Автоматическое обнаружение аномалий сетевого трафика при DDoS-атаках

Распределенные атаки типа «отказ в обслуживании» (DDoS-атаки) — это вторжения в вычислительные системы сети Интернет, цель которых — сделать их недоступными для пользователей. DDoS-атаки заключаются в одновременной отправке в сторону определенного ресурса большого количества запросов, в результате чего сервер не выдерживает сетевой нагрузки и доступ к нему становится практически невозможным. В такой ситуации провайдеру необходимо определить момент начала атаки и изменить стратегию управления сетевым трафиком. Обнаружение начала DDoS-атаки возможно методами машинного обучения без учителя, использующими последовательный статистический анализ сетевой активности. Для этого удобно применять математические модели, основанные на дискретных случайных процессах, с монотонно возрастающими траекториями в начале DDoS-атаки. Случайные функции, которые представляют собой соответствие между обобщенным временем и кумулятивным объемом сетевого трафика или между общим количеством входящих пакетов и кумулятивной суммой неотвергнутых пакетов, в начале DDoS-атаки меняют тип своего возрастания с линейного на нелинейный: в первом случае на параболический или экспоненциальный, во втором — на логарифмический или арктангенциальный. Для определения моментов такого изменения в качестве статистических правил можно использовать квадратичные формы аппроксимационно-оценочных критериев.