Обнаружение атак с помощью искусственных иммунных систем

Модель атак на маршрутизацию с помощью многочисленных запросов (DoS) имеет много общего с моделью иммунной системы [Akyazi et al., 2010], [Shafiq et al., 2007]. Атака производится путем отправки служебных сообщений, имитирующих настоящие сообщения, пересылаемые во время нормального функционирования сети. Задача защиты от этой атаки состоит в определений аномальных запросов. При этом алгоритм должен работать децентрализовано на всех узлах сети.

Авторы предлагают алгоритм обнаружения атак на основе идеи иммунной системы. Биологическая иммунная система представляет собой сложную распределенную адаптивную систему интеллектуальной обработки информации. ИС защищает организм от инородных вирусов и инфекций. Иммунная система способна к обучению, обладает памятью, решает задачи поиска и классификации. ИС обрабатывает огромные объемы информации, поэтому алгоритмы, созданные природой, оказались эффективными и в математических задачах поиска и распознавания.

Чужеродные агенты, находясь в организме, производят молекулы, называемые антигенами. Большая часть антигенов может быть распознана специальными клетками — B-лимфоцитами, которые циркулируют в кровеносной и лимфатической системах в ожидании столкновения с антигенами. B-лимфоциты имеют рецепторы, а точнее специальные молекулы, называемые антителами, на своей поверхности для распознавания антигенов, каждый вид которых имеет уникальную форму. Для распознавания каждого вида антигенов в системе циркулируют соответствующие виды B-лимфоцитов. После того как антиген взаимодействует с антителами B-лимфоцита, стимулируется процесс клонирования лимфоцита. Этот процесс называется клональным отбором. Полученные в результате клонирования лимфоциты могут незначительно отличаться от исходного. Лимфоциты, не взаимодействующие с антигенами постепенно отмирают. Процесс клонирования B-лимфоцитов в результате взаимодействия с антигенами называется иммунным ответом.

Также в функционировании иммунной системы участвуют два процесса — положительный и отрицательный отбор. В результате положительного отбора уничтожаются лимфоциты, которые не могут распознавать собственные молекулы. Отрицательный отбор заключается в выборе лимфоцитов, хорошо распознающих собственные молекулы. В результате этих двух процессов поддерживается необходимое состояние и разнообразие рецепторов B-лимфоцитов.

Децентрализованность и распределенность иммунной системы позволяет рационально выделять вычислительные ресурсы и память на противодействие каждому виду угроз. Чем актуальнее угроза в данный момент времени, тем больше ресурсов будет выделено на борьбу с ней. При изменении угроз иммунная система способна быстро перераспределять ресурсы.

Иммунная система опирается на информацию о враждебных организмах, которую хранят антитела, в случае с сетевой маршрутизацией разумнее опираться на информацию о нормальном функционировании сети (состояние узлов, передаваемые сообщения), поскольку большая часть этой информации уже хранится и обрабатывается большинством протоколов.

Возьмем за основу любой реактивный протокол с метриками узлов. Идея предлагаемого алгоритма состоит в поддержании каждым узлом таблицы характеристик активности других узлов сети, на основе которых можно оценить вероятность того, что пришедшее от некоторого узла сообщение является атакой. В качестве характеристик активности узла предлагается использовать: текущее местонахождение в сети (список идентификаторов соседних узлов), частота отправки запросов на поиск нового маршрута, частота передачи данных, частота отправки сообщений, вычисленная для каждого направления (или несколько наиболее часто используемых). Каждой характеристики назначается определенный вес, значение которого зависит от особенностей структуры и динамики сети.

Характеристики обновляются при каждом взаимодействии с узлом. Периодически узлы рассылают по сети таблицы характеристик — получившие их узлы, корректируют или дополняют собственные таблицы.

В случае резкого увеличения сетевого трафика и невозможности обработать все сообщения от соседних узлов — запускается механизм обнаружения атак. Для каждого входящего сообщения рассчитывается метрика на основе имеющихся характеристик узла-отправителя. Чем выше отклонение метрики, тем выше вероятность того, что сообщение было отправлено злоумышленником, а не обычным узлом сети. Сообщения, метрика которых превышает некоторое пороговое значение, игнорируются. Пороговое значение понижается до тех пор, пока не будет восстановлена работоспособность сети.

Поскольку алгоритм обнаружения атак запускается только в случаях сильной загруженности сети, небольшие изменения в структуре сети (например, перемещение узла) не приведут к его блокировке. Через некоторое время характеристики узла во всех таблицах подстроятся под новое местонахождение и поведение.

В результате проведенного предварительного компьютерного моделирования алгоритм показал свою эффективность в обнаружении и фильтрации сообщений от атакующих узлов, не позволяя нарушить нормальную работу сети.