SlideShare une entreprise Scribd logo

Особенности использования машинного обучения при защите от DDoS-атак

Qrator Labs
Qrator Labs

В докладе мы взглянем на проблему DDOS, с одной стороны, более широко — как на проблему обеспечения доступности ресурса, с другой стороны более конкретно — как на проблему информационной безопасности. Поговорим о том, как автоматизировать борьбу с DDOS-атаками при помощи машинного обучения, и чем такая автоматизация может быть опасна. Наконец, рассмотрим пару примеров и обсудим, с чего начинать строить систему защиты от DDOS.

Internet
1  sur  55
Télécharger pour lire hors ligne
Особенности использования машинного обучения при защите от DDOS-атак Константин Игнатов Qrator Labs 28.01.2016 @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 1 / 46
Как вы узнаете, что ваш сайт атакуют?
План 1 Процессы информационной безопасности Информационная безопасность Процесс DDoS mitigation 2 Machine learning Объяснимость и устойчивость к манипуляциям Что захочет сделать злоумышленник 3 Сбор данных Откуда брать данные для обучения? Чему учиться, что искать? 4 Примеры задач Предсказание нагрузки Поиск групп запросов @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 4 / 46
План 1 Процессы информационной безопасности Информационная безопасность Процесс DDoS mitigation 2 Machine learning Объяснимость и устойчивость к манипуляциям Что захочет сделать злоумышленник 3 Сбор данных Откуда брать данные для обучения? Чему учиться, что искать? 4 Примеры задач Предсказание нагрузки Поиск групп запросов @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 5 / 46
Обеспечение доступности Процесс противодействия злоумышленнику наша цель — 100% доступность цель злоумышленника — наш даунтайм Основные принципы: "мыслить как преступник" спрашивать (не только) себя: "что здесь может пойти не так?" @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 6 / 46
Обеспечение доступности Процесс противодействия злоумышленнику наша цель — 100% доступность цель злоумышленника — наш даунтайм Основные принципы: "мыслить как преступник" спрашивать (не только) себя: "что здесь может пойти не так?" @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 6 / 46
Если что-то плохое может произойти, оно произойдёт... по чьей-то злой воле
План 1 Процессы информационной безопасности Информационная безопасность Процесс DDoS mitigation 2 Machine learning Объяснимость и устойчивость к манипуляциям Что захочет сделать злоумышленник 3 Сбор данных Откуда брать данные для обучения? Чему учиться, что искать? 4 Примеры задач Предсказание нагрузки Поиск групп запросов @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 8 / 46
Защищаем ограниченные ресурсы DDoS атака, как правило, направлена на их исчерпывание Требуется совместная работа многих отделов сетевые инженеры, архитекторы: канал разработчики приложения: память, CPU, IOPS специалисты по ИБ: защищаемый IP @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 9 / 46
source: https://www.flickr.com/photos/marvin_lee/ license: https://creativecommons.org/licenses/by/2.0/
План 1 Процессы информационной безопасности Информационная безопасность Процесс DDoS mitigation 2 Machine learning Объяснимость и устойчивость к манипуляциям Что захочет сделать злоумышленник 3 Сбор данных Откуда брать данные для обучения? Чему учиться, что искать? 4 Примеры задач Предсказание нагрузки Поиск групп запросов @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 11 / 46
Machine learning для автоматизации Machine learning — это просто набор алгоритмов Два этапа работы алгоритмов: подготовка (настройка, выбор модели, обучение) предсказание Три типа алгоритмов: с обратной связью от среды теория управления (control systems) с обратной связью от человека обучение с учителем (supervised learning) с обратной связью от данных обучение без учителя (unsupervised learning) @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 12 / 46
Требования к алгоритмам Алгоритмы дают оценку, например, матожидания E [ω|X] ω — случайная величина (что мы хотим «предсказать») X — известные данные Мы хотим: На первом этапе работы: игнорировать аномалии при обучении (в обратной связи) На втором: иметь возможность понять, почему было принято именно такое решение @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 14 / 46
План 1 Процессы информационной безопасности Информационная безопасность Процесс DDoS mitigation 2 Machine learning Объяснимость и устойчивость к манипуляциям Что захочет сделать злоумышленник 3 Сбор данных Откуда брать данные для обучения? Чему учиться, что искать? 4 Примеры задач Предсказание нагрузки Поиск групп запросов @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 15 / 46
Кто учит машину? Данные для обучения = поведение пользователей То есть частично контролируемы злоумышленником И тут у злоумышленника появляется одна идея... научить наш алгоритм «вместо нас» Это плохо. И может случиться. Что делать? @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 16 / 46
Кто учит машину? Данные для обучения = поведение пользователей То есть частично контролируемы злоумышленником И тут у злоумышленника появляется одна идея... научить наш алгоритм «вместо нас» Это плохо. И может случиться. Что делать? @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 16 / 46
Кто учит машину? Данные для обучения = поведение пользователей То есть частично контролируемы злоумышленником И тут у злоумышленника появляется одна идея... научить наш алгоритм «вместо нас» Это плохо. И может случиться. Что делать? @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 16 / 46
Кто учит машину? Данные для обучения = поведение пользователей То есть частично контролируемы злоумышленником И тут у злоумышленника появляется одна идея... научить наш алгоритм «вместо нас» Это плохо. И может случиться. Что делать? @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 16 / 46
1.5 2.0 2.5 3.0 3.5 4.0 lg1p(PSend) Oct 23 2015 Oct 24 2015 Oct 25 2015 Oct 26 2015 Oct 27 2015 Oct 28 2015 Oct 29 2015 time
Робастная оценка Робастность — мера того, насколько просто повлиять на предсказываемую оценку Breaking point — количество образцов в обучающей выборке, достаточное для того, чтобы исказить оценку Чем выше Breaking Point, тем сложнее злоумышленнику повлиять на работу алгоритма ML Что означает «сложнее»? @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 18 / 46
Деталь, которая не ломается, отличается от детали, которая ломается, тем, что, если деталь, которая не ломается, сломается, то её нельзя будет починить.
Объяснимость Помогает «приглядывать» за автоматизированным процессом. Как иначе понять, что что-то пошло не так? Помогает при тестировании и отладке. Помогает при расследовании инцидентов. @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 20 / 46
Вопрос... Откуда взять данные для обучения?
План 1 Процессы информационной безопасности Информационная безопасность Процесс DDoS mitigation 2 Machine learning Объяснимость и устойчивость к манипуляциям Что захочет сделать злоумышленник 3 Сбор данных Откуда брать данные для обучения? Чему учиться, что искать? 4 Примеры задач Предсказание нагрузки Поиск групп запросов @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 22 / 46
Что хранить Необходимо (и легко) Данные о состояния сервера («телеметрию»): статистика соединений объём трафика свободная память загрузка ЦПУ прочие замеры исчерпываемых ресурсов Полезно (но тяжело) Логи желательно, подробные в основном, access.log в более-менее удобном для машины формате @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 23 / 46
Что хранить Необходимо (и легко) Данные о состояния сервера («телеметрию»): статистика соединений объём трафика свободная память загрузка ЦПУ прочие замеры исчерпываемых ресурсов Полезно (но тяжело) Логи желательно, подробные в основном, access.log в более-менее удобном для машины формате @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 23 / 46
Логи Нужен хотя бы небольшой образец логов «чистого поведения» Нужно иметь возможность сохранить хотя бы часть логов за время атаки Что здесь может пойти не так? Можно хранить только подмножество логов Важно: правильно организовать выборку например, можно хранить только запросы с MurmurHash(IP) mod 1024 ∈ B, где B ⊂ 0, 1023 @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 24 / 46
