RU2787078C1 - Method for detection of anomalies in operation of highly loaded network of automated telecommunication system - Google Patents
Method for detection of anomalies in operation of highly loaded network of automated telecommunication system Download PDFInfo
- Publication number
- RU2787078C1 RU2787078C1 RU2021128483A RU2021128483A RU2787078C1 RU 2787078 C1 RU2787078 C1 RU 2787078C1 RU 2021128483 A RU2021128483 A RU 2021128483A RU 2021128483 A RU2021128483 A RU 2021128483A RU 2787078 C1 RU2787078 C1 RU 2787078C1
- Authority
- RU
- Russia
- Prior art keywords
- network
- gram
- frequency
- node
- address
- Prior art date
Links
- 238000001514 detection method Methods 0.000 title abstract description 12
- 230000002159 abnormal effect Effects 0.000 claims abstract description 15
- 238000000034 method Methods 0.000 claims description 5
- 230000000694 effects Effects 0.000 abstract description 4
- 238000004458 analytical method Methods 0.000 abstract description 3
- 230000015572 biosynthetic process Effects 0.000 abstract description 3
- 238000005755 formation reaction Methods 0.000 abstract description 3
- 238000002955 isolation Methods 0.000 abstract 1
- 239000000126 substance Substances 0.000 abstract 1
- 239000003795 chemical substances by application Substances 0.000 description 7
- 230000000875 corresponding Effects 0.000 description 6
- 230000001537 neural Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 3
- 230000014509 gene expression Effects 0.000 description 3
- 238000005259 measurement Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 210000004544 DC2 Anatomy 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 2
- 230000002547 anomalous Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000002530 ischemic preconditioning Effects 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 210000004205 output neuron Anatomy 0.000 description 2
- 239000008001 CAPS buffer Substances 0.000 description 1
- 101700067596 NOP58 Proteins 0.000 description 1
- 102100010450 RBMS1 Human genes 0.000 description 1
- 101700063977 RBMS1 Proteins 0.000 description 1
- 229920002877 acrylic styrene acrylonitrile Polymers 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000000116 mitigating Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006011 modification reaction Methods 0.000 description 1
- 238000004886 process control Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Images
Abstract
Description
Изобретение относится к средствам мониторинга безопасности, а именно к имеющим компьютерную реализацию способам выявления аномалий в работе высоконагруженной сети автоматизированной телекоммуникационной системы и может быть применено в сетевых устройствах телекоммуникационных систем.The invention relates to security monitoring tools, namely, computer-based methods for detecting anomalies in the operation of a highly loaded network of an automated telecommunications system and can be applied in network devices of telecommunication systems.
Известен способ обнаружения компьютерных атак (1 - Патент РФ №2683631, МПК: (2019.02) G06F 21/55, G06N 3/02. Способ обнаружения компьютерных атак. Патентообладатели - ФГКВОУВО Военная академия связи МО РФ, ФГБУН Институт проблем транспорта РАН. Дементьев В.Е., Киреев С.Х., Коцыняк М.А., Лаута О.С., Малыгин И.Г. Публ. - 29.03.2019 г.), в котором устанавливают и запоминают пороговые значения параметров, необходимое число определяемых типов атак, для которых задают количество обучающих и контрольных примеров для нейронной сети, подготавливают характеристические векторы для каждого типа атаки, определяют виды протоколов и информативные параметры для пакетов данных. Затем задают структуру нейронной сети, включающую входные, скрытые и выходные нейроны, и проводят ее обучение с использованием предварительно подготовленных примеров по достижении требуемой достоверности распознавания. При наличии компьютерной атаки определяют одиночный или комбинированный тип атаки по сочетанию рассчитанных значений параметров на выходных нейронах нейронной сети.A known method for detecting computer attacks (1 - RF Patent No. 2683631, IPC: (2019.02) G06F 21/55, G06N 3/02. Method for detecting computer attacks. Patent holders - FGKVOUVO Military Academy of Communications of the Ministry of Defense of the Russian Federation, FGBUN Institute of Transport Problems of the Russian Academy of Sciences. Dementiev V E., Kireev S.Kh., Kotsynyak M.A., Lauta O.S., Malygin I.G. Publication - 03/29/2019), in which the threshold values of the parameters, the required number of defined types are set and stored attacks, for which the number of training and test cases for the neural network is set, characteristic vectors are prepared for each type of attack, protocol types and informative parameters for data packets are determined. Then the structure of the neural network is set, including input, hidden and output neurons, and its training is carried out using pre-prepared examples upon reaching the required recognition reliability. In the presence of a computer attack, a single or combined type of attack is determined by a combination of calculated parameter values on the output neurons of the neural network.
Способ можно применить для выявления аномалий в работе сети автоматизированной телекоммуникационной системы.The method can be used to detect anomalies in the network of an automated telecommunications system.
Недостатком способа в этом случае является невозможность определения неизвестной аномалии, которая не была распознана на стадии обучения нейронной сети.The disadvantage of this method in this case is the impossibility of determining an unknown anomaly that was not recognized at the stage of neural network training.
Также известен способ обнаружения аномального поведения устройства в компьютерной системе (2 - патент США № US 20170230392 A1, G06F 21/55. Anomaly alert system for cyber thread detection / Tom Dean, Jack Stockdale; Pub 30.06.2020). Этот способ включает в себя выявление вредоносной активности и представление результатов выявления аномалий для пользователя системы. Выявление вредоносной активности включает в себя сбор метрик сетевого трафика, построения на его основе нормального профиля активности и анализ поведения каждого устройства сети с целью выявления аномалии в его поведении. При сборе метрик сетевого трафика в качестве метрик используют непосредственно измеряемые метрики сети передачи данных (например, количество пакетов, полученных и отправленных сетевым устройством, объем передаваемых и получаемых данных), а также вычисляемые метрики, в качестве которых используют результаты работы классических алгоритмов выявления аномалий во входных данных (например, метод опорных векторов, локальный уровень выброса). В результате для каждого сетевого устройства формируют набор присвоенных ему метрик с историей их измерений. Затем применяют метод пиков над порогами (англ. - Peak Over Threshold, РОТ) для выявления аномальных значений текущего замера наблюдаемого параметра, путем вычисления вероятности и сравнения этой вероятности с некоторым пороговым значением. Если наблюдаемое значение вероятности ниже порога, то фиксируют аномалию в работе сети. Использование метода РОТ позволяет также автоматически менять пороговые значения для параметров сетевых устройств, учитывая историю измерения параметров. Это позволяет проводить модификацию моделей распознавания аномалий, на основе фиксированных данных без участия оператора. Представление результатов выявления аномалий для пользователя системы включает в себя ранжирование наблюдаемых событий в сети по степени влияния на аномалию в работе сетевого устройства, и вывод пользователю тех событий, вклад которых в обнаружение аномалии превышает пороговое значение. Этот способ можно применить для выявления аномалий в работе сети автоматизированной телекоммуникационной системы.Also known is a method for detecting anomalous behavior of a device in a computer system (2 - US patent No. US 20170230392 A1, G06F 21/55. Anomaly alert system for cyber thread detection / Tom Dean, Jack Stockdale;
Недостатком способа в этом случае является ограниченный перечень метаданных, по которому выявляются аномалии, что приводит к повышению вероятности возникновения ошибок первого и второго рода.The disadvantage of the method in this case is the limited list of metadata, which reveals anomalies, which leads to an increase in the likelihood of errors of the first and second kind.
