RU2787078C1 - Method for detection of anomalies in operation of highly loaded network of automated telecommunication system - Google Patents

Method for detection of anomalies in operation of highly loaded network of automated telecommunication system Download PDF

Info

Publication number
RU2787078C1
RU2787078C1 RU2021128483A RU2021128483A RU2787078C1 RU 2787078 C1 RU2787078 C1 RU 2787078C1 RU 2021128483 A RU2021128483 A RU 2021128483A RU 2021128483 A RU2021128483 A RU 2021128483A RU 2787078 C1 RU2787078 C1 RU 2787078C1
Authority
RU
Russia
Prior art keywords
network
gram
frequency
node
address
Prior art date
Application number
RU2021128483A
Other languages
Russian (ru)
Inventor
Роман Сергеевич Романченко
Original Assignee
Федеральное государственное унитарное предприятие "Ростовский-на-Дону научно-исследовательский институт радиосвязи" (ФГУП "РНИИРС")
Filing date
Publication date
Application filed by Федеральное государственное унитарное предприятие "Ростовский-на-Дону научно-исследовательский институт радиосвязи" (ФГУП "РНИИРС") filed Critical Федеральное государственное унитарное предприятие "Ростовский-на-Дону научно-исследовательский институт радиосвязи" (ФГУП "РНИИРС")
Application granted granted Critical
Publication of RU2787078C1 publication Critical patent/RU2787078C1/en

Links

Images

Abstract

FIELD: telecommunication.
SUBSTANCE: invention relates to detection of anomalies in the operation of a highly loaded network of an automated telecommunication system. Additional operations are introduced, based on reception and processing of a network traffic of formation of a dictionary of signals of reference frequency N-gram portraits of a normal and/or abnormal network traffic for each permissible pair of network nodes of the automated telecommunication system, where, ultimately, a user is provided with a possibility of marking of a formed frequency N-gram portrait as normal or abnormal, and the formed frequency N-gram portrait of the network traffic is added to the dictionary of signals of reference frequency N-gram portraits with an anomaly card.
EFFECT: detection of such anomalies, based on the analysis of frequency characteristics of a bit stream of a network traffic, without preliminary isolation of separate elements from it, and without the use of a multiagent model of this network.
1 cl, 1 dwg, 2 tbl

Description

Изобретение относится к средствам мониторинга безопасности, а именно к имеющим компьютерную реализацию способам выявления аномалий в работе высоконагруженной сети автоматизированной телекоммуникационной системы и может быть применено в сетевых устройствах телекоммуникационных систем.The invention relates to security monitoring tools, namely, computer-based methods for detecting anomalies in the operation of a highly loaded network of an automated telecommunications system and can be applied in network devices of telecommunication systems.

Известен способ обнаружения компьютерных атак (1 - Патент РФ №2683631, МПК: (2019.02) G06F 21/55, G06N 3/02. Способ обнаружения компьютерных атак. Патентообладатели - ФГКВОУВО Военная академия связи МО РФ, ФГБУН Институт проблем транспорта РАН. Дементьев В.Е., Киреев С.Х., Коцыняк М.А., Лаута О.С., Малыгин И.Г. Публ. - 29.03.2019 г.), в котором устанавливают и запоминают пороговые значения параметров, необходимое число определяемых типов атак, для которых задают количество обучающих и контрольных примеров для нейронной сети, подготавливают характеристические векторы для каждого типа атаки, определяют виды протоколов и информативные параметры для пакетов данных. Затем задают структуру нейронной сети, включающую входные, скрытые и выходные нейроны, и проводят ее обучение с использованием предварительно подготовленных примеров по достижении требуемой достоверности распознавания. При наличии компьютерной атаки определяют одиночный или комбинированный тип атаки по сочетанию рассчитанных значений параметров на выходных нейронах нейронной сети.A known method for detecting computer attacks (1 - RF Patent No. 2683631, IPC: (2019.02) G06F 21/55, G06N 3/02. Method for detecting computer attacks. Patent holders - FGKVOUVO Military Academy of Communications of the Ministry of Defense of the Russian Federation, FGBUN Institute of Transport Problems of the Russian Academy of Sciences. Dementiev V E., Kireev S.Kh., Kotsynyak M.A., Lauta O.S., Malygin I.G. Publication - 03/29/2019), in which the threshold values of the parameters, the required number of defined types are set and stored attacks, for which the number of training and test cases for the neural network is set, characteristic vectors are prepared for each type of attack, protocol types and informative parameters for data packets are determined. Then the structure of the neural network is set, including input, hidden and output neurons, and its training is carried out using pre-prepared examples upon reaching the required recognition reliability. In the presence of a computer attack, a single or combined type of attack is determined by a combination of calculated parameter values on the output neurons of the neural network.

