Центр исследования компьютерной преступности

home контакты

Противодействие Интернет мошенничеству путем идентификации действий сетевых агентов

Дата: 01.01.2008
Источник: www.crime-research.ru
Автор: Алексей Турута


hack/spy.jpg ... ряд Фибоначчи. Такой подход позволяет также определять попытки подбора различных идентификаторов пользователя с одного IP.

Формирование ответа
Для решения общей задачи обслуживания агентов и предупреждения Интернет мошенничества рассмотрим подзадачу формирования ответа и обеспечения качества обслуживания текущего и параллельных подключений. Логика формирования ответа зависит от многих факторов и предполагает:
1) формирование контента (полного, сокращенного);
2) сбор признаков об агенте (скрытое, формирование вопросов закладок);
3) стабилизация работы системы (отсечение нежелательных потов);
4) восстановление заблокированных линий, агентов;
5) восстановление системы после отказа, как результат безуспешной работы системы стабилизации.

Предлагается вне зависимости от состояния системы собирать данные об агенте. При наличии свободных ресурсов формировать ответ (в различных модификациях), при перегрузке системы – выполнять функции стабилизации системы. В работе [28] предлагаются подходы по разграничению ресурсов для сервиса или методы по его учету.

Темп поступления запросов может лавинообразно изменяться случайным образом, поэтому предлагается идентифицировать пользователя еще на этапе подключения с целью предупреждения негативных последствий для работы web–сервиса и зарегистрированных пользователей. При подключении web–сервис оценивает параметры запроса, обобщенные параметры системы и принимает одно из следующих решений (Рис 4): предоставить доступ и сгенерировать ответ на запрос; идентифицировать пользователя и зарегистрировать его; проверить ряд признаков, отложить генерацию ответа; отказать в доступе; дополнительное действие – добавить данные в историю.
Рис. 4. Виды ответа на запросы.

При нормальной работе системы ответ формируем при учете ряда факторов, и выбираем один из следующих способов.
1) отправлять в качестве ответа контент запрашиваемого ресурса, в работе [29] предложен предикат проверки (valuator) параметров запроса и системы.
2) в некоторых случаях, предлагается предоставлять доступ к ресурсу после прохождения определенного маршрута по страницам сайта.
3) использовать систему эмуляции и создание honey pot [30] для обнаружения активных действий мошенника.
4) идентифицировать и обслуживать роботов-пауков-индексаторов.
5) формировать часть ответа и догружать части либо формировать части полезной информации.

Уменьшение объема страницы может иметь смысл при замене оставшейся части навигаций выполненной в виде вопроса закладки и после первого перехода будут получены признаки агента. А также при подстройке объема страницы оптимальному размеру кадра для предупреждения не эффективного использования канала связи [31]. Проблема формирования ценной информации рассматривается в работах [32, 33], можно выделить два основных подхода: пользователь предварительно формирует конструкцию контента, система строит портрет пользователя и автоматически расставляет приоритеты при отправке информации.

В случая появления перегрузки ресурсов сервиса возможно следующие поведение:
1) замедление процесса обслуживания (в случае кратковременных скачков);
2) отказ в обслуживании отдельных частей сервиса или направления;
3) отказ в обслуживании отдельных клиентов, агентов;
4) обслуживание текущих подключений и отказ в обслуживании новых подключений (например, в случае необходимости выполнить транзакцию);
5) выявлять и блокировать действия бот сетей.

"Блокировать запрос" web-сервис может выполнять двумя способами: на уровне сервера (устройства или сервиса) прекращать обслуживание запросов с данного адреса; на уровне управляемых маршрутизаторов изолироваться от ряда сегментов и направлений.

С одной стороны Интернет предоставляет широкий доступ для пользователей всего мира, с другой стороны много web-сервисов преимущественно регионального назначения: государственных органов, агентств недвижимости, торговые площадки и прочее. Для таких сервисов имеющих ярковыраженное географическое распределение агентов предлагается подход по предупреждению перегрузок вследствие DoS атак. Например, в таблице 2 представлено распределение посетителей по странам для ресурса [13]

Таблица 2. Пример суточного распределения агентов посетителей.
Страна Хиты Проценты
1 Украина 49273 87,3%
2 Германия 421 0,7%
3 Россия 387 0,7%
4 Норвегия 331 0,6%
5 Бельгия 228 0,4%
6 США/Канада 147 0,3%
7 Израиль 54 0,1%
8 Великобритания 55 0,1%
9 Другие страны 258 0,5%
10 Расположение не определено. 5255 9,3%

Очевидно, что возрастание трафика из регионов, в которых обычная активность не превышает 1%, является признаком атаки. Также можно предполагать, что большинство запросов из одной страны идет с одной стороны, с одного канала связи. Вспомогательную функцию "предохранителя" могут выполнять маршрутизаторы, развернутые кэширующие прокси [27].

