S. Lui, D.K.Y. Yau //

47. EE Transactions on Parallel and Distributed Systems. 2005. - Vol. 16; no. 9. -P. 799-813.

48. Li, M. Decision Analysis of Statistically Detecting Distributed Denial-of-Service Flooding Attacks / M. Li, C. Chi, W. Jia et al. // International Journal of Information Technology and Decision Making. 2003. - Vol. 2; no. 3. - P. 397— 405.

49. Lipson, H.F. Tracking and Tracing Cyber-Attacks: Technical Challenges and Global Policy Issues : CMU/SEI-2002-SR-009. CERT Coordination Center, 2002.- 14 p.

50. MacaI, C. M. Tutorial on Agent-based Modeling and Simulation / C. M. Macal, M. J. North // Proc. of 2005 Winter Simulation Conference. Piscataway, December, 2005. USA.: [s. n.], 2005. - P. 2-15.

51. Mahadevan, P. Lessons from Three Views of the Internet Topology Electronic resource. / P. Mahadevan, D. Krioukov, M. Fomenkov [et al.]. Electronic data. -[S. 1.]: CAIDA, 2005. - Access mode: http://www.caida.org/topology, free. - Title from screen.

52. Mahadevan, P. Systematic Topology Analysis and Generation Using Degree Correlations / P. Mahadevan, D. Krioukov, K. Fall, A. Vahdat // Proc. of the ACM SIGCOMM 2006. Pisa, September, 2006. USA. : ACM publishing, 2006. -P. 135-146.

53. Manajan, R. Controlling High Bandwidth Aggregates in the Network : ICSI Technical Report / R. Manajan, S.M. Bellovin, S. Floyd et al. ICSI, 2001.- 16 P

54. Martin, D. The open agent architecture: A framework for building distributed software systems / D. Martin, A. Cheyer, D. Moran // Applied Artificial Intelligence. 1999. - Vol. 13, no. 2. - P. 141-154.

55. Mazu Networks Electronic resource. Electronic data. - [S. 1. : s. n.], 2007. -Access mode: http://www.mazunetworks.com, free. - Title from screen.

56. Melior Inc Electronic resource., Electronic data. - [S. 1.: s. n.], 2007. - Access mode: http:// www.ddos.com, free. - Title from screen.

57. Mirkovic, J. Benchmarks for DDoS Defense Evaluation / J. Mirkovic, E. Arikan, S. Wei, S. Fahmy, R. Thomas, P. Reiher // Proc. of Milcom 2006. Washington, 23-25 October. S. 1.: s. n., 2006. - P. 1-10.

58. Mirkovic, J. Internet Denial of Service: Attack and Defense Mechanisms / J. Mirkovic, S. Dietrich, D. Dittrich, P. Reiher. London : Prentice Hall PTR, 2004. - 400 p.

59. Mirkovic, J. A Taxonomy of DDoS Attacks and DDoS Defense Mechanisms : Technical report #020018 / J. Mirkovic, J. Martin, P. Reiher. Computer Science Department. University of California, 2002. - 16 p.

60. Mirkovic, J. Attacking DDoS at the Source / J. Mirkovic, G. Prier, P. Reiher // Proc. of 10th IEEE International Conference on Network Protocols. Paris, 12-15 November, 2002. -Piscataway : IEEE, 2002. P. 312-321.

61. Mirkovic, J. A Taxonomy of DDoS Attacks and Defense Mechanisms / J. Mirkovic, P. Reiher // ACM SIGCOMM Computer Communications Review. -2004. Vol. 34; no. 2. - P. 643-666.

62. Mirkovic, J. Distributed Defense Against DDOS Attacks : Technical Report CIS-TR-2005-02 / J. Mirkovic, M. Robinson, P. Reiher, G. Oikonomou. University of Delaware CIS Department, 2005. - 18 p.

63. MittaI, P. Defense against Distributed Denial of Service Attacks : a seminar report. Department of Computer Science and Engineering. Indian Institute of Technology, 2005.-20 p.