Известен способ обнаружения кибер-атак в автоматизированных системах управления технологическими процессами (3 - патент США № US 10015188, H04L 63/1441. Method for mitigation of cyber attacks on industrial control systems / Omer Schneider, Nir Giller; Pub 03.07.2018). В способе описаны два режима: обучения и защиты.A known method for detecting cyber attacks in automated process control systems (3 - US patent No. US 10015188, H04L 63/1441. Method for mitigation of cyber attacks on industrial control systems / Omer Schneider, Nir Giller; Pub 03.07.2018). The method describes two modes: training and protection.
В режиме обучения перехватывают сетевые пакеты, являющиеся сетевым трафиком промышленных систем автоматизации и управления (ПСАиУ), и формируют для каждого перехваченного пакета характеристический вектор на основе параметров такого пакета. В качестве параметров пакета используют поля протокола, которые могут быть выявлены методом глубокой инспекции пакетов (англ. - Deep Packet Inspection, DPI), метаданные пакета (частота, время, источник и приемники пр.), контекстно-зависимую информацию, связанную с предшествующими перехваченными пакетами. На основе характеристического вектора пакета вычисляют новое наблюдаемое состояние ПСАиУ, при этом модель защищаемой ПСАиУ рассматривают в качестве конечного автомата. Результатом вычисления является выявление соответствия нового состояния одному из числа ранее наблюдаемых состояний или вывод о том, что новое состояние ранее не было выявлено и зафиксировано. В последнем случае для конечного автомата создают еще одно состояние и ребро, соответствующее переходу системы из предшествующего состояния в новое. Вес для такого ребра принимают за единицу. Если новое состояние ранее было зафиксировано, то для ребра, соответствующему переходу из предшествующего состояния в новое, увеличивают вес на единицу. Режим обучения завершается, когда для конечного автомата ПСАиУ не происходит создания новых ребер и состояний.In the learning mode, network packets are intercepted, which are network traffic of industrial automation and control systems (APAC), and a characteristic vector is formed for each intercepted packet based on the parameters of such a packet. As packet parameters, protocol fields are used that can be detected by the Deep Packet Inspection (DPI) method, packet metadata (frequency, time, source and receivers, etc.), context-sensitive information associated with previous intercepted packages. Based on the characteristic vector of the package, a new observable state of the APAC is calculated, while the model of the protected APAC is considered as a finite automaton. The result of the calculation is the identification of the correspondence of the new state to one of the previously observed states or the conclusion that the new state was not previously detected and fixed. In the latter case, one more state and an edge are created for the finite automaton, corresponding to the transition of the system from the previous state to the new one. The weight for such an edge is taken as unity. If the new state was previously fixed, then for the edge corresponding to the transition from the previous state to the new one, the weight is increased by one. The learning mode is terminated when no new edges and states are created for the CAPS state machine.
В режиме защиты перехватывают сетевые пакеты ПСАиУ и формируют для каждого из них характеристический вектор, используя параметры пакета аналогичным образом, как и в режиме обучения. На основе характеристического вектора вычисляют новое наблюдаемое состояние ПСАиУ, в результате вычисления определяют ребро конечного автомата, соединяющее предыдущее и текущее состояние ПСАиУ, а также вес этого ребра. Для ребра определяют вероятность перехода из предыдущего в текущее состояние, при этом принимают, что чем выше вес ребра, тем выше вероятность перехода. Дополнительно вычисляют вероятность перехода для цепочки из нескольких предыдущих состояний. Значения полученных вероятностей сравнивают с установленными в режиме обучения граничными значениями. Если вычисленное значение вероятности перехода ниже соответствующего граничного значения, то оповещают оператора о выявлении аномалии в работе, защищаемой ПСАиУ.In the protection mode, network packets are intercepted and a characteristic vector is formed for each of them, using the packet parameters in the same way as in the learning mode. On the basis of the characteristic vector, a new observed state of the PSAA is calculated, as a result of the calculation, an edge of the finite automaton connecting the previous and current state of the PSAA, as well as the weight of this edge, is determined. For an edge, the probability of transition from the previous to the current state is determined, while it is assumed that the higher the weight of the edge, the higher the transition probability. Additionally, the transition probability is calculated for a chain of several previous states. The values of the obtained probabilities are compared with the boundary values set in the learning mode. If the calculated value of the transition probability is below the corresponding limit value, then the operator is notified of the detection of an anomaly in the work protected by the ASA&C.
Недостатком способа является непредсказуемо длительное время обучения и высокая вероятность возникновения ошибок второго рода (ложноотрицательных срабатываний), что обуславливает невозможность его применения в случаях, когда сеть автоматизированной системы является высоконагруженной.The disadvantage of this method is an unpredictably long training time and a high probability of occurrence of errors of the second kind (false negative positives), which makes it impossible to use it in cases where the network of the automated system is highly loaded.
