Распознавание бот-сетей и противодействие им является сложной комплексной научно-технической и организационной задачей. В настоящей статье предлагается подход к исследованию бот-сетей и механизмов защиты от них, основанный на построении формальных моделей бот-сетей и механизмов защиты и применении парадигмы агентно-ориентированного моделирования. Различные типы атак и методы защиты исследуются путем представления процесса функционирования бот-сетей и противодействия им в виде комплекса противоборствующих команд интеллектуальных программных агентов.
Введение
Бот-сеть (англ. botnet) — это вычислительная сеть, состоящая из большого количества хостов, с запущенным автономным программным обеспечением, называемым ботом (bot). Бот в составе бот-сети является программой, скрытно устанавливаемой на некотором компьютере и позволяющей злоумышленнику выполнять определенные вредоносные действия с использованием ресурсов зараженного компьютера. На сегодняшний день бот-сети уверенно занимают лидирующие позиции в списке актуальных угроз в сети Интернет.
Появление бот-сетей позволило злоумышленникам получить доступ к миллионам зараженных компьютеров пользователей, а число киберпреступлений увеличилось в сотни раз [4]. В настоящее время специалисты наблюдают усиление конкуренции на рынке бот-сетей: в конце 2009 года — начале 2010 года появился целый ряд новых программ для реализации бот-сетей, таких как Filon, Clod, Buga, Spy Eye и др.
Отличительной чертой использования современных бот-сетей как инструментов для кибератак является большое разнообразие возможных целей проведения атак:
- кража персональных или любых других конфиденциальных данных (кража денег с электронных счетов, номеров кредитных карт и т. д.);
- организация рассылки спама;
- принудительный показ рекламы;
- организация атак DDoS;
- использование вычислительной мощности инфицированных компьютеров в своих целях;
- компрометация легитимных пользователей;
- кибершантаж;
- обман систем отслеживания рейтинга (например, атака типа ClickFraud) и др.
Спектр атак, проводимых при помощи бот-сетей для реализации названных целей, довольно обширен: от традиционных компьютерных атак до атак в сфере социальной инженерии.
Функционирование бот-сетей характеризуется одновременными действиями огромного количества бот-агентов в интересах злоумышленника. В большинстве случаев злоумышленник получает полный контроль над ресурсами инфицированного компьютера и может беспрепятственно использовать их практически по своему усмотрению. Важным аспектом использования бот-сетей является направленность реализации атак, как правило, на финансовый результат или политические цели и, как следствие, высокий уровень подготовки таких атак. Это обусловливает значительные трудности в обнаружении и нейтрализации бот-сетей и выявлении их организаторов.
В предыдущие годы, в частности в России, наблюдались следующие тенденции в развитии бот-сетей:
- малые бот-сети вливались в более крупные, то есть происходило их объединение и наращивание функциональных возможностей для реализации более мощных атак;
- управляющие центры переносились в страны третьего мира, и бот-сети характеризовались все большей децентрализацией;
- появлялись непрофессиональные бот-сети, реализуемые с помощью специальных конструкторов или программ — для создания такой сети и управления ею не требуются специальные знания;
- профессиональные бот-сети стали применять передовые технологии для управления и обеспечения анонимности, в частности технологию аутентификации portknocking и др.
Все это говорит об актуальности исследования проблемы защиты от бот-сетей в сети Интернет. Одной из важнейших задач, выполнение которой необходимо для решения данной проблемы, является исследовательское моделирование бот-сетей и механизмов защиты от них с целью разработки эффективных методов и средств их обнаружения и противодействия бот-сетям.
В данной работе представляется подход к исследованию бот-сетей и механизмов защиты от них на основе агентно-ориентированной парадигмы. Предлагаемый подход базируется на объединении методов моделирования дискретных событий, методов моделирования сетевого трафика на основе имитации отдельных сетевых пакетов и методов агентно-ориентированного моделирования.
Первоначально данный подход был предложен для моделирования сетевых атак и механизмов защиты. В настоящей статье в отличие от этих работ представлены результаты формализации и моделирования различных типов бот-сетей, а также действий, направленных на их обнаружение и сдерживание, посредством представления бот-сетей и механизмов защиты от них в виде различных команд интеллектуальных агентов.
Основной целью данной работы является разработка программной инструментальной среды и библиотеки, предназначенной для анализа различных типов бот-сетей и разнообразных методов противодействия. Наибольший акцент в статье делается на описании используемой среды агентно-ориентированного моделирования и представлении проведенных экспериментов.
Данная работа структурирована следующим образом. Во втором разделе описываются релевантные работы и ключевые особенности предлагаемого подхода. В третьем — задается архитектура и реализация программной среды агентно-ориентированного моделирования бот-сетей и механизмов защиты. Конфигурация системы моделирования специфицируется в четвертом разделе, проведенные эксперименты характеризуются в пятом. В заключении делаются выводы и определяются направления дальнейших исследований.
< ... >