При необоснованном возрастании потока пакетов по сравнению с другими канала связи, либо при получении управляющей команды от web-сервиса, либо потери связи с web-сервис – устройство принимает меры по уменьшению трафика. Очевидно, что перезапуск маршрутизатора или кэширующего прокси обходится дешевле. Особенность реализации DDoS атак является использование бот-сетей, поэтому перед сервисом ставиться задача: выявлять такие бот сети по следующим признакам: нет признаков пользовательских агентов, несоответствие территориальных, временных признаков и запрашиваемых ресурсов, коллективное участие, схожие точки воздействия. Отметим, что процесс запуска заблокированных линий и клиентов требует отдельного практического тестирования.

Результаты и выводы
1. Предложен подход, предупреждающий Интернет мошенничество с данными формы путем проверки целостности, который может быть реализован стандартными средствами.
2. Предложен подход идентификации агента, путем ненавязчивого сбора признаков о нем.
3. Предложен подход, предупреждающий мошеннические действия в виде использования чужих данных авторизации.
4. Предложен подход предупреждения распределенной атаки для сервисов имеющих, определенную структуру распределения агентов.
5. Сделан обзор юридических терминов. Структурированы описания объектов, сетей.

Литература
1. Топ-10 угроз информационной безопасности // Global Information Security Survey 2004, Ernst&Young.
2. Кримінальний кодекс України // Відомості Верховної Ради, 2001, N 25-26, ст.131
3. Вехов В. // Опыт борьбы российских органов предварительного расследования с DDos-атаками на серверы зарубежных компаний http://www.crime-research.ru/articles/3909/ и http://www.crime-research.ru/articles/3909/2 (13.10.2007)
4. НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу
5. ЗУ " Про телекомунікації " // Відомості Верховної Ради (ВВР), 2004, N 12, ст.155
6. ЗУ "Про захист інформації в інформаційно-телекомунікаційних системах" // Відомості Верховної Ради (ВВР), 1994, N 31, ст.286
7. ГОСТ Р 50922-96. ГОСТ РФ Защита информации. Основные термины и определения. Издание официальное Госстандарт России Москва 1996г.
8. ЗРФ «Об участии в международном информационном обмене» от 04.07.96 № 85
9. 44 U.S.C § 3542 (b)(1) (2006) http://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000-.html
10. ISO/IEC 27002 as ISO/IEC 17799:2005
11. Donn B. Parker. «Toward a New Framework for Information Security» The Computer Security Handbook, 4th ed., Seymour Bosworth and M. E. Kabay ( New York, 2002)
12. http://ru.wikipedia.org/wiki/QoS
13. РИИ "Премьер", http://www.premier.ua. Был использован счетчик RamblerTop100.
14. ISO/IEC 7498-1:1994(E) – Information technology – Open Systems Interconnection – Basic Reference Model: The Basic Model
15. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы. - СПб.: Питер, 2001. - 672с.
16. http://ru.wikipedia.org
17. Словарь по кибернете: Св. 2000 ст. /под ред. В.С. Михалевича. - 2-е изд.-К.: Гл. ред. УСЭ им. М.П.Бажана, 1989. - 751с.
18. http://ru.wikipedia.org/wiki/Интеллектуальный_агент
19. T. O’Reilly. What Is Web 2.0. Design Patterns and Business Models for the Next Generation of Software, 2005 // http://www.oreillynet.com/pub/a/oreilly/tim/news/2005/09/30/what-is-web-20.html
20. Программа клиент Keeper для работы с платежной системой WebMoney.
21. Xiaoyun Wang, Dengguo Feng, Xuejia Lai, and Hongbo Yu. Collisions for hash functions MD4, MD5, HAVAL-128 and RIPEMD. Cryptology ePrint Archive, Report 2004/199, 2004. http://eprint.iacr.org/2004/199
22. Marc Stevens. Fast Collision Attack on MD5. Cryptology ePrint Archive, Report 2006/104, 2006. http://eprint.iacr.org/2006/104.pdf
23. На сайте wikipedia.org предлагается описание более 17 алгоритмов.
24. Ерохин А.Л. Турута А.П. Разработка метода идентификации сетевых агентов в web // Системы обработки информации. – 2007. – Вып.2(60). – С23-27.
25. Турута А.П. Идентификация сетевых агентов на основе улучшенного алгоритма вычисления оценок // Зб. матеріалів форуму "Радіоелектроніка і молодь в XXI сторіччі". - Харків: ХНУРЕ, 2007. ч.1. - С.396.
26. SQL - инъекции. Подборка материалов http://injection.rulezz.ru/
27. Ерохин А.Л. Турута А.П. Идентификация нештатных ситуаций в информационных сетях // Бионика интеллекта. – 2006. №1(64).-с.46-55.
28. M. Aron, S. Iyer, and P. Druschel. A resource management framework for predictable quality of service in web servers, July 2001. Submitted....

Добавить комментарий
2008-01-04 07:27:10 - 1. Интересно было бы посмотреть на расчеты... helgi
2008-01-03 16:06:07 - хорошая, информативная статья. Автору... owling
Всего 2 комментариев


Copyright © 2001–2012 Computer Crime Research Center

CCRC logo
Рассылка новостей