Известен способ выявления аномалий в работе сети автоматизированной системы (4 - Патент РФ №2738460, МПК: H04L 1/00 (2006.01), G06F 21/00 (2013.01). Способ выявления аномалий в работе сети автоматизированной системы. Патентообладатель - ООО «Сайберлимфа». Антипинский А.С., Домуховский Н.А., Комаров Д.Е., Синадский А.Н. Публ. - 14.12.2020 г.), принятый за прототип. Для его реализации при применении в высоконагруженной сети автоматизированной телекоммуникационной системы:A known method for detecting anomalies in the operation of an automated system network (4 - Patent of the Russian Federation No. 2738460, IPC: H04L 1/00 (2006.01), G06F 21/00 (2013.01). Antipinsky A.S., Domukhovsky N.A., Komarov D.E., Sinadsky A.N. Publication - 12/14/2020), taken as a prototype. For its implementation when used in a highly loaded network of an automated telecommunications system:
- принимают перехваченный в сети автоматизированной телекоммуникационной системы сетевой пакет, выявляют в нем адресные поля и поля данных на основе правил разбора сетевого пакета, при этом адресные поля пакета включают адрес и интерфейс по меньшей мере одного узла-источника и адрес, и интерфейс по меньшей мере одного узла-получателя;- a network packet intercepted in the network of an automated telecommunications system is received, address fields and data fields are detected in it based on the network packet parsing rules, while the address fields of the packet include the address and interface of at least one source node and the address and interface of at least one destination node;
- выявляют адрес и интерфейс узла-отправителя и адрес, и интерфейс узла-получателя на основе поиска по каталогу интерфейсов сетевых узлов сети автоматизированной телекоммуникационной системы для выявленной пары "узел-источник - узел-получатель" находят запись в словаре сигналов, причем запись словаря сигналов включает адреса и интерфейсы этих узлов и поля данных принятого сетевого пакета;- the address and interface of the sender node and the address and interface of the recipient node are identified based on the search in the catalog of interfaces of network nodes of the network of the automated telecommunication system for the identified pair "source node - destination node" find an entry in the signal dictionary, and the entry in the signal dictionary includes the addresses and interfaces of these nodes and the data fields of the received network packet;
- выявляют реакцию узла-получателя на выявленную запись словаря сигналов и сопоставляют эту реакцию с ожидаемой реакцией на эту запись, заложенную для узла-получателя в соответствующем для него агенте из многоагентной модели сети автоматизированной телекоммуникационной системы;- detecting the reaction of the recipient node to the detected entry of the signal dictionary and comparing this reaction with the expected reaction to this entry, set for the recipient node in the agent corresponding to it from the multi-agent network model of the automated telecommunications system;
- возвращают пользователю карточку аномалии при этом карточка аномалии включает в себя сведения, включающие по меньшей мере один из видов сведений, выбранных из группы: автоматически сформированные правила разбора сетевого пакета, структура которого не была известна и для которого не были выявлены адресные поля и поля данных; адрес и/или интерфейс узла-источника и/или узла-получателя, не найденные в каталоге интерфейсов сетевых узлов сети автоматизированной телекоммуникационной системы; отклонение между наблюдаемой и ожидаемой реакцией на запись словаря сигналов в случае выявления такого отклонения при заданном значении погрешности для отклонения;- the anomaly card is returned to the user, while the anomaly card includes information that includes at least one of the types of information selected from the group: automatically generated rules for parsing a network packet, the structure of which was not known and for which address fields and data fields were not detected ; address and/or interface of the source node and/or the destination node not found in the catalog of interfaces of the network nodes of the network of the automated telecommunications system; the deviation between the observed and expected response to the entry of the signal dictionary in the event that such a deviation is detected for a given error value for the deviation;
- причем многоагентная модель сети автоматизированной телекоммуникационной системы состоит из соответствующих узлам сети автоматизированной телекоммуникационной системы программных агентов, для которых определена их ожидаемая реакция на выходе при поступлении на их вход записи словаря сигналов.- moreover, the multi-agent network model of the automated telecommunications system consists of software agents corresponding to the nodes of the network of the automated telecommunications system, for which their expected response at the output is determined when a signal dictionary entry is received at their input.
Способ-прототип позволяет выявлять аномалии в работе сети автоматизированной телекоммуникационной системы на основе многоагентной модели сети.The prototype method allows you to detect anomalies in the network of an automated telecommunications system based on a multi-agent network model.
Недостатком способа-прототипа является невозможность его применения в случаях, когда сеть автоматизированной телекоммуникационной системы является высоконагруженной, поскольку применение многоагентной модели сети автоматизированной телекоммуникационной системы, состоящей из соответствующих узлам сети автоматизированной телекоммуникационной системы программных агентов, для выявления ожидаемой реакции на выходе для каждой пары "узел-источник узел-получатель" в принимаемом трафике, требует больших вычислительных ресурсов.The disadvantage of the prototype method is the impossibility of its application in cases where the network of an automated telecommunications system is highly loaded, since the use of a multi-agent model of the network of an automated telecommunications system, consisting of software agents corresponding to the nodes of the network of an automated telecommunications system, to identify the expected response at the output for each pair of "node -source-destination node" in the received traffic requires large computing resources.
Технической проблемой является отсутствие технических средств выявления аномалий в работе высоконагруженной сети автоматизированной телекоммуникационной системы.The technical problem is the lack of technical means for detecting anomalies in the operation of a highly loaded network of an automated telecommunications system.
Для решения технической проблемы предлагается способ выявления аномалий в работе высоконагруженной сети автоматизированной телекоммуникационной системы, при котором принимают перехваченный в сети автоматизированной телекоммуникационной системы сетевой пакет, выявляют в нем адресные поля и поля данных на основе правил разбора сетевого пакета, при этом адресные поля пакета включают адрес и интерфейс по меньшей мере одного узла-источника и адрес, и интерфейс по меньшей мере одного узла-получателя, выявляют адрес и интерфейс узла-отправителя и адрес, и интерфейс узла-получателя на основе поиска по каталогу интерфейсов сетевых узлов сети автоматизированной телекоммуникационной системы, для выявленной пары "узел-источник - узел-получатель" находят запись в словаре сигналов, причем запись словаря сигналов включает адреса и интерфейсы этих узлов и поля данных принятого сетевого пакета, возвращают пользователю карточку аномалии, при этом карточка аномалии включает в себя сведения, включающие по меньшей мере один из видов сведений, выбранных из группы: адрес и/или интерфейс узла-источника и/или узла-получателя.To solve a technical problem, a method is proposed for detecting anomalies in the operation of a highly loaded network of an automated telecommunications system, in which a network packet intercepted in the network of an automated telecommunications system is received, address fields and data fields are identified in it based on the rules for parsing a network packet, while the address fields of the packet include the address and the interface of at least one source node and the address, and the interface of at least one recipient node, identify the address and interface of the sender node and the address and interface of the destination node based on a search in the catalog of interfaces of network nodes of the network of an automated telecommunication system, for the identified pair "source node - destination node", an entry is found in the signal dictionary, and the signal dictionary entry includes the addresses and interfaces of these nodes and the data fields of the received network packet, the anomaly card is returned to the user, while the anomaly card includes information including on at least one of the types of information selected from the group: the address and/or interface of the source node and/or the destination node.