Способ можно применить для выявления аномалий в работе сети автоматизированной телекоммуникационной системы.The method can be used to detect anomalies in the network of an automated telecommunications system.

Недостатком способа в этом случае является невозможность определения неизвестной аномалии, которая не была распознана на стадии обучения нейронной сети.The disadvantage of this method in this case is the impossibility of determining an unknown anomaly that was not recognized at the stage of neural network training.

Также известен способ обнаружения аномального поведения устройства в компьютерной системе (2 - патент США № US 20170230392 A1, G06F 21/55. Anomaly alert system for cyber thread detection / Tom Dean, Jack Stockdale; Pub 30.06.2020). Этот способ включает в себя выявление вредоносной активности и представление результатов выявления аномалий для пользователя системы. Выявление вредоносной активности включает в себя сбор метрик сетевого трафика, построения на его основе нормального профиля активности и анализ поведения каждого устройства сети с целью выявления аномалии в его поведении. При сборе метрик сетевого трафика в качестве метрик используют непосредственно измеряемые метрики сети передачи данных (например, количество пакетов, полученных и отправленных сетевым устройством, объем передаваемых и получаемых данных), а также вычисляемые метрики, в качестве которых используют результаты работы классических алгоритмов выявления аномалий во входных данных (например, метод опорных векторов, локальный уровень выброса). В результате для каждого сетевого устройства формируют набор присвоенных ему метрик с историей их измерений. Затем применяют метод пиков над порогами (англ. - Peak Over Threshold, РОТ) для выявления аномальных значений текущего замера наблюдаемого параметра, путем вычисления вероятности и сравнения этой вероятности с некоторым пороговым значением. Если наблюдаемое значение вероятности ниже порога, то фиксируют аномалию в работе сети. Использование метода РОТ позволяет также автоматически менять пороговые значения для параметров сетевых устройств, учитывая историю измерения параметров. Это позволяет проводить модификацию моделей распознавания аномалий, на основе фиксированных данных без участия оператора. Представление результатов выявления аномалий для пользователя системы включает в себя ранжирование наблюдаемых событий в сети по степени влияния на аномалию в работе сетевого устройства, и вывод пользователю тех событий, вклад которых в обнаружение аномалии превышает пороговое значение. Этот способ можно применить для выявления аномалий в работе сети автоматизированной телекоммуникационной системы.Also known is a method for detecting anomalous behavior of a device in a computer system (2 - US patent No. US 20170230392 A1, G06F 21/55. Anomaly alert system for cyber thread detection / Tom Dean, Jack Stockdale; Pub 06/30/2020). This method includes detecting malicious activity and presenting anomaly detection results to a system user. Malicious activity detection includes collecting network traffic metrics, building a normal activity profile based on it, and analyzing the behavior of each network device in order to identify anomalies in its behavior. When collecting network traffic metrics, directly measured data network metrics are used as metrics (for example, the number of packets received and sent by a network device, the amount of transmitted and received data), as well as calculated metrics, which use the results of classical anomaly detection algorithms. input data (eg, support vector machine, local outlier). As a result, for each network device, a set of metrics assigned to it with a history of their measurements is formed. Then the Peak Over Threshold (POT) method is used to identify abnormal values of the current measurement of the observed parameter by calculating the probability and comparing this probability with some threshold value. If the observed probability value is below the threshold, then an anomaly in the network operation is fixed. Using the ROT method also allows you to automatically change the threshold values for the parameters of network devices, taking into account the history of parameter measurements. This allows modification of anomaly recognition models based on fixed data without operator participation. Presenting the results of anomaly detection for the system user includes ranking the observed events in the network according to the degree of influence on the anomaly in the operation of the network device, and displaying to the user those events whose contribution to anomaly detection exceeds the threshold value. This method can be used to detect anomalies in the network of an automated telecommunications system.

