В. Ю. Бондарев (студент группы ск-92 спбгут) А. В. Лейкин
Download 474.31 Kb. Pdf ko'rish
|
2014-009
|
Алгоритм CORIDS
Обозначим параметры, используемые в процессе обнаружения вторжений алгоритмом CORIDS: TR val – показатель доверия узла кластера, определённый его ГУК; TH tr – пороговое значение показателя доверия; если показатель доверия узла сети упадёт ниже этого порога, то узел будет определён, как вредоносный; PAR X – скорость получения пакетов для узла X поддерживаемая его ГУК; PDR X – скорость отправки пакетов для узла X поддерживаемая его ГУК; TH PAR – пороговое значение скорости получения пакетов; N X – уникальный ID узла X; PS – количество пакетов, отправленных ГУК; PR – количество пакетов, полученных из ГУК. Работу алгоритма можно разделить на три фазы: 1) обмен информацией между ГУК узлами и ее обновление; 2) передача информации от узлов сети соответствующим головным узлам; 3) сравнение всех полученных показателей с пороговыми значениями и последующее их обновление, а на основе вычисленных результатов изменение уровня доверия узла, и, при необходимости, объявление узла злонамеренным. Рассмотрим каждую фазу алгоритма более подробно и обозначим формулы вычисления основных показателей, использующиеся при обнаружении вторжений. Алгоритм CORIDS. Фаза 1: 1.1. Головные узлы кластеров хранят значения PAR, PDR, PR и PS каждого члена кластера вместе с соответствующими им ID. 1.2. После фиксированного отрезка времени, ГУК транслирует свою соответствующую информацию об узлах всем другим ГУК в сети. 1.3. Когда ГУК получает такой пакет обновления, он просматривает его и проверяет наличие информации о некотором узле, который также принадлежал его кластеру в некоторый момент времени. Проверка выполняется на основании полученного ID узла N X и связанных с ним набором параметров. 1.4. Если любой ID N X совпадает с ID какого-либо из узлов этого кластера, то ГУК обновляет информацию, связанную с ID этого узла. 1.5. Шаги 1.3 и 1.4 выполняются всеми головными узлами. 1.6. Переход к фазе 2. Алгоритм CORIDS. Фаза 2: 2.1. Узлы каждого кластера отправляют значение количества пакетов, отправленных и полученных со стороны соответствующего этому кластеру ГУК. 2.2. Вместе с информацией из п.2.1 узлы сети отправляют свой ID NX. 2.3. ГУК содержит таблицу о членах кластера в пределах своего собственного кластера; 2.4. Переход к фазе 3. Алгоритм CORIDS. Фаза 3: 3.1. ГУК сравнивает значение PAR и PDR для члена кластера с соответствующими ему значениям PR и PS, а также их пороговые значения. 3.2. Классификация атак основывается на этих значениях. 3.3. Уровень доверия рассчитывается для всех узлов. Причем для узлов, имеющих нормальное поведение, он повышается, а для узлов с некорректным поведением понижается. 3.4. Показатели доверия для членов кластера обновляются, исходя из вновь вычисленных значений уровней доверия. 3.5. Обновлённые показатели доверия сравниваются с предопределённым пороговым значением показателя доверия. Если показатель доверия любого члена кластера опустился ниже порогового значения, то он будет определён как злонамеренный узел, если нет, то как доверенный. 3.6. Остановка алгоритма. Описанный алгоритм выполняется в ГУК регулярно, но в случайные интервалы времени. Суть действия алгоритма заключается в том, что информация об узлах (их показатель доверия) обновляется, исходя из текущей информации, получаемой путем сравнения определенных параметров. По результатам сравнения показатель доверия небезопасных узлов должен быть снижен, в то время как показатель безопасных узлов увеличен. Для расчёта параметров, используемых в оценке уровня доверия узлов, предлагаются следующие формулы: 1) начальный показатель доверия, присваивающийся узлу при присоединении к сети 𝑇𝑅 𝑉𝐴𝐿 = (2 𝑛 −1) 2 , где n – число бит, выделенных для хранения показателя доверия 2) величина уровня доверия нормально работающего узла 𝑅𝑒𝑤𝑎𝑟𝑑 = 𝑅 × (𝑃𝐴𝑅 𝑋 + 𝑃𝐷𝑅 𝑋 ) 2 3) величина изменения уровня доверия для DoS-атак 𝑅𝑒𝑤𝑎𝑟𝑑 = −𝑅 × (𝑃𝐴𝑅 𝑋 − 𝑇𝐻 𝑃𝐴𝑅 ) 4) величина изменения уровня доверия для Blackhole-атак 𝑅𝑒𝑤𝑎𝑟𝑑 = 𝑅 × (𝑃𝑅 𝑋 − 𝑃𝐷𝑅 𝑋 ) 5) переоценка показателя доверия узла 𝑇𝑅 𝑉𝐴𝐿 𝑥 (𝑡) = 𝑇𝑅 𝑉𝐴𝐿 𝑥 (𝑡 − 1) + 𝑅𝑒𝑤𝑎𝑟𝑑 𝑋 После обновления информации в ГУК выполняется сравнение вычисленного значения с пороговым и если 𝑇𝑅 𝑉𝐴𝐿 𝑥 (𝑡) < 𝑇𝐻 𝑇𝑟 , то узел объявляется злонамеренным. Более подробно с работой алгоритма и описанием формул можно ознакомится в данной работе [1]. Download 474.31 Kb. Do'stlaringiz bilan baham: 
|