Согласно изобретению, дополнительно на основе приема и обработки сетевого трафика формируют словарь сигналов эталонных частотных N-граммных портретов нормального и/или аномального сетевого трафика для каждой допустимой пары узлов сети автоматизированной телекоммуникационной системы, в процессе приема сетевых пакетов и выявления адресов и интерфейсов накапливают статистику по сетевым пакетам, после чего формируют на основе обработки накопленных сетевых пакетов текущий частотный N-граммный портрет сетевого трафика пары «узел-отправитель» - «узел-получатель», на основе сопоставления сформированного частотного портрета с эталонными частотными N-граммными портретами сетевого трафика из словаря сигналов формируют множество характеристик схожести, сравнивают их с пороговым значением, при возвращении пользователю карточки аномалии в нее включают множество характеристик схожести сформированного частотного N-граммного портрета с эталонными частотными N-граммными портретами сетевого трафика узлов сети автоматизированной телекоммуникационной системы, после чего предоставляют пользователю возможность отметки сформированного частотного N-граммного портрета как нормального или аномального, добавляют сформированный частотный N-граммный портрет сетевого трафика в словарь сигналов эталонных частотных N-граммных портретов с карточкой аномалии.According to the invention, additionally, on the basis of receiving and processing network traffic, a signal dictionary of reference N-gram frequency portraits of normal and/or abnormal network traffic is formed for each allowable pair of network nodes of an automated telecommunications system, in the process of receiving network packets and identifying addresses and interfaces, statistics are accumulated on network packets, after which, based on the processing of the accumulated network packets, the current frequency N-gram network traffic portrait of the "sender node" - "receiver node" pair is formed based on a comparison of the generated frequency portrait with reference frequency N-gram network traffic portraits from the dictionary signals form a set of similarity characteristics, compare them with a threshold value, when the anomaly card is returned to the user, it includes a set of similarity characteristics of the generated frequency N-gram portrait with the reference frequency N-gram portraits of network traffic nodes networks of an automated telecommunication system, after which they provide the user with the opportunity to mark the generated frequency N-gram pattern as normal or abnormal, add the generated frequency N-gram pattern of network traffic to the signal dictionary of reference N-gram frequency patterns with an anomaly card.
Техническим результатом является выявление аномалий в работе высоконагруженной сети автоматизированной телекоммуникационной системы, которое основано на анализе частотных характеристик битового потока трафика сети без предварительного выделения из него отдельных элементов и без применения многоагентной модели этой сети.The technical result is the detection of anomalies in the operation of a highly loaded network of an automated telecommunications system, which is based on the analysis of the frequency characteristics of the bit stream of network traffic without prior separation of individual elements from it and without the use of a multi-agent model of this network.
Указанный технический результат достигают за счет введения новых операций:The specified technical result is achieved through the introduction of new operations:
- на основе приема и обработки сетевого трафика формирования словаря сигналов эталонных частотных N-граммных портретов нормального и/или аномального сетевого трафика для каждой допустимой пары узлов сети автоматизированной телекоммуникационной системы;- based on the reception and processing of network traffic, the formation of a dictionary of signals of reference frequency N-gram portraits of normal and / or abnormal network traffic for each allowable pair of network nodes of an automated telecommunications system;
- накопления статистики по сетевым пакетам;- accumulation of statistics on network packets;
- формирования на основе обработки накопленных сетевых пакетов текущего частотного N-граммного портрета сетевого трафика пары «узел-отправитель» - «узел-получатель»;- formation based on the processing of accumulated network packets of the current frequency N-gram portrait of the network traffic of the pair "sender node" - "receiver node";
- на основе сопоставления сформированного частотного портрета с эталонными частотными N-граммными портретами сетевого трафика из словаря сигналов формирования множество характеристик схожести, сравнивая их с пороговым значением;- based on the comparison of the generated frequency portrait with the reference frequency N-gram portraits of network traffic from the dictionary of signals forming a set of similarity characteristics, comparing them with a threshold value;
- при возвращении пользователю карточки аномалии в нее включают множество характеристик схожести сформированного частотного N-граммного портрета с эталонными частотными N-граммными портретами сетевого трафика узлов сети автоматизированной телекоммуникационной системы;- when the card is returned to the user, the anomalies include many characteristics of the similarity of the generated frequency N-gram portrait with the reference frequency N-gram portraits of the network traffic of the network nodes of the automated telecommunications system;
- предоставления пользователю возможность отметки сформированного частотного N-граммного портрета как нормального или аномального;- providing the user with the ability to mark the generated frequency N-gram portrait as normal or abnormal;
- добавления сформированного частотного N-граммного портрета сетевого трафика в словарь сигналов эталонных частотных N-граммных портретов с карточкой аномалии.- adding the generated frequency N-gram portrait of network traffic to the signal dictionary of reference frequency N-gram portraits with an anomaly card.
На фигуре приведена структурная схема устройства, реализующего предлагаемый способ выявления аномалий в работе высоконагруженной сети автоматизированной телекоммуникационной системы.The figure shows a block diagram of a device that implements the proposed method for detecting anomalies in the operation of a highly loaded network of an automated telecommunications system.
Сочетание отличительных признаков и свойств предлагаемого способа из литературы не известны, поэтому он соответствует критериям новизны и изобретательского уровня.The combination of distinctive features and properties of the proposed method is not known from the literature, so it meets the criteria of novelty and inventive step.
Способ выявления аномалий в работе высоконагруженной сети автоматизированной телекоммуникационной системы реализуется следующим образом:The method for detecting anomalies in the operation of a highly loaded network of an automated telecommunications system is implemented as follows:
1 На основе приема и обработки сетевого трафика формируют словарь сигналов эталонных частотных N-граммных портретов нормального и/или аномального сетевого трафика для каждой допустимой пары узлов сети автоматизированной телекоммуникационной системы.1 Based on the reception and processing of network traffic, a dictionary of signals of reference frequency N-gram portraits of normal and/or abnormal network traffic is formed for each allowable pair of network nodes of an automated telecommunications system.