Недостатком способа в этом случае является ограниченный перечень метаданных, по которому выявляются аномалии, что приводит к повышению вероятности возникновения ошибок первого и второго рода.The disadvantage of the method in this case is the limited list of metadata, which reveals anomalies, which leads to an increase in the likelihood of errors of the first and second kind.

Известен способ обнаружения кибер-атак в автоматизированных системах управления технологическими процессами (3 - патент США № US 10015188, H04L 63/1441. Method for mitigation of cyber attacks on industrial control systems / Omer Schneider, Nir Giller; Pub 03.07.2018). В способе описаны два режима: обучения и защиты.A known method for detecting cyber attacks in automated process control systems (3 - US patent No. US 10015188, H04L 63/1441. Method for mitigation of cyber attacks on industrial control systems / Omer Schneider, Nir Giller; Pub 03.07.2018). The method describes two modes: training and protection.

В режиме обучения перехватывают сетевые пакеты, являющиеся сетевым трафиком промышленных систем автоматизации и управления (ПСАиУ), и формируют для каждого перехваченного пакета характеристический вектор на основе параметров такого пакета. В качестве параметров пакета используют поля протокола, которые могут быть выявлены методом глубокой инспекции пакетов (англ. - Deep Packet Inspection, DPI), метаданные пакета (частота, время, источник и приемники пр.), контекстно-зависимую информацию, связанную с предшествующими перехваченными пакетами. На основе характеристического вектора пакета вычисляют новое наблюдаемое состояние ПСАиУ, при этом модель защищаемой ПСАиУ рассматривают в качестве конечного автомата. Результатом вычисления является выявление соответствия нового состояния одному из числа ранее наблюдаемых состояний или вывод о том, что новое состояние ранее не было выявлено и зафиксировано. В последнем случае для конечного автомата создают еще одно состояние и ребро, соответствующее переходу системы из предшествующего состояния в новое. Вес для такого ребра принимают за единицу. Если новое состояние ранее было зафиксировано, то для ребра, соответствующему переходу из предшествующего состояния в новое, увеличивают вес на единицу. Режим обучения завершается, когда для конечного автомата ПСАиУ не происходит создания новых ребер и состояний.In the learning mode, network packets are intercepted, which are network traffic of industrial automation and control systems (APAC), and a characteristic vector is formed for each intercepted packet based on the parameters of such a packet. As packet parameters, protocol fields are used that can be detected by the Deep Packet Inspection (DPI) method, packet metadata (frequency, time, source and receivers, etc.), context-sensitive information associated with previous intercepted packages. Based on the characteristic vector of the package, a new observable state of the APAC is calculated, while the model of the protected APAC is considered as a finite automaton. The result of the calculation is the identification of the correspondence of the new state to one of the previously observed states or the conclusion that the new state was not previously detected and fixed. In the latter case, one more state and an edge are created for the finite automaton, corresponding to the transition of the system from the previous state to the new one. The weight for such an edge is taken as unity. If the new state was previously fixed, then for the edge corresponding to the transition from the previous state to the new one, the weight is increased by one. The learning mode is terminated when no new edges and states are created for the CAPS state machine.