Логи Нужен хотя бы небольшой образец логов «чистого поведения» Нужно иметь возможность сохранить хотя бы часть логов за время атаки Что здесь может пойти не так? Можно хранить только подмножество логов Важно: правильно организовать выборку например, можно хранить только запросы с MurmurHash(IP) mod 1024 ∈ B, где B ⊂ 0, 1023 @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 24 / 46
Логи Нужен хотя бы небольшой образец логов «чистого поведения» Нужно иметь возможность сохранить хотя бы часть логов за время атаки Что здесь может пойти не так? Можно хранить только подмножество логов Важно: правильно организовать выборку например, можно хранить только запросы с MurmurHash(IP) mod 1024 ∈ B, где B ⊂ 0, 1023 @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 24 / 46
Логи Нужен хотя бы небольшой образец логов «чистого поведения» Нужно иметь возможность сохранить хотя бы часть логов за время атаки Что здесь может пойти не так? Можно хранить только подмножество логов Важно: правильно организовать выборку например, можно хранить только запросы с MurmurHash(IP) mod 1024 ∈ B, где B ⊂ 0, 1023 @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 24 / 46
План 1 Процессы информационной безопасности Информационная безопасность Процесс DDoS mitigation 2 Machine learning Объяснимость и устойчивость к манипуляциям Что захочет сделать злоумышленник 3 Сбор данных Откуда брать данные для обучения? Чему учиться, что искать? 4 Примеры задач Предсказание нагрузки Поиск групп запросов @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 25 / 46
Что даёт сбор данных? «Телеметрия» Фиксируем, когда серверу «плохо» Прогнозируем проблемы Логи Чем отличается зловредное поведение, от «доброкачественного»? Какая группа пользователей вызывает основную нагрузку? @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 26 / 46
Что даёт сбор данных? «Телеметрия» Фиксируем, когда серверу «плохо» Прогнозируем проблемы Логи Чем отличается зловредное поведение, от «доброкачественного»? Какая группа пользователей вызывает основную нагрузку? @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 26 / 46
План 1 Процессы информационной безопасности Информационная безопасность Процесс DDoS mitigation 2 Machine learning Объяснимость и устойчивость к манипуляциям Что захочет сделать злоумышленник 3 Сбор данных Откуда брать данные для обучения? Чему учиться, что искать? 4 Примеры задач Предсказание нагрузки Поиск групп запросов @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 27 / 46
Цепочки задач 1 Какая ожидается нагрузка? 1 А какая бывает? 2 На что похоже то, что наблюдаем сейчас? 2 Нужно ли что-то делать? 1 Какое количество запросов приводит к сбоям сервера? 2 Сколько нужно «зарезать» запросов, чтобы стало легче жить? 3 Нужно ли заблокировать часть легитимных запросов? 3 Какие запросы более важны? @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 28 / 46
Исходные данные @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 29 / 46
Общие замечания Использование абсолютных отклонений (L1) Робастная нормализация Нелинейные обратимые преобразования (sigmoid) "Тяжёлые хвосты", когда нужно предположение о распределении Сэмплирование уменьшает вероятность попадания Как правило, можно принять: В алгоритмах, основанных на деревьях, breaking point<минимальный размер листка При кластеризации breaking point<минимальный размер кластера @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 30 / 46
Подготовка @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 31 / 46
Кластеризация @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 34 / 46
Классификация + регрессия @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 35 / 46
План 1 Процессы информационной безопасности Информационная безопасность Процесс DDoS mitigation 2 Machine learning Объяснимость и устойчивость к манипуляциям Что захочет сделать злоумышленник 3 Сбор данных Откуда брать данные для обучения? Чему учиться, что искать? 4 Примеры задач Предсказание нагрузки Поиск групп запросов @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 36 / 46
Примеры признаков запросов/сессий Пользуется ли посетитель последней версией браузера? Читает ли на там же языке, который используется в его системной локали? Загружает ли статику? Сколько раз запросил favicon.ico? Заходил ли на страницу /buy? @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 37 / 46
Pattern discovery Как выделить признаки запросов/сессий Дано: всплеск на 50k запросов. Преобразуем запрос в набор элементарных признаков @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 38 / 46
in_agent:Mozilla/,in_ref:http:/,in_agent: AppleWebKit/,in_agent: like ,in_ref:/www.example.com/,num_agents:1,method:GET,in_agent:Gecko),in_agent:Safari/,in_agent: Chrome/,in_agent:NT ,in_agent:5.0 ,in_agent:537.36 ,in_agent:(KHTML,,code:200 55118 in_agent:Mozilla/,in_ref:http:/,in_agent: AppleWebKit/,in_agent: like ,in_agent:(Windows ,method:GET,in_agent:Gecko),in_agent:Safari/,in_agent: Chrome/,in_agent:NT ,in_agent:5.0 ,in_agent:537.36 ,in_agent: (KHTML,,in_agent:WOW64),in_agent:537.36 54964 in_agent:Mozilla/,in_agent: AppleWebKit/,in_agent: like ,in_agent:(Windows ,num_agents:1,in_agent:Gecko),seen_ref:False,in_agent:Safari/,in_agent: Chrome/,in_agent:NT ,in_agent:5.0 ,in_agent:537.36 ,in_agent:(KHTML,,code:200,in_agent:537.36 54841 in_agent:Mozilla/,in_agent: AppleWebKit/,in_agent: like ,in_agent:(Windows ,in_agent:39.0.2171.99 ,method:GET,in_agent:Gecko),in_agent:Safari/,in_agent: Chrome/,in_agent:NT ,in_agent:5.0 ,in_agent:537.36 ,in_agent: (KHTML,,code:200,in_agent:537.36 54188 in_agent:Mozilla/,in_ref:http:/,in_agent: AppleWebKit/,in_agent: like ,in_agent:(Windows ,in_agent:39.0.2171.99 ,in_agent:Gecko),in_agent:Safari/,in_agent: Chrome/,in_agent:NT ,in_agent:5.0 ,in_agent:537.36 ,in_agent: (KHTML,,code:200,in_agent:537.36 53990 in_agent:Mozilla/,in_ref:http:/,in_agent: AppleWebKit/,in_agent: like ,in_ref:/www.example.com/,num_agents:1,method:GET,in_agent:Gecko),in_agent:Safari/,in_agent: Chrome/,in_agent:5.0 ,in_agent:537.36 ,in_agent:(KHTML,,code:200,in_agent:537.36 53949 in_agent:Mozilla/,in_agent:6.1; ,in_agent: AppleWebKit/,in_agent: like ,in_agent:(Windows ,num_agents:1,in_agent:Gecko),in_agent:Safari/,in_agent: Chrome/,in_agent:NT ,in_agent:5.0 ,in_agent:537.36 ,in_agent: (KHTML,,code:200,in_agent:WOW64) 53896 in_agent:Mozilla/,in_ref:http:/,in_agent: AppleWebKit/,in_agent: like ,in_agent:(Windows ,method:GET,in_agent:Gecko),seen_ref:True,in_agent:Safari/,in_agent: Chrome/,in_agent:NT ,in_agent:5.0 ,in_agent:537.36 ,in_agent:(KHTML,,in_agent:537.36 53771 in_agent:Mozilla/,in_ref:http:/,in_agent: AppleWebKit/,in_agent: like ,in_agent:(Windows ,in_ref:/www.example.com/,in_agent:Gecko),seen_ref:True,in_agent:Safari/,in_agent: Chrome/,in_agent:NT ,in_agent:5.0 ,in_agent:537.36 ,in_agent:(KHTML,,code:200 53297 in_agent:Mozilla/,in_agent: AppleWebKit/,in_agent: like ,in_agent:(Windows ,method:GET,in_agent:Gecko),seen_ref:True,in_agent:Safari/,in_agent: Chrome/,in_agent:NT ,in_agent:5.0 ,in_agent:537.36 ,in agent:(KHTML,,code:200,in agent:537.36 53193
Pattern discovery Получаем особый тип БД, в которой можно искать: подмножества (элементарных признаков), подпоследовательности (запросов), подграфы (переходов), удовлетворяющие заданным условиям. @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 40 / 46
Итого: готовиться нужно заранее Защита как процесс Нужно время на поиск и/или подготовку специалистов Нужно время на сбор данных Нужно время на ручной анализ, выбор и настройку алгоритмов Нужно время на обучение алгоритмов К размышлению: Документирование процесса защиты. Связь с бизнес-аналитикой. Стандартизация собираемой информации. @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 41 / 46
Спасибо Константин Игнатов @podshumok kv@qrator.net
Почему нельзя просто... Full browser stack Completely Automated Public Turing test to tell Computers and Humans Apart простые — взломаны сложные — вызывают боль у пользователей automated humans @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 43 / 46
Availability network Подключение по DNS клиент получает IP, пользователи используют его, reverse-proxy перенаправляет чистые запросы на старый адрес самый простой и быстрый, но конфиденциальность защищаемого IP нужно беречь как зеницу ока Выделенный VPN канал BGP анонс @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 44 / 46
Define: робастный Медиана MAD (медиана абсолютного отклонения от медианы) Квантиль QR (размах квантилей) Распределение Стьюдента @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 45 / 46
@podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 46 / 46