2 Принимают перехваченный в сети автоматизированной телекоммуникационной системы сетевой пакет, выявляют в нем адресные поля и поля данных на основе правил разбора сетевого пакета, при этом адресные поля пакета включают адрес и интерфейс по меньшей мере одного узла-источника и адрес, и интерфейс по меньшей мере одного узла-получателя.2 A network packet intercepted in the network of an automated telecommunications system is received, address fields and data fields are detected in it based on the network packet parsing rules, while the address fields of the packet include the address and interface of at least one source node and the address and interface of at least one destination node.
3 Выявляют адрес и интерфейс узла-отправителя и адрес, и интерфейс узла-получателя на основе поиска по каталогу интерфейсов сетевых узлов сети автоматизированной телекоммуникационной системы для выявленной пары "узел-источник - узел-получатель" находят запись в словаре сигналов, причем запись словаря сигналов включает адреса и интерфейсы этих узлов и поля данных принятого сетевого пакета.3 The address and interface of the sender node and the address and interface of the recipient node are identified based on the search in the catalog of interfaces of the network nodes of the network of the automated telecommunication system for the identified pair "source node - destination node" find an entry in the signal dictionary, and the entry in the signal dictionary includes the addresses and interfaces of these nodes and the data fields of the received network packet.
4 В процессе приема сетевых пакетов и выявления адресов и интерфейсов накапливают статистику по сетевым пакетам.4 In the process of receiving network packets and identifying addresses and interfaces, accumulate statistics on network packets.
5 Формируют на основе обработки накопленных сетевых пакетов текущий частотный N-граммный портрет сетевого трафика пары «узел-отправитель» - «узел-получатель».5 Based on the processing of the accumulated network packets, the current frequency N-gram portrait of the network traffic of the "sender node" - "receiver node" pair is formed.
6 На основе сопоставления сформированного частотного портрета с эталонными частотными N-граммными портретами сетевого трафика из словаря сигналов формируют множество характеристик схожести, сравнивают их с пороговым значением.6 Based on the comparison of the generated frequency portrait with the reference frequency N-gram portraits of network traffic from the signal dictionary, a set of similarity characteristics is formed and compared with a threshold value.
7 Возвращают пользователю карточку аномалии, при этом карточка аномалии включает в себя сведения, включающие по меньшей мере один из видов сведений, выбранных из группы:7 The anomaly card is returned to the user, wherein the anomaly card includes information including at least one of the types of information selected from the group:
7.1 адрес и/или интерфейс узла-источника и/или узла-получателя;7.1 address and/or interface of the source node and/or the destination node;
7.2 множество характеристик схожести сформированного частотного N-граммного портрета с эталонными частотными N-граммными портретами сетевого трафика узлов сети автоматизированной телекоммуникационной системы.7.2 set of similarity characteristics of the formed frequency N-gram portrait with the reference frequency N-gram portraits of network traffic of network nodes of an automated telecommunications system.
8 Предоставляют пользователю возможность отметки сформированного частотного N-граммного портрета как нормального или аномального.8 Provide the user with the ability to mark the generated frequency N-gram pattern as normal or abnormal.
9 Добавляют сформированный частотный N-граммный портрет сетевого трафика в словарь сигналов эталонных частотных N-граммных портретов с карточкой аномалии.9 Add the formed frequency N-gram pattern of network traffic to the signal dictionary of reference frequency N-gram patterns with an anomaly card.
Для реализации пункта 1 на основе принятых и обработанных сетевых пакетов i=1,2,…,To implement point 1 based on received and processed network packets i=1,2,…,
где i - номер пакета;where i - package number;
- байт i-го пакета; - byte of the i-th packet;
ki - номер байта в пакете;k i - byte number in the packet;
формируют словарь сигналов эталонных частотных N-граммных портретов нормального и/или аномального сетевого трафика для каждой j-й допустимой пары узлов сети автоматизированной телекоммуникационной системы:a dictionary of signals of reference frequency N-gram portraits of normal and/or abnormal network traffic is formed for each j-th admissible pair of network nodes of an automated telecommunication system:
где Ej - j-й эталонный частотный N-граммный портрет;where E j - j-th reference frequency N-gram portrait;
- значение частоты использования уникальной l-ой последовательности значащих символов длиной не более N для j-го подмножества пакетов. - the value of the frequency of using the unique l-th sequence of significant characters length no more than N for the j-th subset of packets.
Для реализации пункта 2 так же, как и в способе-прототипе, принимают перехваченный в сети автоматизированной телекоммуникационной системы сетевой пакет To implement point 2, as well as in the prototype method, they receive a network packet intercepted in the network of an automated telecommunications system
где i - номер пакета;where i - package number;
bki - байт i-го пакета;b ki - byte of the i-th packet;
ki - номер байта в пакете,k i - byte number in the packet,
на основе правил разбора выявляют в нем адресные поля и поля данных based on parsing rules, address fields and data fields are identified in it
где Ф - правило разбора;where Ф is the parsing rule;
- адресные поля по меньшей мере одного узла-источника и одного узла-получателя; - address fields of at least one source node and one destination node;
- байты адресных полей; - bytes of address fields;
- данные; - data;
- байты данных. - data bytes.
Для реализации пункта 3 так же, как и в способе-прототипе, из адресных полей i-го пакета выявляют адрес и интерфейс узла-отправителя и адрес, и интерфейс узла-получателя на основе поиска по каталогу интерфейсов сетевых узлов сети автоматизированной телекоммуникационной системы для выявленной пары "узел-источник - узел-получатель", т.е. выполняют To implement paragraph 3 in the same way as in the prototype method, from the address fields The address and interface of the source node and the address and interface of the destination node are identified based on the search in the catalog of interfaces of the network nodes of the automated telecommunications system network for the identified pair "source node - destination node", i.e. perform
где Ψ - словарь сигналов;where Ψ is a dictionary of signals;
- "узел-источник"; - "source node";
- "узел-получатель". - "destination node".
Для реализации пункта 4 множество перехваченных пакетов To implement point 4, the set of intercepted packets
где I - количество перехваченных пакетов, разделяют на подмножества для всех выявленных j-х пар ("узел-источник - узел-получатель"): j=1,2,…,where I is the number of intercepted packets, divided into subsets for all detected j-th pairs ("source node - destination node"): j=1,2,…,
где - количество пакетов в подмножестве j;where - number of packages in subset j;
j - номер подмножества.j - subset number.
При этом подмножество считается сформированным, если выполняется условие , где С - минимально допустимое количество пакетов в подмножестве.In this case, the subset is considered formed if the condition , where C is the minimum allowed number of packets in the subset.