В режиме защиты перехватывают сетевые пакеты ПСАиУ и формируют для каждого из них характеристический вектор, используя параметры пакета аналогичным образом, как и в режиме обучения. На основе характеристического вектора вычисляют новое наблюдаемое состояние ПСАиУ, в результате вычисления определяют ребро конечного автомата, соединяющее предыдущее и текущее состояние ПСАиУ, а также вес этого ребра. Для ребра определяют вероятность перехода из предыдущего в текущее состояние, при этом принимают, что чем выше вес ребра, тем выше вероятность перехода. Дополнительно вычисляют вероятность перехода для цепочки из нескольких предыдущих состояний. Значения полученных вероятностей сравнивают с установленными в режиме обучения граничными значениями. Если вычисленное значение вероятности перехода ниже соответствующего граничного значения, то оповещают оператора о выявлении аномалии в работе, защищаемой ПСАиУ.In the protection mode, network packets are intercepted and a characteristic vector is formed for each of them, using the packet parameters in the same way as in the learning mode. On the basis of the characteristic vector, a new observed state of the PSAA is calculated, as a result of the calculation, an edge of the finite automaton connecting the previous and current state of the PSAA, as well as the weight of this edge, is determined. For an edge, the probability of transition from the previous to the current state is determined, while it is assumed that the higher the weight of the edge, the higher the transition probability. Additionally, the transition probability is calculated for a chain of several previous states. The values of the obtained probabilities are compared with the boundary values set in the learning mode. If the calculated value of the transition probability is below the corresponding limit value, then the operator is notified of the detection of an anomaly in the work protected by the ASA&C.

Недостатком способа является непредсказуемо длительное время обучения и высокая вероятность возникновения ошибок второго рода (ложноотрицательных срабатываний), что обуславливает невозможность его применения в случаях, когда сеть автоматизированной системы является высоконагруженной.The disadvantage of this method is an unpredictably long training time and a high probability of occurrence of errors of the second kind (false negative positives), which makes it impossible to use it in cases where the network of the automated system is highly loaded.

Известен способ выявления аномалий в работе сети автоматизированной системы (4 - Патент РФ №2738460, МПК: H04L 1/00 (2006.01), G06F 21/00 (2013.01). Способ выявления аномалий в работе сети автоматизированной системы. Патентообладатель - ООО «Сайберлимфа». Антипинский А.С., Домуховский Н.А., Комаров Д.Е., Синадский А.Н. Публ. - 14.12.2020 г.), принятый за прототип. Для его реализации при применении в высоконагруженной сети автоматизированной телекоммуникационной системы:A known method for detecting anomalies in the operation of an automated system network (4 - Patent of the Russian Federation No. 2738460, IPC: H04L 1/00 (2006.01), G06F 21/00 (2013.01). Antipinsky A.S., Domukhovsky N.A., Komarov D.E., Sinadsky A.N. Publication - 12/14/2020), taken as a prototype. For its implementation when used in a highly loaded network of an automated telecommunications system:

- принимают перехваченный в сети автоматизированной телекоммуникационной системы сетевой пакет, выявляют в нем адресные поля и поля данных на основе правил разбора сетевого пакета, при этом адресные поля пакета включают адрес и интерфейс по меньшей мере одного узла-источника и адрес, и интерфейс по меньшей мере одного узла-получателя;- a network packet intercepted in the network of an automated telecommunications system is received, address fields and data fields are detected in it based on the network packet parsing rules, while the address fields of the packet include the address and interface of at least one source node and the address and interface of at least one destination node;

- выявляют адрес и интерфейс узла-отправителя и адрес, и интерфейс узла-получателя на основе поиска по каталогу интерфейсов сетевых узлов сети автоматизированной телекоммуникационной системы для выявленной пары "узел-источник - узел-получатель" находят запись в словаре сигналов, причем запись словаря сигналов включает адреса и интерфейсы этих узлов и поля данных принятого сетевого пакета;- the address and interface of the sender node and the address and interface of the recipient node are identified based on the search in the catalog of interfaces of network nodes of the network of the automated telecommunication system for the identified pair "source node - destination node" find an entry in the signal dictionary, and the entry in the signal dictionary includes the addresses and interfaces of these nodes and the data fields of the received network packet;

- выявляют реакцию узла-получателя на выявленную запись словаря сигналов и сопоставляют эту реакцию с ожидаемой реакцией на эту запись, заложенную для узла-получателя в соответствующем для него агенте из многоагентной модели сети автоматизированной телекоммуникационной системы;- detecting the reaction of the recipient node to the detected entry of the signal dictionary and comparing this reaction with the expected reaction to this entry, set for the recipient node in the agent corresponding to it from the multi-agent network model of the automated telecommunications system;

