CUSUM для детектирования флуд-атак DoS использовать гибрид-
ный параметр, отражающий процент загрузки процессора и число
сообщений об ошибках в сигнальном обмене.
Рассмотрим пример использования алгоритма CUSUM для обна-
ружения изменений числа ошибок
503 Служба недоступна
в ответ
на запрос INVITE в сети сигнализации SIP. Как было показано ранее,
увеличение таких ошибок в сигнальном трафике может свидетельство-
вать о начале флуд-атаки. Для использования в примере взят образец
сигнального обмена длительностью 30 с, полученный при проведении
теста по имитации флуд-атаки посредством передачи большого числа
запросов INVITE. В течение этого периода осуществлено две флуд-
атаки разной интенсивности, длительностью 5 с каждая. В качестве
контролируемого параметра выбрано среднее значение интенсивности
ошибок
503 Служба недоступна
в сети сигнализации. Интенсивность
измерялась путем подсчета числа ошибок за секунду. Подход, когда
в качестве контролируемого параметра используется среднее значе-
ние, описан в работе [8]. В этом случае функция принятия решения
принимает следующий вид:
S
k
i
=
μ
i
−
μ
0
σ
2
k
X
i
y
i
−
μ
1
+
μ
0
2
,
где
μ
1
и
μ
0
— текущее и эталонное среднее значения параметра
y
i
,
σ
— среднеквадратическое отклонение параметра
y
i
от эталонного сред-
него.
Выбор значений
μ
0
и
σ
может быть сделан с опорой на экспертные
оценки или получен экспериментально. Данные значения определяют
чувствительность алгоритма.
В рассматриваемом примере приняты следующие значения вели-
чин
μ
0
= 0
,
01
;
σ
= 1
,
97
.
Значение
μ
1
вычислялось ежесекундно по выборке длительностью
5 с. Результаты сведены в таблицу.
На рис. 2 показан график функции
S
k
i
. На графике видно, что при
μ
1
≤
μ
0
функция
S
k
i
принимает близкие к нулю или даже отрицатель-
ные значения. При
μ
1
> μ
0
значение
S
k
i
резко возрастает, сигнализируя
об изменении контролируемого параметра.
Порог, при котором будет принято решение об имеющей место
атаки DoS, может быть установлен экспериментальным путем.
Выводы.
Результаты анализа уязвимостей действующей сети сиг-
нализации по протоколу SIP к тестируемым атакам DoS показывают
эффективность использования метода, описанного в статье, по всем
типам атак DoS в плане:
— оценки возможности реализации различных сценариев атак DoS
в целях выработки мер по противодействию таким атакам;
54 ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2013. № 3