64. Morrow, C. BlackHole Route Server and Tracking Traffic on an IP Network Electronic resource. / C. Morrow. Electronic data. - [S. 1.] : WorldCom Inc., 2002. - Access mode: http://www.secsup.org/Tracking, free. - Title from screen.

65. Noureldien, A.N. Protecting Web Servers from DoS/DDoS Flooding Attacks. A Technical Overview//Proc. of International Conference on Web-Management for International Organisations. Geneva, 30-31 October, 2002. S. 1. : s. n., 2002. -P. 22-46.

66. Paxson, V. Empirically-derived analytic models of wide-area TCP connections / V. Paxson // IEEE/ACM Transactions on Networking. 1994. - Vol. 2; no. 4. -P. 316-336.

67. Paxson, V. Automated packet trace analysis of TCP implementations / V. Paxson // Proc. of ACM SIGCOMM'97. Cannes, September, 1997. USA. : ACM publishing, 1997.-P. 167-179.

68. Peakflow Platform. Arbor Networks Electronic resource. Electronic data. - [S. I.: s. n.], 2007. - Access mode: http://www.arbornetworks.com, free. - Title from screen.

69. Peng, T. Adjusted Probabilistic Packet Marking for IP Traceback / T. Peng, C. Leckie, R. Kotagiri //Proc. of Networking 2002. Pisa, 19-24 May, 2002. Berlin : Springer, 2002. - P. 697-708.

70. Peng, T. Defending Against Distributed Denial of Service Attacks Using Selective Pushback / T. Peng, C. Leckie, R. Kotagiri // Proc. of 9th IEEE International Conference on Telecommunications, Beijing, June, 2002. -Piscataway : IEEE, 2004. P. 89-94.

71. Peng, T. Proactively Detecting DDoS Attack Using Source IP Address Monitoring / T. Peng, C. Leckie, R. Kotagiri // Networking 2004. Athens, Greece, May 9-14, 2004. Berlin : Springer, 2004. - Vol. 3042. - P. 771-782.

72. Perrig, A. FIT: Fast Internet Traceback / A. Perrig, A. Yaar, D. Song // Proc. of IEEE Infocom 2005. Miami, 13-17 March, 2005. Piscataway : IEEE, 2005. -Vol. 2.-P. 1395-1406.

73. Perumalla, K. S. High-Fidelity Modeling of Computer Network Worms : Technical Report GIT-CERCS-04-23 / K. S. Perumalla, S. Sundaragopalan-Center for Experimental Research in Computer Science. Georgia Institute of Technology, 2004.-40 p.

74. Prolexic Solutions Electronic resource. Electronic data. - [S. 1. : s. n.], 2007. - Access mode: http://www.prolexic.com, free. - Title from screen.

75. Robert, S. CenterTrack: An IP Overlay Network for Tracking DoS Floods / S. Robert // Proc. of 9th USENIX Security Symposium. Denver, Colorado, August 14-17, 2000. Berkley : USENIX Association. - P. 199-212.

76. Route-Views Bibliography Electronic resource. Electronic data. - [S. 1. : s. n.], 2007. - Access mode: http://www.routeviews.org/papers, free. - Title from screen.

77. Sangpachatanaruk, C. Design and Analysis of a Replicated Elusive Server Scheme for Mitigating Denial of Service Attacks / C. Sangpachatanaruk, S.M. Khattab, T. Znati et al. // Journal of Systems and Software. 2004. - Vol. 73; № 1. P. 15-29.

78. Savage, S. Practical network support for ip traceback / S. Savage, D. Wetherall, A. Karlin, T. Anderson // Proc. of ACM SIGCOMM 2000. Stockholm 28 August 1 September, 2000. - USA.: ACM publishing, 2000.-P. 295-306.

79. Snort Electronic resource. Electronic data. - [S. 1. : s. n.], 2007. - Access mode: http:// www.snort.org, free. - Title from screen.

80. Snoeren, A.C. Single-Packet IP Traceback / A.C. Snoeren, C. Partridge, L.A. Sanchez // IEEE/ACM Transactions on Networking. 2002. - Vol. 10; no. 6. -P. 721-734.