Recommandé

SECON'2014 - Команда CTRL-PNZ - Уязвимости для самых маленьких. Что это, как ...
SECON'2014 - Команда CTRL-PNZ - Уязвимости для самых маленьких. Что это, как ...SECON'2014 - Команда CTRL-PNZ - Уязвимости для самых маленьких. Что это, как ...
SECON'2014 - Команда CTRL-PNZ - Уязвимости для самых маленьких. Что это, как ...Конференция разработчиков программного обеспечения SECON'2014
 
Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?beched
 
Криптология в анализе защищённости
Криптология в анализе защищённостиКриптология в анализе защищённости
Криптология в анализе защищённостиbeched
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future NowDmitry Evteev
 
SQA days 17 "Моделирование угроз для приложений"
SQA days 17 "Моделирование угроз для приложений"SQA days 17 "Моделирование угроз для приложений"
SQA days 17 "Моделирование угроз для приложений"Sergey Atroschenkov
 
Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012beched
 
Воркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложенийВоркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложенийbeched
 
FortiSandbox
FortiSandboxFortiSandbox
FortiSandboxMUK Extreme
 

Recommandé

SECON'2014 - Команда CTRL-PNZ - Уязвимости для самых маленьких. Что это, как ...
SECON'2014 - Команда CTRL-PNZ - Уязвимости для самых маленьких. Что это, как ...SECON'2014 - Команда CTRL-PNZ - Уязвимости для самых маленьких. Что это, как ...
SECON'2014 - Команда CTRL-PNZ - Уязвимости для самых маленьких. Что это, как ...Конференция разработчиков программного обеспечения SECON'2014
 
Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?beched
 
Криптология в анализе защищённости
Криптология в анализе защищённостиКриптология в анализе защищённости
Криптология в анализе защищённостиbeched
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future NowDmitry Evteev
 
SQA days 17 "Моделирование угроз для приложений"
SQA days 17 "Моделирование угроз для приложений"SQA days 17 "Моделирование угроз для приложений"
SQA days 17 "Моделирование угроз для приложений"Sergey Atroschenkov
 
Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012beched
 
Воркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложенийВоркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложенийbeched
 
FortiSandbox
FortiSandboxFortiSandbox
FortiSandboxMUK Extreme
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
Информационная Безопасность. Современные угрозы и области компетенций
Информационная Безопасность. Современные угрозы и области компетенцийИнформационная Безопасность. Современные угрозы и области компетенций
Информационная Безопасность. Современные угрозы и области компетенцийSerghei Epifantsew
 
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...Ontico
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...Dmitry Evteev
 
Blackbox-тестирование веб-приложений
Blackbox-тестирование веб-приложенийBlackbox-тестирование веб-приложений
Blackbox-тестирование веб-приложенийbeched
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииSQALab
 
5 встреча — Информационная безопастность (А. Свириденков)
5 встреча — Информационная безопастность (А. Свириденков)5 встреча — Информационная безопастность (А. Свириденков)
5 встреча — Информационная безопастность (А. Свириденков)Smolensk Computer Science Club
 
Device Fingerprint — лекарство от мошенничества. Все дело в дозировке
Device Fingerprint — лекарство от мошенничества. Все дело в дозировкеDevice Fingerprint — лекарство от мошенничества. Все дело в дозировке
Device Fingerprint — лекарство от мошенничества. Все дело в дозировкеPositive Hack Days
 
Geometry hunt in our school
Geometry hunt in our schoolGeometry hunt in our school
Geometry hunt in our schoolGeorge Arlapanos
 
908140239254 pay slipreport
908140239254 pay slipreport908140239254 pay slipreport
908140239254 pay slipreportThanThai Sangwong
 
Aprentacao projetor
Aprentacao projetorAprentacao projetor
Aprentacao projetorNTE RJ14/SEEDUC RJ
 
Competitive Analysis 2
Competitive Analysis 2Competitive Analysis 2
Competitive Analysis 2Allie Courtwright
 
Three phase vector groups
Three phase vector groupsThree phase vector groups
Three phase vector groupsMUHAMMAD USMAN
 
Event introduction - Microsoft for Charities Event Ireland
Event introduction - Microsoft for Charities Event IrelandEvent introduction - Microsoft for Charities Event Ireland
Event introduction - Microsoft for Charities Event Irelandm-hance
 
Skateboarding (1)
Skateboarding (1)Skateboarding (1)
Skateboarding (1)davidpro123
 
Service Provider Deployment of DDoS Mitigation
Service Provider Deployment of DDoS MitigationService Provider Deployment of DDoS Mitigation
Service Provider Deployment of DDoS MitigationCorero Network Security
 
Μεταφορά στα φυτά
Μεταφορά στα φυτάΜεταφορά στα φυτά
Μεταφορά στα φυτάGeorge Arlapanos
 
OTF Connect Webinar - Exploring Proportional Reasoning Through a 4-Part Math ...
OTF Connect Webinar - Exploring Proportional Reasoning Through a 4-Part Math ...OTF Connect Webinar - Exploring Proportional Reasoning Through a 4-Part Math ...
OTF Connect Webinar - Exploring Proportional Reasoning Through a 4-Part Math ...Kyle Pearce
 
Затяжной спад в экономике: Что предпринимают потребители и бизнес в России
Затяжной спад в экономике: Что предпринимают потребители и бизнес в РоссииЗатяжной спад в экономике: Что предпринимают потребители и бизнес в России
Затяжной спад в экономике: Что предпринимают потребители и бизнес в РоссииPwC Russia
 
Firewall & its Services
Firewall & its ServicesFirewall & its Services
Firewall & its ServicesNavdeep Dhingra
 
Lviv PM Club (January) Роман Грисьо - як ефективний інструмент управління ко...
Lviv PM Club (January) Роман Грисьо - як ефективний інструмент управління ко...Lviv PM Club (January) Роман Грисьо - як ефективний інструмент управління ко...
Lviv PM Club (January) Роман Грисьо - як ефективний інструмент управління ко...Lviv Startup Club
 
Introduction to Arduino
Introduction to ArduinoIntroduction to Arduino
Introduction to Arduinoyeokm1
 

Contenu connexe

Tendances

Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
Информационная Безопасность. Современные угрозы и области компетенций
Информационная Безопасность. Современные угрозы и области компетенцийИнформационная Безопасность. Современные угрозы и области компетенций
Информационная Безопасность. Современные угрозы и области компетенцийSerghei Epifantsew
 
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...Ontico
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...Dmitry Evteev
 
Blackbox-тестирование веб-приложений
Blackbox-тестирование веб-приложенийBlackbox-тестирование веб-приложений
Blackbox-тестирование веб-приложенийbeched
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииSQALab
 