Для реализации пункта 5 частотный N-граммный портрет сетевого трафика j-й пары «узел-отправитель» - «узел-получатель» представляется в виде множества значений абсолютных или относительных частот использований уникальных последовательностей значащих символов длиной не более N для j-го подмножества To implement paragraph 5, the frequency N-gram portrait of the network traffic of the j-th pair of "sender node" - "receiver node" is represented as a set of values of absolute or relative frequencies of use of unique sequences of significant characters with a length of no more than N for the j-th subset
В качестве значащих символов могут использоваться значения бита, тетрады байта, байта и т.д. В частности, если в качестве значащих символов выбраны значения байта, то возможные значащие символы находятся в интервале [0, 256[. Тогда количество уникальных последовательностей значащих символов длиной не более N можно вычислить по формуле , где I(N) - количество уникальных последовательностей.Bit values, byte tetrads, byte values, etc. can be used as significant characters. In particular, if byte values are chosen as significant characters, then the possible significant characters are in the interval [0, 256[. Then the number of unique sequences of significant characters of length no more than N can be calculated by the formula , where I(N) is the number of unique sequences.
Обозначим все уникальные последовательности значащих символов длиной не более N: Let's denote all unique sequences of significant characters of length no more than N:
Для каждого j-го подмножества подсчитывается количество использований N-грамм For each j-th subset the number of uses of N-grams is counted
Тогда значение частот использований уникальных последовательностей значащих символов для каждого j-го подмножества определяются выражением:Then the value of the frequencies of using unique sequences of significant symbols for each j-th subset is determined by the expression:
а частотный N-граммный портрет для каждого j-го подмножества выражением:and the frequency N-gram portrait for each j-th subset by the expression:
Для реализации пункта 6 выполняют на основе сравнения всех j-х частотных N-грамнных портретов (Gj) с j-ми эталонными портретами (Ej).To implement paragraph 6, perform based on the comparison of all j-th frequency N-gram portraits (G j ) with the j-th reference portraits (E j ).
Для этого формируют множество характеристик схожести. К ним можно отнести коэффициент взаимной корреляции Пирсона, оценку схожести по методу наименьших квадратов или другие характеристики схожести. Мощность множества характеристик схожести должна быть не менее 1.For this, a set of similarity characteristics is formed. These may include Pearson's cross-correlation coefficient, least squares similarity score, or other similarity characteristics. The power of the set of similarity characteristics must be at least 1.
Если в качестве характеристики схожести выбран коэффициент взаимной корреляции Пирсона, то его вычисляют по выражениям:If the Pearson cross-correlation coefficient is chosen as the similarity characteristic, then it is calculated by the expressions:
где κj - коэффициент взаимной корреляции, который в данном случае является характеристикой схожести, а множество характеристик состоит из одного элемента: X={κj}.where κ j is the cross-correlation coefficient, which in this case is a similarity characteristic, and the set of characteristics consists of one element: X={κ j }.
Частотные N-граммные портреты Gj и Ej считаются схожими, если выполняется условие κj≥ej для X, состоящего из одного элемента, где ej - пороговое значение для j-го эталона.Frequency N-gram portraits G j and E j are considered similar if the condition κ j ≥e j is satisfied for X, consisting of one element, where e j is the threshold value for the j-th standard.
Для реализации пункта 7 проверяют условие κj<ej. Если условие выполняется, то j-ое подмножество пакетов считается аномальным. В этом случае так же, как и в способе-прототипе, возвращают пользователю карточку аномалии, при этом карточка аномалии включает в себя сведения, включающие по меньшей мере один из видов сведений, выбранных из группы:To implement point 7, the condition κ j <e j is checked. If the condition is met, then the j-th subset of packages considered anomalous. In this case, as well as in the prototype method, the anomaly card is returned to the user, while the anomaly card includes information including at least one of the types of information selected from the group:
- адрес и/или интерфейс узла-источника и/или узла-получателя;- address and/or interface of the source node and/or the destination node;
- множество характеристик схожести сформированного частотного N-граммного портрета с эталонными частотными N-граммными портретами сетевого трафика узлов сети автоматизированной телекоммуникационной системы.- a set of similarity characteristics of the generated frequency N-gram portrait with reference frequency N-gram portraits of network traffic of network nodes of an automated telecommunications system.
Для реализации пункта 8 по решению пользователя производят действия над частотным N-граммным портретом или пороговым значением. А именно, если пользователь принимает решение, что аномалии нет, то он может изменить пороговое значение или скорректировать эталонный частотный портрет, в противном случае фиксирует аномалию для адресов и/или интерфейсов узла-источника и/или узла-получателя.To implement point 8, according to the user's decision, actions are performed on the frequency N-gram portrait or threshold value. Namely, if the user decides that there is no anomaly, then he can change the threshold value or correct the reference frequency portrait, otherwise he fixes the anomaly for the addresses and/or interfaces of the source node and/or the destination node.
Для реализации пункта 9 при условии, что пользователь принял решение скорректировать эталонный частотный N-граммный портрет, он может заменить текущий эталонный частотный портрет на новый Gj → Ej, пересчитать Ej с учетом Gj, например, вычислить среднее арифметическое: или средневзвешенное.To implement point 9, provided that the user has decided to correct the reference N-gram frequency portrait, he can replace the current reference frequency portrait with a new one G j → E j , recalculate E j taking into account G j , for example, calculate the arithmetic mean: or weighted average.
Предлагаемый способ имеет следующие отличительные признаки в последовательности его реализации от способа-прототипа, которые представлены в таблице 1.The proposed method has the following distinguishing features in the sequence of its implementation from the prototype method, which are presented in table 1.