81. Sommers, J. Self-Configuring Network Traffic Generation / J. Sommers, P. Barford // Proc. of the ACM SIGCOMM 2004 on Internet measurement. Taormina, Sicily, Italy, September, 2004. USA. : ACM publishing, 2004. -P. 68-81.

82. SSFNet homepage Electronic resource. Electronic data. - [S. 1. : s. n.], 2007. - Access mode:http://www.ssfnet.org, free. - Title from screen.

83. Tambe, M. Towards Flexible Teamwork / M. Tambe // Journal of Artificial Intelligence Research. 1997. - Vol. 7, № 1. - P. 83-124.

84. The Internet Traffic Report Electronic resource. Electronic data. - [S. 1. : s. n.], 2007. - Access mode: http://www.internettrafficreport.com, free. - Title from screen.

85. The RioRey Solution Electronic resource., Electronic data. - [S. 1. : s. n.], 2007. - Access mode: http://www.riorey.com, free. - Title from screen.

86. Vantage System Electronic resource. Electronic data. - [S. 1.: s. n.], 2007. -Access mode: http://www.astanetworks.com/products/vantage, free. - Title from screen.

87. Vishwanath, K. Realistic and Responsive Network Traffic Generation / K. Vishwanath, A. Vahdat // Proc. of the ACM SIGCOMM 2006. Pisa, September, 2006. USA.: ACM publishing, 2006. - P. 125-134.

88. Wagner, A. Experiences with Worm Propagation Simulations / A. Wagner, T. Dubendorfer, B. Plattner, R. Hiestand // Proc. of 10th ACM. CCS Workshop on Rapid Malcode (WORM '03). Washington, October 27, 2003. USA. : ACM publishing, 2003. - P. 34-41.

89. Wang, H. IP Easy-pass: Edge Resource Access Control / H. Wang, A. Bose, M. El-Gendy, K.G. Shin // Proc. of IEEE INFOCOM'04. Hong Kong, March 711,2004. Piscataway : IEEE, 2004. - P. 321-329.

90. Wang, H. Transport-aware IP Routers: A Built-in Protection Mechanism to Counter DDoS Attacks / H. Wang, K.G. Shin // IEEE Transactions on Parallel and Distributed Systems. 2003. - Vol. 14, no. 9. - P. 201-214.

91. Wang, H. Detecting SYN flooding attacks / H. Wang, D. Zhang, K.G. Shin// Proc. of IEEE Infocom'2002. New York, 23-27 June, 2002. Piscataway : IEEE, 2004.-P. 101-112.

92. Wang, X. Mitigating bandwidth-exhaustion attacks using congestion puzzles / X. Wang, M.K. Reiter // Proc. of 11th ACM Conference on Computer and Communications Security. Washington, October 25-29, 2004. USA. : ACM publishing, 2004. - P. 257-267.

93. Xiang, Y. A Survey of Active and Passive Defence Mechanisms against DDoS Attacks : Technical Report, TR C04/02 / Y. Xiang, W. Zhou, M. Chowdhury. -Deakin University, Australia, 2004.

94. Xuan, D. A Gateway-Based Defense System for Distributed DoS Attacks in High Speed Networks / D. Xuan, R. Bettati, W. Zhao // Proc. of 2nd IEEE SMC Information Assurance Workshop. West Point, NY, June, 2001. Piscataway : IEEE, 2001.-P. 212-219.

95. Yaar, A. Pi: A path identification mechanism to defend against DDoS attacks / A. Yaar, A. Perrig, D. Song // Proc. of 2003 IEEE Symposium on Security and Privacy. Oakland, California, USA, 11-14 May, 2003. Piscataway : IEEE, 2004. -P. 93-107.

96. Yen, J. On Modeling and Simulating Agent Teamwork in CAST / J. Yen, X. Fan, S. Sun et al. // Proc. of Second International Conference on Active Media

97. Technology. Chongqing, China, 29-31 May, 2003. S. 1. : s. n., 2003. - P. 5678.

98. Zachary, W. W., Modeling and simulating cooperation and teamwork / W. W. Zachary, J. L. Mentec // Military, government, and aerospace simulation. 2000. -Vol. 32.-P. 1216-1235.