5 встреча — Информационная безопастность (А. Свириденков)
5 встреча — Информационная безопастность (А. Свириденков)5 встреча — Информационная безопастность (А. Свириденков)
5 встреча — Информационная безопастность (А. Свириденков)Smolensk Computer Science Club
 
Device Fingerprint — лекарство от мошенничества. Все дело в дозировке
Device Fingerprint — лекарство от мошенничества. Все дело в дозировкеDevice Fingerprint — лекарство от мошенничества. Все дело в дозировке
Device Fingerprint — лекарство от мошенничества. Все дело в дозировкеPositive Hack Days
 

Tendances (8)

Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
 
Информационная Безопасность. Современные угрозы и области компетенций
Информационная Безопасность. Современные угрозы и области компетенцийИнформационная Безопасность. Современные угрозы и области компетенций
Информационная Безопасность. Современные угрозы и области компетенций
 
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
 
Blackbox-тестирование веб-приложений
Blackbox-тестирование веб-приложенийBlackbox-тестирование веб-приложений
Blackbox-тестирование веб-приложений
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
 
5 встреча — Информационная безопастность (А. Свириденков)
5 встреча — Информационная безопастность (А. Свириденков)5 встреча — Информационная безопастность (А. Свириденков)
5 встреча — Информационная безопастность (А. Свириденков)
 
Device Fingerprint — лекарство от мошенничества. Все дело в дозировке
Device Fingerprint — лекарство от мошенничества. Все дело в дозировкеDevice Fingerprint — лекарство от мошенничества. Все дело в дозировке
Device Fingerprint — лекарство от мошенничества. Все дело в дозировке
 

En vedette

Geometry hunt in our school
Geometry hunt in our schoolGeometry hunt in our school
Geometry hunt in our schoolGeorge Arlapanos
 
Three phase vector groups
Three phase vector groupsThree phase vector groups
Three phase vector groupsMUHAMMAD USMAN
 
Event introduction - Microsoft for Charities Event Ireland
Event introduction - Microsoft for Charities Event IrelandEvent introduction - Microsoft for Charities Event Ireland
Event introduction - Microsoft for Charities Event Irelandm-hance
 
Skateboarding (1)
Skateboarding (1)Skateboarding (1)
Skateboarding (1)davidpro123
 
Service Provider Deployment of DDoS Mitigation
Service Provider Deployment of DDoS MitigationService Provider Deployment of DDoS Mitigation
Service Provider Deployment of DDoS MitigationCorero Network Security
 
Μεταφορά στα φυτά
Μεταφορά στα φυτάΜεταφορά στα φυτά
Μεταφορά στα φυτάGeorge Arlapanos
 
OTF Connect Webinar - Exploring Proportional Reasoning Through a 4-Part Math ...
OTF Connect Webinar - Exploring Proportional Reasoning Through a 4-Part Math ...OTF Connect Webinar - Exploring Proportional Reasoning Through a 4-Part Math ...
OTF Connect Webinar - Exploring Proportional Reasoning Through a 4-Part Math ...Kyle Pearce
 
Затяжной спад в экономике: Что предпринимают потребители и бизнес в России
Затяжной спад в экономике: Что предпринимают потребители и бизнес в РоссииЗатяжной спад в экономике: Что предпринимают потребители и бизнес в России
Затяжной спад в экономике: Что предпринимают потребители и бизнес в РоссииPwC Russia
 
Lviv PM Club (January) Роман Грисьо - як ефективний інструмент управління ко...
Lviv PM Club (January) Роман Грисьо - як ефективний інструмент управління ко...Lviv PM Club (January) Роман Грисьо - як ефективний інструмент управління ко...
Lviv PM Club (January) Роман Грисьо - як ефективний інструмент управління ко...Lviv Startup Club
 
Introduction to Arduino
Introduction to ArduinoIntroduction to Arduino
Introduction to Arduinoyeokm1
 
Отзыв на иск мгтс
Отзыв на иск мгтсОтзыв на иск мгтс
Отзыв на иск мгтсSarkis Darbinyan
 
Ответ МГТС по "образовательной блокировке РосКомСвободы"
Ответ МГТС по "образовательной блокировке РосКомСвободы" Ответ МГТС по "образовательной блокировке РосКомСвободы"
Ответ МГТС по "образовательной блокировке РосКомСвободы" Sarkis Darbinyan
 
Музыкальный стриминговый сервис Zvooq подает в суд на Яндекс
Музыкальный стриминговый сервис Zvooq подает в суд на ЯндексМузыкальный стриминговый сервис Zvooq подает в суд на Яндекс
Музыкальный стриминговый сервис Zvooq подает в суд на ЯндексAlexander Kozlov
 
ümraniye esenşehir ikinci el eşya alan yerler((0535 102 84 30))
ümraniye esenşehir ikinci el eşya alan yerler((0535 102 84 30))ümraniye esenşehir ikinci el eşya alan yerler((0535 102 84 30))
ümraniye esenşehir ikinci el eşya alan yerler((0535 102 84 30))ömer sarışen
 
Evescafe - Hair Conditioning Pack
Evescafe - Hair Conditioning PackEvescafe - Hair Conditioning Pack
Evescafe - Hair Conditioning Packeetti
 
Немецкий суд объяснил, почему блокировщики рекламы не нарушают закон
Немецкий суд объяснил, почему блокировщики рекламы не нарушают законНемецкий суд объяснил, почему блокировщики рекламы не нарушают закон
Немецкий суд объяснил, почему блокировщики рекламы не нарушают законAnatol Alizar
 

En vedette (20)

Geometry hunt in our school
Geometry hunt in our schoolGeometry hunt in our school
Geometry hunt in our school
 
908140239254 pay slipreport
908140239254 pay slipreport908140239254 pay slipreport
908140239254 pay slipreport
 
Aprentacao projetor
Aprentacao projetorAprentacao projetor
Aprentacao projetor
 
Competitive Analysis 2
Competitive Analysis 2Competitive Analysis 2
Competitive Analysis 2
 
Three phase vector groups
Three phase vector groupsThree phase vector groups
Three phase vector groups
 
Event introduction - Microsoft for Charities Event Ireland
Event introduction - Microsoft for Charities Event IrelandEvent introduction - Microsoft for Charities Event Ireland
Event introduction - Microsoft for Charities Event Ireland
 
Skateboarding (1)
Skateboarding (1)Skateboarding (1)
Skateboarding (1)
 
Service Provider Deployment of DDoS Mitigation
Service Provider Deployment of DDoS MitigationService Provider Deployment of DDoS Mitigation
Service Provider Deployment of DDoS Mitigation
 
Μεταφορά στα φυτά
Μεταφορά στα φυτάΜεταφορά στα φυτά
Μεταφορά στα φυτά
 
OTF Connect Webinar - Exploring Proportional Reasoning Through a 4-Part Math ...
OTF Connect Webinar - Exploring Proportional Reasoning Through a 4-Part Math ...OTF Connect Webinar - Exploring Proportional Reasoning Through a 4-Part Math ...
OTF Connect Webinar - Exploring Proportional Reasoning Through a 4-Part Math ...
 
Затяжной спад в экономике: Что предпринимают потребители и бизнес в России
Затяжной спад в экономике: Что предпринимают потребители и бизнес в РоссииЗатяжной спад в экономике: Что предпринимают потребители и бизнес в России
Затяжной спад в экономике: Что предпринимают потребители и бизнес в России
 
Firewall & its Services
Firewall & its ServicesFirewall & its Services
Firewall & its Services
 
Lviv PM Club (January) Роман Грисьо - як ефективний інструмент управління ко...
Lviv PM Club (January) Роман Грисьо - як ефективний інструмент управління ко...Lviv PM Club (January) Роман Грисьо - як ефективний інструмент управління ко...
Lviv PM Club (January) Роман Грисьо - як ефективний інструмент управління ко...
 