Из представленной таблицы 1 сравнения последовательностей реализации способа-прототипа и предлагаемого способа видно, что в предлагаемом способе, относительно способа-прототипа, дополнительно на основе приема и обработки сетевого трафика формируют словарь сигналов эталонных частотных N-граммных портретов нормального и/или аномального сетевого трафика для каждой допустимой пары узлов сети автоматизированной телекоммуникационной системы, в процессе приема сетевых пакетов и выявления адресов и интерфейсов накапливают статистику по сетевым пакетам, после чего формируют на основе обработки накопленных сетевых пакетов текущий частотный N-граммный портрет сетевого трафика пары «узел-отправитель» - «узел-получатель», на основе сопоставления сформированного частотного портрета с эталонными частотными N-граммными портретами сетевого трафика из словаря сигналов формируют множество характеристик схожести, сравнивают их с пороговым значением, при возвращении пользователю карточки аномалии в нее включают множество характеристик схожести сформированного частотного N-граммного портрета с эталонными частотными N-граммными портретами сетевого трафика узлов сети автоматизированной телекоммуникационной системы, после чего предоставляют пользователю возможность отметки сформированного частотного N-граммного портрета как нормального или аномального, добавляют сформированный частотный N-граммный портрет сетевого трафика в словарь сигналов эталонных частотных N-граммных портретов с карточкой аномалии.From the presented table 1 comparing the implementation sequences of the prototype method and the proposed method, it can be seen that in the proposed method, relative to the prototype method, additionally, based on the reception and processing of network traffic, a dictionary of signals of reference frequency N-gram portraits of normal and/or abnormal network traffic is formed for of each admissible pair of network nodes of an automated telecommunications system, in the process of receiving network packets and identifying addresses and interfaces, statistics on network packets are accumulated, after which, based on the processing of accumulated network packets, the current frequency N-gram portrait of the network traffic of the pair "sender-node" is formed - " recipient node", based on the comparison of the generated frequency portrait with the reference frequency N-gram portraits of network traffic from the signal dictionary, a set of similarity characteristics is formed, compared with the threshold value, when the anomaly card is returned to the user, it is turned on a set of similarity characteristics of the generated N-gram frequency portrait with the reference N-gram frequency portraits of network traffic of the network nodes of the automated telecommunication system are determined, after which they provide the user with the opportunity to mark the generated N-gram frequency portrait as normal or abnormal, add the generated N-gram frequency portrait of the network traffic to the dictionary of signals of reference frequency N-gram portraits with an anomaly card.
Структурная схема устройства, реализующего предлагаемый способ, изображена на фигуре. В состав устройства входят:The block diagram of the device that implements the proposed method is shown in the figure. The device includes:
01 - модуль перехвата сетевых пакетов (МПСП);01 - network packet interception module (MPSP);
02 - модуль обработки сетевых пакетов и выделения адресной информации (МОПиВАИ);02 - module for processing network packets and extracting address information (MOPIVAI);
03 - модуль формирования статистики и частотных N-граммных портретов (МФСиЧП);03 - module for generating statistics and frequency N-gram portraits (MFSIChP);
04 - модуль сравнения частотных N-граммных портретов (МСЧП);04 - module for comparing frequency N-gram portraits (MSChP);
05 - база эталонных частотных N-граммных портретов (БЭЧП);05 - base of reference frequency N-gram portraits (BECHP);
06 - модуль управления (МУ);06 - control module (MU);
07 - модуль ввода вывода (МВВ).07 - input output module (MVV).
Вход МПСП 01 соединен с сетью автоматизированной телекоммуникационной системы. Выход МПСП 01 соединен с входом МОПиВАИ 02. Выход МОПиВАИ 02 соединен с входом МФСиЧП 03. Выход МФСиЧП 03 соединен с первым входом МСЧП 04. Выход МСЧП 04 соединяется с первым входом МУ 06. Первый выход МУ 06 соединяется с входом БЭЧП 05. Выход БЭЧП 05 соединен со вторым входом МСЧП 04. Второй выход МУ 06 соединяется с входом МВВ 07. Выход МВВ 07 соединяется со вторым входом МУ 06.
МПСП 01 перехватывает в сети автоматизированной телекоммуникационной системы сетевые пакеты и передает их на вход МОПиВАИ 02. МОПиВАИ 02 обрабатывает и выявляет в них адресные поля и поля данных на основе правил разбора сетевого пакета. Для каждого сетевого пакета МОПиВАИ 02 выявляет адреса и интерфейсы узлов-отправителя и адреса, и интерфейсы узлов-получателя на основе поиска по каталогу интерфейсов сетевых узлов сети автоматизированной телекоммуникационной системы для выявленной пары "узел-источник - узел-получатель". Выявленные пары "узел-источник - узел-получатель" и перехваченные сетевые пакеты передаются на вход МФСиЧП 03. МФСиЧП 03 разделяет сетевые пакеты на группы по выявленным парам "узел-источник - узел-получатель" и для каждой группы накапливает статистику до тех пор, пока не накопит для группы минимально допустимое количество пакетов. По завершению накопления МФСиЧП 03 формирует частотный N-граммный портрет и передает его и пару "узел-источник - узел-получатель" на вход МСЧП 04. МСЧП 04 запрашивает эталонный частотный N-граммный портрет в БЭЧП 05 для пары "узел-источник - узел-получатель". Если эталонный частотный N-граммный портрет найден в БЭЧП 05, то МСЧП 04 сопоставляет сформированный частотный портрет с эталонным, формирует множество характеристик схожести и сравнивает их с пороговым значением. Если характеристики схожести не превышают пороговое значение, то выявляется аномалия,, в таком случае МСЧП 04 выдает на первый вход МУ 06 карточку аномалии (адрес и/или интерфейс узла-источника и/или узла-получателя и множество характеристик схожести сформированного частотного N-граммного портрета с эталонными частотными N-граммными портретами сетевого трафика узлов сети автоматизированной телекоммуникационной системы). Если эталон не найден в БЭЧП 05, то текущий частотный N-граммный портрет автоматически добавляется в БЭЧП 05. МУ 06 обеспечивает взаимодействие МСЧП 04, БЭЧП 05 и МВВ 07. МВВ 07 обеспечивает взаимодействие с Пользователем, возвращает ему карточки аномалий и принимает от него команды управления.
Приведем пример использования способа для пары "узел-источник - узел-получатель", в которой аномалии нет (пара А), и для пары, в которой аномалия есть (пара Б).Let us give an example of using the method for a pair "source node - destination node", in which there is no anomaly (pair A), and for a pair in which there is an anomaly (pair B).
Выполняя действия п. 1 сформируем эталонные частотные N-граммные портреты для пар А и Б, т.е перехватим для каждой пары не менее С=1000 пакетов, примем, что длина последовательностей значащих символов будет равна N=1. В качестве значащих символов будет использоваться значения байта, тогда количество уникальных последовательностей значащих символов I(N)=256.Performing the steps of paragraph 1, we will form the reference frequency N-gram portraits for pairs A and B, i.e. we will intercept at least C=1000 packets for each pair, we assume that the length of the sequences of significant characters will be equal to N=1. Byte values will be used as significant characters, then the number of unique sequences of significant characters is I(N)=256.