- возвращают пользователю карточку аномалии при этом карточка аномалии включает в себя сведения, включающие по меньшей мере один из видов сведений, выбранных из группы: автоматически сформированные правила разбора сетевого пакета, структура которого не была известна и для которого не были выявлены адресные поля и поля данных; адрес и/или интерфейс узла-источника и/или узла-получателя, не найденные в каталоге интерфейсов сетевых узлов сети автоматизированной телекоммуникационной системы; отклонение между наблюдаемой и ожидаемой реакцией на запись словаря сигналов в случае выявления такого отклонения при заданном значении погрешности для отклонения;- the anomaly card is returned to the user, while the anomaly card includes information that includes at least one of the types of information selected from the group: automatically generated rules for parsing a network packet, the structure of which was not known and for which address fields and data fields were not detected ; address and/or interface of the source node and/or the destination node not found in the catalog of interfaces of the network nodes of the network of the automated telecommunications system; the deviation between the observed and expected response to the entry of the signal dictionary in the event that such a deviation is detected for a given error value for the deviation;

- причем многоагентная модель сети автоматизированной телекоммуникационной системы состоит из соответствующих узлам сети автоматизированной телекоммуникационной системы программных агентов, для которых определена их ожидаемая реакция на выходе при поступлении на их вход записи словаря сигналов.- moreover, the multi-agent network model of the automated telecommunications system consists of software agents corresponding to the nodes of the network of the automated telecommunications system, for which their expected response at the output is determined when a signal dictionary entry is received at their input.

Способ-прототип позволяет выявлять аномалии в работе сети автоматизированной телекоммуникационной системы на основе многоагентной модели сети.The prototype method allows you to detect anomalies in the network of an automated telecommunications system based on a multi-agent network model.

Недостатком способа-прототипа является невозможность его применения в случаях, когда сеть автоматизированной телекоммуникационной системы является высоконагруженной, поскольку применение многоагентной модели сети автоматизированной телекоммуникационной системы, состоящей из соответствующих узлам сети автоматизированной телекоммуникационной системы программных агентов, для выявления ожидаемой реакции на выходе для каждой пары "узел-источник узел-получатель" в принимаемом трафике, требует больших вычислительных ресурсов.The disadvantage of the prototype method is the impossibility of its application in cases where the network of an automated telecommunications system is highly loaded, since the use of a multi-agent model of the network of an automated telecommunications system, consisting of software agents corresponding to the nodes of the network of an automated telecommunications system, to identify the expected response at the output for each pair of "node -source-destination node" in the received traffic requires large computing resources.

Технической проблемой является отсутствие технических средств выявления аномалий в работе высоконагруженной сети автоматизированной телекоммуникационной системы.The technical problem is the lack of technical means for detecting anomalies in the operation of a highly loaded network of an automated telecommunications system.

Для решения технической проблемы предлагается способ выявления аномалий в работе высоконагруженной сети автоматизированной телекоммуникационной системы, при котором принимают перехваченный в сети автоматизированной телекоммуникационной системы сетевой пакет, выявляют в нем адресные поля и поля данных на основе правил разбора сетевого пакета, при этом адресные поля пакета включают адрес и интерфейс по меньшей мере одного узла-источника и адрес, и интерфейс по меньшей мере одного узла-получателя, выявляют адрес и интерфейс узла-отправителя и адрес, и интерфейс узла-получателя на основе поиска по каталогу интерфейсов сетевых узлов сети автоматизированной телекоммуникационной системы, для выявленной пары "узел-источник - узел-получатель" находят запись в словаре сигналов, причем запись словаря сигналов включает адреса и интерфейсы этих узлов и поля данных принятого сетевого пакета, возвращают пользователю карточку аномалии, при этом карточка аномалии включает в себя сведения, включающие по меньшей мере один из видов сведений, выбранных из группы: адрес и/или интерфейс узла-источника и/или узла-получателя.To solve a technical problem, a method is proposed for detecting anomalies in the operation of a highly loaded network of an automated telecommunications system, in which a network packet intercepted in the network of an automated telecommunications system is received, address fields and data fields are identified in it based on the rules for parsing a network packet, while the address fields of the packet include the address and the interface of at least one source node and the address, and the interface of at least one recipient node, identify the address and interface of the sender node and the address and interface of the destination node based on a search in the catalog of interfaces of network nodes of the network of an automated telecommunication system, for the identified pair "source node - destination node", an entry is found in the signal dictionary, and the signal dictionary entry includes the addresses and interfaces of these nodes and the data fields of the received network packet, the anomaly card is returned to the user, while the anomaly card includes information including on at least one of the types of information selected from the group: the address and/or interface of the source node and/or the destination node.