Introduction to Arduino
Introduction to ArduinoIntroduction to Arduino
Introduction to Arduino
 
Отзыв на иск мгтс
Отзыв на иск мгтсОтзыв на иск мгтс
Отзыв на иск мгтс
 
Ответ МГТС по "образовательной блокировке РосКомСвободы"
Ответ МГТС по "образовательной блокировке РосКомСвободы" Ответ МГТС по "образовательной блокировке РосКомСвободы"
Ответ МГТС по "образовательной блокировке РосКомСвободы"
 
Музыкальный стриминговый сервис Zvooq подает в суд на Яндекс
Музыкальный стриминговый сервис Zvooq подает в суд на ЯндексМузыкальный стриминговый сервис Zvooq подает в суд на Яндекс
Музыкальный стриминговый сервис Zvooq подает в суд на Яндекс
 
ümraniye esenşehir ikinci el eşya alan yerler((0535 102 84 30))
ümraniye esenşehir ikinci el eşya alan yerler((0535 102 84 30))ümraniye esenşehir ikinci el eşya alan yerler((0535 102 84 30))
ümraniye esenşehir ikinci el eşya alan yerler((0535 102 84 30))
 
Evescafe - Hair Conditioning Pack
Evescafe - Hair Conditioning PackEvescafe - Hair Conditioning Pack
Evescafe - Hair Conditioning Pack
 
Немецкий суд объяснил, почему блокировщики рекламы не нарушают закон
Немецкий суд объяснил, почему блокировщики рекламы не нарушают законНемецкий суд объяснил, почему блокировщики рекламы не нарушают закон
Немецкий суд объяснил, почему блокировщики рекламы не нарушают закон
 

Similaire à Особенности использования машинного обучения при защите от DDoS-атак

Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обученияКак подготовиться к гигабитной DDoS-атаке при помощи машинного обучения
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обученияQrator Labs
 
Attacks against machine learning algorithms
Attacks against machine learning algorithmsAttacks against machine learning algorithms
Attacks against machine learning algorithmsbeched
 
Омар Ганиев (Россия). Обзор атак на модели машинного обучения
Омар Ганиев (Россия). Обзор атак на модели машинного обученияОмар Ганиев (Россия). Обзор атак на модели машинного обучения
Омар Ганиев (Россия). Обзор атак на модели машинного обученияKazHackStan
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISADenis Bezkorovayny
 
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...Expolink
 
Q3 d do_s_report_rus_lab_kasp квартальный отчёт (3-ий квартал) по DDoS
Q3 d do_s_report_rus_lab_kasp квартальный отчёт (3-ий квартал) по DDoS Q3 d do_s_report_rus_lab_kasp квартальный отчёт (3-ий квартал) по DDoS
Q3 d do_s_report_rus_lab_kasp квартальный отчёт (3-ий квартал) по DDoS Andrey Apuhtin
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБInfoWatch
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Dmitry Evteev
 
Полугодовой отчет Cisco по информационной безопасности 2015
Полугодовой отчет Cisco по информационной безопасности 2015Полугодовой отчет Cisco по информационной безопасности 2015
Полугодовой отчет Cisco по информационной безопасности 2015Cisco Russia
 
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"Expolink
 
Программы-вымогатели: многоуровневая защита для блокирования хакерских атак
Программы-вымогатели: многоуровневая защита для блокирования хакерских атакПрограммы-вымогатели: многоуровневая защита для блокирования хакерских атак
Программы-вымогатели: многоуровневая защита для блокирования хакерских атакCisco Russia
 
Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Denis Bezkorovayny
 
Anti-fraud solutions in RTB / Вадим Антонюк (IPONWEB)
Anti-fraud solutions in RTB / Вадим Антонюк (IPONWEB)Anti-fraud solutions in RTB / Вадим Антонюк (IPONWEB)
Anti-fraud solutions in RTB / Вадим Антонюк (IPONWEB)Ontico
 
Positive Hack Days 2011 - Russian Hackers
Positive Hack Days 2011 - Russian HackersPositive Hack Days 2011 - Russian Hackers
Positive Hack Days 2011 - Russian Hackersqqlan
 
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиExpolink
 
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...Clouds NN
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБAleksey Lukatskiy
 

Similaire à Особенности использования машинного обучения при защите от DDoS-атак (20)

Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обученияКак подготовиться к гигабитной DDoS-атаке при помощи машинного обучения
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения
 
Positive Hack Days
Positive Hack DaysPositive Hack Days
Positive Hack Days
 
01 Sachkov
01 Sachkov01 Sachkov
01 Sachkov
 
Attacks against machine learning algorithms
Attacks against machine learning algorithmsAttacks against machine learning algorithms
Attacks against machine learning algorithms
 
Омар Ганиев (Россия). Обзор атак на модели машинного обучения
Омар Ганиев (Россия). Обзор атак на модели машинного обученияОмар Ганиев (Россия). Обзор атак на модели машинного обучения
Омар Ганиев (Россия). Обзор атак на модели машинного обучения
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISA
 
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
 
Q3 d do_s_report_rus_lab_kasp квартальный отчёт (3-ий квартал) по DDoS
Q3 d do_s_report_rus_lab_kasp квартальный отчёт (3-ий квартал) по DDoS Q3 d do_s_report_rus_lab_kasp квартальный отчёт (3-ий квартал) по DDoS
Q3 d do_s_report_rus_lab_kasp квартальный отчёт (3-ий квартал) по DDoS
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
 
Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)
 
Полугодовой отчет Cisco по информационной безопасности 2015
Полугодовой отчет Cisco по информационной безопасности 2015Полугодовой отчет Cisco по информационной безопасности 2015
Полугодовой отчет Cisco по информационной безопасности 2015
 
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
 
Программы-вымогатели: многоуровневая защита для блокирования хакерских атак
Программы-вымогатели: многоуровневая защита для блокирования хакерских атакПрограммы-вымогатели: многоуровневая защита для блокирования хакерских атак
Программы-вымогатели: многоуровневая защита для блокирования хакерских атак
 
Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013
 
Anti-fraud solutions in RTB / Вадим Антонюк (IPONWEB)
Anti-fraud solutions in RTB / Вадим Антонюк (IPONWEB)Anti-fraud solutions in RTB / Вадим Антонюк (IPONWEB)
Anti-fraud solutions in RTB / Вадим Антонюк (IPONWEB)
 
Positive Hack Days 2011 - Russian Hackers
Positive Hack Days 2011 - Russian HackersPositive Hack Days 2011 - Russian Hackers
Positive Hack Days 2011 - Russian Hackers
 
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
 
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
 

Plus de Qrator Labs

Годовой отчет Qrator Labs об угрозах интернета 2017
Годовой отчет Qrator Labs об угрозах интернета 2017Годовой отчет Qrator Labs об угрозах интернета 2017
Годовой отчет Qrator Labs об угрозах интернета 2017Qrator Labs
 
Qrator Labs annual report 2017
Qrator Labs annual report 2017Qrator Labs annual report 2017
Qrator Labs annual report 2017Qrator Labs
 
Memcached amplification DDoS: a 2018 threat.
Memcached amplification DDoS: a 2018 threat. Memcached amplification DDoS: a 2018 threat.
Memcached amplification DDoS: a 2018 threat. Qrator Labs
 
DNS Survival Guide.
DNS Survival Guide.DNS Survival Guide.
DNS Survival Guide.Qrator Labs
 
BGP Flexibility and its Consequences.
BGP Flexibility and its Consequences. BGP Flexibility and its Consequences.
BGP Flexibility and its Consequences. Qrator Labs
 
BGP Route Leaks at Ripe74
BGP Route Leaks at Ripe74BGP Route Leaks at Ripe74
BGP Route Leaks at Ripe74Qrator Labs
 