Сформируем частотные портреты, считая количество использований всех значений байт для всех перехваченных сетевых пакетов пар А и Б, и сохраним их, соответственно, в словари сигналов как эталонные (таблица 2).We will form frequency portraits, counting the number of uses of all byte values for all intercepted network packets of pairs A and B, and save them, respectively, in signal dictionaries as reference ones (Table 2).
Проведем еще один перехват в сети автоматизированной телекоммуникационной системы сетевых пакетов для ранее выбранных пар А и Б и, выполняя пункты 2-5, так же сформируем частотные N-граммные портреты (таблица 2). Выполняя пункт 6, сравним сформированные частотные N-граммные портреты для пар А и Б с эталонными, соответственно, и сформируем множество характеристик схожести. В качестве порогового значение выберем 0,9.Let's carry out one more interception in the network of an automated telecommunication system of network packets for previously selected pairs A and B and, following steps 2-5, we will also form frequency N-gram portraits (Table 2). Performing paragraph 6, we compare the generated frequency N-gram portraits for pairs A and B with the reference ones, respectively, and form a set of similarity characteristics. We will choose 0.9 as the threshold value.
В этом примере множество характеристик схожести состоит из одного элемента - коэффициента взаимной корреляции (КВК) Пирсона.In this example, the set of similarity features consists of a single element, Pearson's cross-correlation coefficient (CCC).
КВК между эталонным и частотным N-граммным портретом для пары А равен 0,97976, что больше порогового значения, исходя из этого делается вывод, что аномалии нет.The CVC between the reference and frequency N-gram portrait for pair A is 0.97976, which is more than the threshold value, based on this, it is concluded that there is no anomaly.
КВК между эталонным и частотным N-граммным портретом для пары Б равен 0,46552, что меньше порогового значения, исходя из этого делается вывод, что аномалия выявлена. Выполняя пункты 7-9, пользователю предоставляется: карточка аномалии, возможность отметки сформированного частотного N-граммного портрета как нормального или аномального, возможность добавления его в словарь сигналов эталонных частотных N-граммных портретов с карточкой аномалии.CVC between the reference and frequency N-gram portrait for pair B is 0.46552, which is less than the threshold value, based on this, it is concluded that the anomaly has been detected. Performing steps 7-9, the user is provided with: an anomaly card, the ability to mark the generated frequency N-gram pattern as normal or abnormal, the ability to add it to the signal dictionary of reference N-gram frequency patterns with an anomaly card.
Таким образом, предлагаемый способ, относительно способа-прототипа, позволяет реализовать выявление аномалий в работе высоконагруженной сети автоматизированной телекоммуникационной системы, которое основано на анализе частотных характеристик битового потока трафика сети без предварительного выделения из него отдельных элементов и без применения многоагентной модели этой сети.Thus, the proposed method, relative to the prototype method, makes it possible to implement anomaly detection in the operation of a highly loaded network of an automated telecommunication system, which is based on the analysis of the frequency characteristics of the bit stream of network traffic without first extracting individual elements from it and without using a multi-agent model of this network.
Claims (1)
Publications (1)
Publication Number | Publication Date |
---|---|
RU2787078C1 true RU2787078C1 (en) | 2022-12-28 |
Family
ID=
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101447178B1 (en) * | 2014-06-25 | 2014-10-10 | 숭실대학교산학협력단 | A Method for Detecting Abnormal Patterns of Network Traffic by Analyzing Linear Patterns and Intensity Features |
RU2738460C1 (en) * | 2020-02-26 | 2020-12-14 | Общество с ограниченной ответственностью "Сайберлимфа" | Method for detecting anomalies in operation of automated system network |
US20210192582A1 (en) * | 2003-02-05 | 2021-06-24 | Hoffberg Family Trust 2 | System and method for determining contingent relevance |
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20210192582A1 (en) * | 2003-02-05 | 2021-06-24 | Hoffberg Family Trust 2 | System and method for determining contingent relevance |
KR101447178B1 (en) * | 2014-06-25 | 2014-10-10 | 숭실대학교산학협력단 | A Method for Detecting Abnormal Patterns of Network Traffic by Analyzing Linear Patterns and Intensity Features |
RU2738460C1 (en) * | 2020-02-26 | 2020-12-14 | Общество с ограниченной ответственностью "Сайберлимфа" | Method for detecting anomalies in operation of automated system network |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8850582B2 (en) | Security monitoring system and security monitoring method | |
KR101538709B1 (en) | Anomaly detection system and method for industrial control network | |
Husain et al. | Development of an efficient network intrusion detection model using extreme gradient boosting (XGBoost) on the UNSW-NB15 dataset | |
US10719768B1 (en) | System and method for detecting an undesirable event | |
CN110430226B (en) | Network attack detection method and device, computer equipment and storage medium | |
CN110798463B (en) | Network covert channel detection method and device based on information entropy | |
CN111866024A (en) | Network encryption traffic identification method and device | |
CN114553523A (en) | Attack detection method and device based on attack detection model, medium and equipment | |
Zhi et al. | Resist interest flooding attacks via entropy–SVM and Jensen–Shannon divergence in information-centric networking | |
CN107209834A (en) | Malicious communication pattern extraction apparatus, malicious communication schema extraction system, malicious communication schema extraction method and malicious communication schema extraction program | |
Callegari et al. | Real time attack detection with deep learning | |
Ibrahim et al. | Performance comparison of intrusion detection system using three different machine learning algorithms | |
CN113282920B (en) | Log abnormality detection method, device, computer equipment and storage medium | |
Hossain | Enhanced ensemble-based distributed denial-of-service (DDoS) attack detection with novel feature selection: A robust cybersecurity approach | |
RU2787078C1 (en) | Method for detection of anomalies in operation of highly loaded network of automated telecommunication system | |
Schuster et al. | Attack and fault detection in process control communication using unsupervised machine learning | |
CN116800518A (en) | Method and device for adjusting network protection strategy | |
Gelenbe et al. | IoT Network Cybersecurity Assessment with the Associated Random Neural Network | |
US20210234871A1 (en) | Infection-spreading attack detection system and method, and program | |
Sapozhnikova et al. | Intrusion detection system based on data mining technics for industrial networks | |
Levonevskiy et al. | Network attacks detection using fuzzy logic | |
Le et al. | A novel machine learning-based network intrusion detection system for software-defined network | |
RU2683631C1 (en) | Computer attacks detection method | |
Dik et al. | Web attacks detection based on patterns of sessions | |
Zhi et al. | An entropy-svm based interest flooding attack detection method in icn |