Согласно изобретению, дополнительно на основе приема и обработки сетевого трафика формируют словарь сигналов эталонных частотных N-граммных портретов нормального и/или аномального сетевого трафика для каждой допустимой пары узлов сети автоматизированной телекоммуникационной системы, в процессе приема сетевых пакетов и выявления адресов и интерфейсов накапливают статистику по сетевым пакетам, после чего формируют на основе обработки накопленных сетевых пакетов текущий частотный N-граммный портрет сетевого трафика пары «узел-отправитель» - «узел-получатель», на основе сопоставления сформированного частотного портрета с эталонными частотными N-граммными портретами сетевого трафика из словаря сигналов формируют множество характеристик схожести, сравнивают их с пороговым значением, при возвращении пользователю карточки аномалии в нее включают множество характеристик схожести сформированного частотного N-граммного портрета с эталонными частотными N-граммными портретами сетевого трафика узлов сети автоматизированной телекоммуникационной системы, после чего предоставляют пользователю возможность отметки сформированного частотного N-граммного портрета как нормального или аномального, добавляют сформированный частотный N-граммный портрет сетевого трафика в словарь сигналов эталонных частотных N-граммных портретов с карточкой аномалии.According to the invention, additionally, on the basis of receiving and processing network traffic, a signal dictionary of reference N-gram frequency portraits of normal and/or abnormal network traffic is formed for each allowable pair of network nodes of an automated telecommunications system, in the process of receiving network packets and identifying addresses and interfaces, statistics are accumulated on network packets, after which, based on the processing of the accumulated network packets, the current frequency N-gram network traffic portrait of the "sender node" - "receiver node" pair is formed based on a comparison of the generated frequency portrait with reference frequency N-gram network traffic portraits from the dictionary signals form a set of similarity characteristics, compare them with a threshold value, when the anomaly card is returned to the user, it includes a set of similarity characteristics of the generated frequency N-gram portrait with the reference frequency N-gram portraits of network traffic nodes networks of an automated telecommunication system, after which they provide the user with the opportunity to mark the generated frequency N-gram pattern as normal or abnormal, add the generated frequency N-gram pattern of network traffic to the signal dictionary of reference N-gram frequency patterns with an anomaly card.

Техническим результатом является выявление аномалий в работе высоконагруженной сети автоматизированной телекоммуникационной системы, которое основано на анализе частотных характеристик битового потока трафика сети без предварительного выделения из него отдельных элементов и без применения многоагентной модели этой сети.The technical result is the detection of anomalies in the operation of a highly loaded network of an automated telecommunications system, which is based on the analysis of the frequency characteristics of the bit stream of network traffic without prior separation of individual elements from it and without the use of a multi-agent model of this network.

Указанный технический результат достигают за счет введения новых операций:The specified technical result is achieved through the introduction of new operations:

- на основе приема и обработки сетевого трафика формирования словаря сигналов эталонных частотных N-граммных портретов нормального и/или аномального сетевого трафика для каждой допустимой пары узлов сети автоматизированной телекоммуникационной системы;- based on the reception and processing of network traffic, the formation of a dictionary of signals of reference frequency N-gram portraits of normal and / or abnormal network traffic for each allowable pair of network nodes of an automated telecommunications system;

- накопления статистики по сетевым пакетам;- accumulation of statistics on network packets;

