ВИЯВЛЕННЯ ТА БЛОКУВАННЯ ПОВІЛЬНИХ DDOS-АТАК ЗА ДОПОМОГОЮ ПРОГНОЗУВАННЯ ПОВЕДІНКИ КОРИСТУВАЧА

Security researchers have identified 14 vulnerabilities affecting the TCP/IP protocol library. A feature of a slow DDoS attack is the use of a vulnerability in the TCP/IP protocol, where interruptions can be caused intentionally or unintentionally as a result of delays in communication channels. The article deals with the problem of detecting a slow distributed denial of service attack. Detecting slow-moving DDoS attacks is known to differ from traffic-based attacks because they do not increase network traffic. Instead of creating a sudden surge of traffic, slow, low-power attacks are conducted with minimal activity and are not registered Наукоємні технології № 3(55), 2022 © Лаптєв О. А., Бучик С. С., Савченко В. А., Наконечний В. С., Михальчук І. І., Шестак Я. В., 2022 192 by systems. They aim to fail the object inconspicuously by creating the minimum number of connections and leaving them unfinished for as long as possible. Typically, attackers send partial HTTP requests and small data packets or activity check messages to keep the connection active. Such attacks are difficult to block and difficult to detect. Due to the low volume of traffic and the fact that attacks can look like standard connections, a different prevention technology is required. Attack sources should be blocked based on the characteristics of the request execution, not on the basis of their reputation. Therefore, it was assumed that the success of a slow DDoS attack depends on the user's behavior. Based on the modeling of the method of detecting slow attacks, research and prediction of the behavior of the individual was carried out, and the trajectory of the behavior of a specific user was proposed. The possibilities of using this method were confirmed by modeling RUDY attacks on HTTP services. The obtained prediction accuracy characteristics depend on the displayed accumulated traffic and attack statistics. The study proves that such a method can be used to detect different types of slow DDoS attacksОсобливістю повільної DDoS-атаки є використання вразливості в протоколі TCP/IP, де навмисно чи ненавмисно можуть бути викликані переривання в результаті затримки в каналах зв'язку. У статті розглядається проблема виявлення повільної розподіленої атаки відмови в обслуговуванні. Відомо, що виявлення повільних DDoS-атак відрізняється від атак на основі обсягу трафіку, оскільки вони не збільшують інтенсивність трафіку в мережі. Замість створення раптового надлишку тра[1]фіку, повільні малопотужні атаки проводяться з мінімальною активністю і не реєструються сис[1]темами. Вони спрямовані на те, щоб вивести об'єкт з ладу непомітно, створюючи мінімальну кіль[1]кість підключень та залишаючи їх незавершеними якомога довше. Як правило, зловмисники відправ[1]ляють часткові запити HTTP і невеликі пакети даних або повідомлення для перевірки активності, щоб підключення залишалося активним. Подібні атаки важко заблокувати, і складно виявити. У зв'язку з малим обсягом трафіку, а також з тим, що атаки можуть виглядати як стандартні підк[1]лючення, потрібна інша технологія запобігання. Джерела атак необхідно блокувати, виходячи з осо[1]бливостей виконання запитів, а не на основі їх репутації. Тому було зроблено припущення про залеж[1]ність успішної повільної DDoS-атаки залежить та поведінки користувача. На основі моделювання методу виявлення повільних атак було проведено дослідження та прогнозування поведінки особис[1]тості, запропоновано траєкторію поведінки конкретного користувача. Можливості застосування такого методу підтверджено моделюванням атак RUDY на HTTP-сервіси. Отримані характерис[1]тики точності прогнозування залежно від відображуваного накопиченого трафіку і статистики атак. Дослідження доводить, такий метод можна використовувати для виявлення різних типів по[1]вільних DDoS-ата