IoT: реальная угроза или маркетинг?
IoT: реальная угроза или маркетинг?IoT: реальная угроза или маркетинг?
IoT: реальная угроза или маркетинг?Qrator Labs
 
Network Security in 2016
Network Security in 2016Network Security in 2016
Network Security in 2016Qrator Labs
 
Состояние сетевой безопасности в 2016 году
Состояние сетевой безопасности в 2016 году Состояние сетевой безопасности в 2016 году
Состояние сетевой безопасности в 2016 году Qrator Labs
 
Сколько стоит доступ в память, и что с этим делать
Сколько стоит доступ в память, и что с этим делатьСколько стоит доступ в память, и что с этим делать
Сколько стоит доступ в память, и что с этим делатьQrator Labs
 
Анализ количества посетителей на сайте [Считаем уникальные элементы]
Анализ количества посетителей на сайте [Считаем уникальные элементы]Анализ количества посетителей на сайте [Считаем уникальные элементы]
Анализ количества посетителей на сайте [Считаем уникальные элементы]Qrator Labs
 
Caution i pv6 is here
Caution i pv6 is hereCaution i pv6 is here
Caution i pv6 is hereQrator Labs
 
Масштабируя TLS
Масштабируя TLSМасштабируя TLS
Масштабируя TLSQrator Labs
 
ISP Border Definition
ISP Border DefinitionISP Border Definition
ISP Border DefinitionQrator Labs
 
DDoS Attacks in 2017: Beyond Packet Filtering
DDoS Attacks in 2017: Beyond Packet FilteringDDoS Attacks in 2017: Beyond Packet Filtering
DDoS Attacks in 2017: Beyond Packet FilteringQrator Labs
 
Internet Roads of Caucasus
Internet Roads of CaucasusInternet Roads of Caucasus
Internet Roads of CaucasusQrator Labs
 
Latency i pv4 vs ipv6
Latency i pv4 vs ipv6Latency i pv4 vs ipv6
Latency i pv4 vs ipv6Qrator Labs
 
Финансовый сектор. Аспекты информационной безопасности 2016
Финансовый сектор. Аспекты информационной безопасности 2016Финансовый сектор. Аспекты информационной безопасности 2016
Финансовый сектор. Аспекты информационной безопасности 2016Qrator Labs
 
White Paper. Эволюция DDoS-атак и средств противодействия данной угрозе
White Paper. Эволюция DDoS-атак и средств противодействия данной угрозеWhite Paper. Эволюция DDoS-атак и средств противодействия данной угрозе
White Paper. Эволюция DDoS-атак и средств противодействия данной угрозеQrator Labs
 
Тренды 2015 года в области интернет-безопасности в россии и в мире
Тренды 2015 года в области интернет-безопасности в россии и в миреТренды 2015 года в области интернет-безопасности в россии и в мире
Тренды 2015 года в области интернет-безопасности в россии и в миреQrator Labs
 

Plus de Qrator Labs (20)

Годовой отчет Qrator Labs об угрозах интернета 2017
Годовой отчет Qrator Labs об угрозах интернета 2017Годовой отчет Qrator Labs об угрозах интернета 2017
Годовой отчет Qrator Labs об угрозах интернета 2017
 
Qrator Labs annual report 2017
Qrator Labs annual report 2017Qrator Labs annual report 2017
Qrator Labs annual report 2017
 
Memcached amplification DDoS: a 2018 threat.
Memcached amplification DDoS: a 2018 threat. Memcached amplification DDoS: a 2018 threat.
Memcached amplification DDoS: a 2018 threat.
 
DNS Survival Guide.
DNS Survival Guide.DNS Survival Guide.
DNS Survival Guide.
 
BGP Flexibility and its Consequences.
BGP Flexibility and its Consequences. BGP Flexibility and its Consequences.
BGP Flexibility and its Consequences.
 
BGP Route Leaks at Ripe74
BGP Route Leaks at Ripe74BGP Route Leaks at Ripe74
BGP Route Leaks at Ripe74
 
IoT: реальная угроза или маркетинг?
IoT: реальная угроза или маркетинг?IoT: реальная угроза или маркетинг?
IoT: реальная угроза или маркетинг?
 
Network Security in 2016
Network Security in 2016Network Security in 2016
Network Security in 2016
 
Состояние сетевой безопасности в 2016 году
Состояние сетевой безопасности в 2016 году Состояние сетевой безопасности в 2016 году
Состояние сетевой безопасности в 2016 году
 
Сколько стоит доступ в память, и что с этим делать
Сколько стоит доступ в память, и что с этим делатьСколько стоит доступ в память, и что с этим делать
Сколько стоит доступ в память, и что с этим делать
 
Анализ количества посетителей на сайте [Считаем уникальные элементы]
Анализ количества посетителей на сайте [Считаем уникальные элементы]Анализ количества посетителей на сайте [Считаем уникальные элементы]
Анализ количества посетителей на сайте [Считаем уникальные элементы]
 
Caution i pv6 is here
Caution i pv6 is hereCaution i pv6 is here
Caution i pv6 is here
 
Масштабируя TLS
Масштабируя TLSМасштабируя TLS
Масштабируя TLS
 
ISP Border Definition
ISP Border DefinitionISP Border Definition
ISP Border Definition
 
DDoS Attacks in 2017: Beyond Packet Filtering
DDoS Attacks in 2017: Beyond Packet FilteringDDoS Attacks in 2017: Beyond Packet Filtering
DDoS Attacks in 2017: Beyond Packet Filtering
 
Internet Roads of Caucasus
Internet Roads of CaucasusInternet Roads of Caucasus
Internet Roads of Caucasus
 
Latency i pv4 vs ipv6
Latency i pv4 vs ipv6Latency i pv4 vs ipv6
Latency i pv4 vs ipv6
 
Финансовый сектор. Аспекты информационной безопасности 2016
Финансовый сектор. Аспекты информационной безопасности 2016Финансовый сектор. Аспекты информационной безопасности 2016
Финансовый сектор. Аспекты информационной безопасности 2016
 
White Paper. Эволюция DDoS-атак и средств противодействия данной угрозе
White Paper. Эволюция DDoS-атак и средств противодействия данной угрозеWhite Paper. Эволюция DDoS-атак и средств противодействия данной угрозе
White Paper. Эволюция DDoS-атак и средств противодействия данной угрозе
 
Тренды 2015 года в области интернет-безопасности в россии и в мире
Тренды 2015 года в области интернет-безопасности в россии и в миреТренды 2015 года в области интернет-безопасности в россии и в мире
Тренды 2015 года в области интернет-безопасности в россии и в мире
 