- формирования на основе обработки накопленных сетевых пакетов текущего частотного N-граммного портрета сетевого трафика пары «узел-отправитель» - «узел-получатель»;- formation based on the processing of accumulated network packets of the current frequency N-gram portrait of the network traffic of the pair "sender node" - "receiver node";

- на основе сопоставления сформированного частотного портрета с эталонными частотными N-граммными портретами сетевого трафика из словаря сигналов формирования множество характеристик схожести, сравнивая их с пороговым значением;- based on the comparison of the generated frequency portrait with the reference frequency N-gram portraits of network traffic from the dictionary of signals forming a set of similarity characteristics, comparing them with a threshold value;

- при возвращении пользователю карточки аномалии в нее включают множество характеристик схожести сформированного частотного N-граммного портрета с эталонными частотными N-граммными портретами сетевого трафика узлов сети автоматизированной телекоммуникационной системы;- when the card is returned to the user, the anomalies include many characteristics of the similarity of the generated frequency N-gram portrait with the reference frequency N-gram portraits of the network traffic of the network nodes of the automated telecommunications system;

- предоставления пользователю возможность отметки сформированного частотного N-граммного портрета как нормального или аномального;- providing the user with the ability to mark the generated frequency N-gram portrait as normal or abnormal;

- добавления сформированного частотного N-граммного портрета сетевого трафика в словарь сигналов эталонных частотных N-граммных портретов с карточкой аномалии.- adding the generated frequency N-gram portrait of network traffic to the signal dictionary of reference frequency N-gram portraits with an anomaly card.

На фигуре приведена структурная схема устройства, реализующего предлагаемый способ выявления аномалий в работе высоконагруженной сети автоматизированной телекоммуникационной системы.The figure shows a block diagram of a device that implements the proposed method for detecting anomalies in the operation of a highly loaded network of an automated telecommunications system.

Сочетание отличительных признаков и свойств предлагаемого способа из литературы не известны, поэтому он соответствует критериям новизны и изобретательского уровня.The combination of distinctive features and properties of the proposed method is not known from the literature, so it meets the criteria of novelty and inventive step.

Способ выявления аномалий в работе высоконагруженной сети автоматизированной телекоммуникационной системы реализуется следующим образом:The method for detecting anomalies in the operation of a highly loaded network of an automated telecommunications system is implemented as follows:

1 На основе приема и обработки сетевого трафика формируют словарь сигналов эталонных частотных N-граммных портретов нормального и/или аномального сетевого трафика для каждой допустимой пары узлов сети автоматизированной телекоммуникационной системы.1 Based on the reception and processing of network traffic, a dictionary of signals of reference frequency N-gram portraits of normal and/or abnormal network traffic is formed for each allowable pair of network nodes of an automated telecommunications system.

2 Принимают перехваченный в сети автоматизированной телекоммуникационной системы сетевой пакет, выявляют в нем адресные поля и поля данных на основе правил разбора сетевого пакета, при этом адресные поля пакета включают адрес и интерфейс по меньшей мере одного узла-источника и адрес, и интерфейс по меньшей мере одного узла-получателя.2 A network packet intercepted in the network of an automated telecommunications system is received, address fields and data fields are detected in it based on the network packet parsing rules, while the address fields of the packet include the address and interface of at least one source node and the address and interface of at least one destination node.

3 Выявляют адрес и интерфейс узла-отправителя и адрес, и интерфейс узла-получателя на основе поиска по каталогу интерфейсов сетевых узлов сети автоматизированной телекоммуникационной системы для выявленной пары "узел-источник - узел-получатель" находят запись в словаре сигналов, причем запись словаря сигналов включает адреса и интерфейсы этих узлов и поля данных принятого сетевого пакета.3 The address and interface of the sender node and the address and interface of the recipient node are identified based on the search in the catalog of interfaces of the network nodes of the network of the automated telecommunication system for the identified pair "source node - destination node" find an entry in the signal dictionary, and the entry in the signal dictionary includes the addresses and interfaces of these nodes and the data fields of the received network packet.

4 В процессе приема сетевых пакетов и выявления адресов и интерфейсов накапливают статистику по сетевым пакетам.4 In the process of receiving network packets and identifying addresses and interfaces, accumulate statistics on network packets.

