При реализации атаки по сценарию 2 и достижении интенсивности
атаки 1000 запросов/с загрузка процессора коммутатора приближалась
к 100%, объем свободной оперативной памяти приближался к нулю.
Данная ситуация приводила к остановке работающих на программ-
ном коммутаторе сервисов с последующим рестартом программного
коммутатора.
При реализации на программном коммутаторе механизме авториза-
ции запросов REGISTER возможны два варианта атаки по сценарию 2:
— в запросах REGISTER передаются корректные данные авто-
ризации (такая атака характеризуется резким ростом интенсивности
успешных запросов на регистрацию и резким сокращением периода
перерегистрации SIP-абонентов программного коммутатора);
— в запросах REGISTER передаются некорректные данные авто-
ризации (атака характеризуется резким ростом числа ответов
401 Тре-
буется авторизация (Unauthorized)
и
403 Запрещено (Forbidden)
на
запросы REGISTER).
Проведенные тесты позволили экспериментально определить при-
знаки реализации исследуемых флуд-атак на сети NGN. Такими при-
знаками являются: рост числа ошибок в сигнальном обмене; увели-
чение загрузки процессора программного коммутатора и уменьшение
объема свободной памяти программного коммутатора.
Контроль за изменениями этих параметров позволит получить ин-
формацию, необходимую для анализа уровня угрозы и для принятия
решения о наличии угрозы атаки DoS.
Таким образом, задачу детектирования атаки DoS можно сфор-
мулировать как задачу детектирования момента времени, в который
названные признаки достигнут определенного порогового значения.
С задачей обнаружения момента изменения контролируемого пара-
метра успешно справляется алгоритм кумулятивной суммы (cumulative
sum, CUSUM) [8]. В работе [9] описываются различные подходы к
использованию алгоритма CUSUM для обнаружения изменения в
контролируемом параметре.
Общее представление алгоритма описывается следующим обра-
зом. Из последовательности независимых случайных величин
Y
k
c
плотностью вероятности
P
Θ
(
y
)
, зависящей только от скалярного па-
раметра
Θ
, берутся выборки размером
N
. Известно, что до момента
времени
t
0
параметр
Θ = Θ
0
. После момента времени
t
0
—
Θ = Θ
1
,
(
Θ
1
6
= Θ
0
). Значения
Θ
0
и
Θ
1
известны априори. Значение
t
0
неизвест-
но. Для обнаружения момента изменений параметра
Θ
в конце каждой
выборки проводится проверка истинности одной из двух гипотез:
H
0
: Θ = Θ
0
;
H
1
: Θ = Θ
1
.
52 ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2013. № 3