Особенности использования машинного обучения при защите от DDoS-атак

  • 1. Особенности использования машинного обучения при защите от DDOS-атак Константин Игнатов Qrator Labs 28.01.2016 @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 1 / 46
  • 2. Как вы узнаете, что ваш сайт атакуют?
  • 3.
  • 4. План 1 Процессы информационной безопасности Информационная безопасность Процесс DDoS mitigation 2 Machine learning Объяснимость и устойчивость к манипуляциям Что захочет сделать злоумышленник 3 Сбор данных Откуда брать данные для обучения? Чему учиться, что искать? 4 Примеры задач Предсказание нагрузки Поиск групп запросов @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 4 / 46
  • 5. План 1 Процессы информационной безопасности Информационная безопасность Процесс DDoS mitigation 2 Machine learning Объяснимость и устойчивость к манипуляциям Что захочет сделать злоумышленник 3 Сбор данных Откуда брать данные для обучения? Чему учиться, что искать? 4 Примеры задач Предсказание нагрузки Поиск групп запросов @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 5 / 46
  • 6. Обеспечение доступности Процесс противодействия злоумышленнику наша цель — 100% доступность цель злоумышленника — наш даунтайм Основные принципы: "мыслить как преступник" спрашивать (не только) себя: "что здесь может пойти не так?" @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 6 / 46
  • 7. Обеспечение доступности Процесс противодействия злоумышленнику наша цель — 100% доступность цель злоумышленника — наш даунтайм Основные принципы: "мыслить как преступник" спрашивать (не только) себя: "что здесь может пойти не так?" @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 6 / 46
  • 8. Если что-то плохое может произойти, оно произойдёт... по чьей-то злой воле
  • 9. План 1 Процессы информационной безопасности Информационная безопасность Процесс DDoS mitigation 2 Machine learning Объяснимость и устойчивость к манипуляциям Что захочет сделать злоумышленник 3 Сбор данных Откуда брать данные для обучения? Чему учиться, что искать? 4 Примеры задач Предсказание нагрузки Поиск групп запросов @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 8 / 46
  • 10. Защищаем ограниченные ресурсы DDoS атака, как правило, направлена на их исчерпывание Требуется совместная работа многих отделов сетевые инженеры, архитекторы: канал разработчики приложения: память, CPU, IOPS специалисты по ИБ: защищаемый IP @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 9 / 46
  • 12. План 1 Процессы информационной безопасности Информационная безопасность Процесс DDoS mitigation 2 Machine learning Объяснимость и устойчивость к манипуляциям Что захочет сделать злоумышленник 3 Сбор данных Откуда брать данные для обучения? Чему учиться, что искать? 4 Примеры задач Предсказание нагрузки Поиск групп запросов @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 11 / 46
  • 13. Machine learning для автоматизации Machine learning — это просто набор алгоритмов Два этапа работы алгоритмов: подготовка (настройка, выбор модели, обучение) предсказание Три типа алгоритмов: с обратной связью от среды теория управления (control systems) с обратной связью от человека обучение с учителем (supervised learning) с обратной связью от данных обучение без учителя (unsupervised learning) @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 12 / 46
  • 14.
  • 15. Требования к алгоритмам Алгоритмы дают оценку, например, матожидания E [ω|X] ω — случайная величина (что мы хотим «предсказать») X — известные данные Мы хотим: На первом этапе работы: игнорировать аномалии при обучении (в обратной связи) На втором: иметь возможность понять, почему было принято именно такое решение @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 14 / 46
  • 16. План 1 Процессы информационной безопасности Информационная безопасность Процесс DDoS mitigation 2 Machine learning Объяснимость и устойчивость к манипуляциям Что захочет сделать злоумышленник 3 Сбор данных Откуда брать данные для обучения? Чему учиться, что искать? 4 Примеры задач Предсказание нагрузки Поиск групп запросов @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 15 / 46
  • 17. Кто учит машину? Данные для обучения = поведение пользователей То есть частично контролируемы злоумышленником И тут у злоумышленника появляется одна идея... научить наш алгоритм «вместо нас» Это плохо. И может случиться. Что делать? @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 16 / 46
  • 18. Кто учит машину? Данные для обучения = поведение пользователей То есть частично контролируемы злоумышленником И тут у злоумышленника появляется одна идея... научить наш алгоритм «вместо нас» Это плохо. И может случиться. Что делать? @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 16 / 46
  • 19. Кто учит машину? Данные для обучения = поведение пользователей То есть частично контролируемы злоумышленником И тут у злоумышленника появляется одна идея... научить наш алгоритм «вместо нас» Это плохо. И может случиться. Что делать? @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 16 / 46
  • 20. Кто учит машину? Данные для обучения = поведение пользователей То есть частично контролируемы злоумышленником И тут у злоумышленника появляется одна идея... научить наш алгоритм «вместо нас» Это плохо. И может случиться. Что делать? @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 16 / 46
  • 21. 1.5 2.0 2.5 3.0 3.5 4.0 lg1p(PSend) Oct 23 2015 Oct 24 2015 Oct 25 2015 Oct 26 2015 Oct 27 2015 Oct 28 2015 Oct 29 2015 time
  • 22. Робастная оценка Робастность — мера того, насколько просто повлиять на предсказываемую оценку Breaking point — количество образцов в обучающей выборке, достаточное для того, чтобы исказить оценку Чем выше Breaking Point, тем сложнее злоумышленнику повлиять на работу алгоритма ML Что означает «сложнее»? @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 18 / 46
  • 23. Деталь, которая не ломается, отличается от детали, которая ломается, тем, что, если деталь, которая не ломается, сломается, то её нельзя будет починить.
  • 24. Объяснимость Помогает «приглядывать» за автоматизированным процессом. Как иначе понять, что что-то пошло не так? Помогает при тестировании и отладке. Помогает при расследовании инцидентов. @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 20 / 46
  • 26. План 1 Процессы информационной безопасности Информационная безопасность Процесс DDoS mitigation 2 Machine learning Объяснимость и устойчивость к манипуляциям Что захочет сделать злоумышленник 3 Сбор данных Откуда брать данные для обучения? Чему учиться, что искать? 4 Примеры задач Предсказание нагрузки Поиск групп запросов @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 22 / 46
  • 27. Что хранить Необходимо (и легко) Данные о состояния сервера («телеметрию»): статистика соединений объём трафика свободная память загрузка ЦПУ прочие замеры исчерпываемых ресурсов Полезно (но тяжело) Логи желательно, подробные в основном, access.log в более-менее удобном для машины формате @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 23 / 46
  • 28. Что хранить Необходимо (и легко) Данные о состояния сервера («телеметрию»): статистика соединений объём трафика свободная память загрузка ЦПУ прочие замеры исчерпываемых ресурсов Полезно (но тяжело) Логи желательно, подробные в основном, access.log в более-менее удобном для машины формате @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 23 / 46
  • 29. Логи Нужен хотя бы небольшой образец логов «чистого поведения» Нужно иметь возможность сохранить хотя бы часть логов за время атаки Что здесь может пойти не так? Можно хранить только подмножество логов Важно: правильно организовать выборку например, можно хранить только запросы с MurmurHash(IP) mod 1024 ∈ B, где B ⊂ 0, 1023 @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 24 / 46
  • 30. Логи Нужен хотя бы небольшой образец логов «чистого поведения» Нужно иметь возможность сохранить хотя бы часть логов за время атаки Что здесь может пойти не так? Можно хранить только подмножество логов Важно: правильно организовать выборку например, можно хранить только запросы с MurmurHash(IP) mod 1024 ∈ B, где B ⊂ 0, 1023 @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 24 / 46
  • 31. Логи Нужен хотя бы небольшой образец логов «чистого поведения» Нужно иметь возможность сохранить хотя бы часть логов за время атаки Что здесь может пойти не так? Можно хранить только подмножество логов Важно: правильно организовать выборку например, можно хранить только запросы с MurmurHash(IP) mod 1024 ∈ B, где B ⊂ 0, 1023 @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 24 / 46
  • 32. Логи Нужен хотя бы небольшой образец логов «чистого поведения» Нужно иметь возможность сохранить хотя бы часть логов за время атаки Что здесь может пойти не так? Можно хранить только подмножество логов Важно: правильно организовать выборку например, можно хранить только запросы с MurmurHash(IP) mod 1024 ∈ B, где B ⊂ 0, 1023 @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 24 / 46
  • 33. План 1 Процессы информационной безопасности Информационная безопасность Процесс DDoS mitigation 2 Machine learning Объяснимость и устойчивость к манипуляциям Что захочет сделать злоумышленник 3 Сбор данных Откуда брать данные для обучения? Чему учиться, что искать? 4 Примеры задач Предсказание нагрузки Поиск групп запросов @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 25 / 46
  • 34. Что даёт сбор данных? «Телеметрия» Фиксируем, когда серверу «плохо» Прогнозируем проблемы Логи Чем отличается зловредное поведение, от «доброкачественного»? Какая группа пользователей вызывает основную нагрузку? @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 26 / 46
  • 35. Что даёт сбор данных? «Телеметрия» Фиксируем, когда серверу «плохо» Прогнозируем проблемы Логи Чем отличается зловредное поведение, от «доброкачественного»? Какая группа пользователей вызывает основную нагрузку? @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 26 / 46
  • 36. План 1 Процессы информационной безопасности Информационная безопасность Процесс DDoS mitigation 2 Machine learning Объяснимость и устойчивость к манипуляциям Что захочет сделать злоумышленник 3 Сбор данных Откуда брать данные для обучения? Чему учиться, что искать? 4 Примеры задач Предсказание нагрузки Поиск групп запросов @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 27 / 46
  • 37. Цепочки задач 1 Какая ожидается нагрузка? 1 А какая бывает? 2 На что похоже то, что наблюдаем сейчас? 2 Нужно ли что-то делать? 1 Какое количество запросов приводит к сбоям сервера? 2 Сколько нужно «зарезать» запросов, чтобы стало легче жить? 3 Нужно ли заблокировать часть легитимных запросов? 3 Какие запросы более важны? @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 28 / 46
  • 38. Исходные данные @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 29 / 46
  • 39. Общие замечания Использование абсолютных отклонений (L1) Робастная нормализация Нелинейные обратимые преобразования (sigmoid) "Тяжёлые хвосты", когда нужно предположение о распределении Сэмплирование уменьшает вероятность попадания Как правило, можно принять: В алгоритмах, основанных на деревьях, breaking point<минимальный размер листка При кластеризации breaking point<минимальный размер кластера @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 30 / 46
  • 40. Подготовка @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 31 / 46
  • 41.
  • 42.
  • 43. Кластеризация @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 34 / 46
  • 44. Классификация + регрессия @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 35 / 46
  • 45. План 1 Процессы информационной безопасности Информационная безопасность Процесс DDoS mitigation 2 Machine learning Объяснимость и устойчивость к манипуляциям Что захочет сделать злоумышленник 3 Сбор данных Откуда брать данные для обучения? Чему учиться, что искать? 4 Примеры задач Предсказание нагрузки Поиск групп запросов @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 36 / 46
  • 46. Примеры признаков запросов/сессий Пользуется ли посетитель последней версией браузера? Читает ли на там же языке, который используется в его системной локали? Загружает ли статику? Сколько раз запросил favicon.ico? Заходил ли на страницу /buy? @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 37 / 46
  • 47. Pattern discovery Как выделить признаки запросов/сессий Дано: всплеск на 50k запросов. Преобразуем запрос в набор элементарных признаков @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 38 / 46
  • 48. in_agent:Mozilla/,in_ref:http:/,in_agent: AppleWebKit/,in_agent: like ,in_ref:/www.example.com/,num_agents:1,method:GET,in_agent:Gecko),in_agent:Safari/,in_agent: Chrome/,in_agent:NT ,in_agent:5.0 ,in_agent:537.36 ,in_agent:(KHTML,,code:200 55118 in_agent:Mozilla/,in_ref:http:/,in_agent: AppleWebKit/,in_agent: like ,in_agent:(Windows ,method:GET,in_agent:Gecko),in_agent:Safari/,in_agent: Chrome/,in_agent:NT ,in_agent:5.0 ,in_agent:537.36 ,in_agent: (KHTML,,in_agent:WOW64),in_agent:537.36 54964 in_agent:Mozilla/,in_agent: AppleWebKit/,in_agent: like ,in_agent:(Windows ,num_agents:1,in_agent:Gecko),seen_ref:False,in_agent:Safari/,in_agent: Chrome/,in_agent:NT ,in_agent:5.0 ,in_agent:537.36 ,in_agent:(KHTML,,code:200,in_agent:537.36 54841 in_agent:Mozilla/,in_agent: AppleWebKit/,in_agent: like ,in_agent:(Windows ,in_agent:39.0.2171.99 ,method:GET,in_agent:Gecko),in_agent:Safari/,in_agent: Chrome/,in_agent:NT ,in_agent:5.0 ,in_agent:537.36 ,in_agent: (KHTML,,code:200,in_agent:537.36 54188 in_agent:Mozilla/,in_ref:http:/,in_agent: AppleWebKit/,in_agent: like ,in_agent:(Windows ,in_agent:39.0.2171.99 ,in_agent:Gecko),in_agent:Safari/,in_agent: Chrome/,in_agent:NT ,in_agent:5.0 ,in_agent:537.36 ,in_agent: (KHTML,,code:200,in_agent:537.36 53990 in_agent:Mozilla/,in_ref:http:/,in_agent: AppleWebKit/,in_agent: like ,in_ref:/www.example.com/,num_agents:1,method:GET,in_agent:Gecko),in_agent:Safari/,in_agent: Chrome/,in_agent:5.0 ,in_agent:537.36 ,in_agent:(KHTML,,code:200,in_agent:537.36 53949 in_agent:Mozilla/,in_agent:6.1; ,in_agent: AppleWebKit/,in_agent: like ,in_agent:(Windows ,num_agents:1,in_agent:Gecko),in_agent:Safari/,in_agent: Chrome/,in_agent:NT ,in_agent:5.0 ,in_agent:537.36 ,in_agent: (KHTML,,code:200,in_agent:WOW64) 53896 in_agent:Mozilla/,in_ref:http:/,in_agent: AppleWebKit/,in_agent: like ,in_agent:(Windows ,method:GET,in_agent:Gecko),seen_ref:True,in_agent:Safari/,in_agent: Chrome/,in_agent:NT ,in_agent:5.0 ,in_agent:537.36 ,in_agent:(KHTML,,in_agent:537.36 53771 in_agent:Mozilla/,in_ref:http:/,in_agent: AppleWebKit/,in_agent: like ,in_agent:(Windows ,in_ref:/www.example.com/,in_agent:Gecko),seen_ref:True,in_agent:Safari/,in_agent: Chrome/,in_agent:NT ,in_agent:5.0 ,in_agent:537.36 ,in_agent:(KHTML,,code:200 53297 in_agent:Mozilla/,in_agent: AppleWebKit/,in_agent: like ,in_agent:(Windows ,method:GET,in_agent:Gecko),seen_ref:True,in_agent:Safari/,in_agent: Chrome/,in_agent:NT ,in_agent:5.0 ,in_agent:537.36 ,in agent:(KHTML,,code:200,in agent:537.36 53193
  • 49. Pattern discovery Получаем особый тип БД, в которой можно искать: подмножества (элементарных признаков), подпоследовательности (запросов), подграфы (переходов), удовлетворяющие заданным условиям. @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 40 / 46
  • 50. Итого: готовиться нужно заранее Защита как процесс Нужно время на поиск и/или подготовку специалистов Нужно время на сбор данных Нужно время на ручной анализ, выбор и настройку алгоритмов Нужно время на обучение алгоритмов К размышлению: Документирование процесса защиты. Связь с бизнес-аналитикой. Стандартизация собираемой информации. @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 41 / 46
  • 52. Почему нельзя просто... Full browser stack Completely Automated Public Turing test to tell Computers and Humans Apart простые — взломаны сложные — вызывают боль у пользователей automated humans @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 43 / 46
  • 53. Availability network Подключение по DNS клиент получает IP, пользователи используют его, reverse-proxy перенаправляет чистые запросы на старый адрес самый простой и быстрый, но конфиденциальность защищаемого IP нужно беречь как зеницу ока Выделенный VPN канал BGP анонс @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 44 / 46
  • 54. Define: робастный Медиана MAD (медиана абсолютного отклонения от медианы) Квантиль QR (размах квантилей) Распределение Стьюдента @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 45 / 46
  • 55. @podshumok (Qrator Labs) Machine learning for DDoS mitigation conf.1c-bitrix.ru/winter2016 46 / 46