5 Формируют на основе обработки накопленных сетевых пакетов текущий частотный N-граммный портрет сетевого трафика пары «узел-отправитель» - «узел-получатель».5 Based on the processing of the accumulated network packets, the current frequency N-gram portrait of the network traffic of the "sender node" - "receiver node" pair is formed.

6 На основе сопоставления сформированного частотного портрета с эталонными частотными N-граммными портретами сетевого трафика из словаря сигналов формируют множество характеристик схожести, сравнивают их с пороговым значением.6 Based on the comparison of the generated frequency portrait with the reference frequency N-gram portraits of network traffic from the signal dictionary, a set of similarity characteristics is formed and compared with a threshold value.

7 Возвращают пользователю карточку аномалии, при этом карточка аномалии включает в себя сведения, включающие по меньшей мере один из видов сведений, выбранных из группы:7 The anomaly card is returned to the user, wherein the anomaly card includes information including at least one of the types of information selected from the group:

7.1 адрес и/или интерфейс узла-источника и/или узла-получателя;7.1 address and/or interface of the source node and/or the destination node;

7.2 множество характеристик схожести сформированного частотного N-граммного портрета с эталонными частотными N-граммными портретами сетевого трафика узлов сети автоматизированной телекоммуникационной системы.7.2 set of similarity characteristics of the formed frequency N-gram portrait with the reference frequency N-gram portraits of network traffic of network nodes of an automated telecommunications system.

8 Предоставляют пользователю возможность отметки сформированного частотного N-граммного портрета как нормального или аномального.8 Provide the user with the ability to mark the generated frequency N-gram pattern as normal or abnormal.

9 Добавляют сформированный частотный N-граммный портрет сетевого трафика в словарь сигналов эталонных частотных N-граммных портретов с карточкой аномалии.9 Add the formed frequency N-gram pattern of network traffic to the signal dictionary of reference frequency N-gram patterns with an anomaly card.

Для реализации пункта 1 на основе принятых и обработанных сетевых пакетов

Figure 00000001
i=1,2,…,To implement point 1 based on received and processed network packets
Figure 00000001
i=1,2,…,

где i - номер пакета;where i - package number;

Figure 00000002
- байт i-го пакета;
Figure 00000002
- byte of the i-th packet;

ki - номер байта в пакете;k i - byte number in the packet;

формируют словарь сигналов эталонных частотных N-граммных портретов нормального и/или аномального сетевого трафика для каждой j-й допустимой пары узлов сети автоматизированной телекоммуникационной системы:a dictionary of signals of reference frequency N-gram portraits of normal and/or abnormal network traffic is formed for each j-th admissible pair of network nodes of an automated telecommunication system:

Figure 00000003
Figure 00000003

где Ej - j-й эталонный частотный N-граммный портрет;where E j - j-th reference frequency N-gram portrait;

Figure 00000004
- значение частоты использования уникальной l-ой последовательности значащих символов
Figure 00000005
длиной не более N для j-го подмножества пакетов.
Figure 00000004
- the value of the frequency of using the unique l-th sequence of significant characters
Figure 00000005
length no more than N for the j-th subset of packets.

Для реализации пункта 2 так же, как и в способе-прототипе, принимают перехваченный в сети автоматизированной телекоммуникационной системы сетевой пакет

Figure 00000001
To implement point 2, as well as in the prototype method, they receive a network packet intercepted in the network of an automated telecommunications system
Figure 00000001

где i - номер пакета;where i - package number;

bki - байт i-го пакета;b ki - byte of the i-th packet;

ki - номер байта в пакете,k i - byte number in the packet,

на основе правил разбора выявляют в нем адресные поля и поля данных

Figure 00000006
based on parsing rules, address fields and data fields are identified in it
Figure 00000006

где Ф - правило разбора;where Ф is the parsing rule;

Figure 00000007
- адресные поля по меньшей мере одного узла-источника и одного узла-получателя;
Figure 00000007
- address fields of at least one source node and one destination node;

Figure 00000008
- байты адресных полей;
Figure 00000008
- bytes of address fields;

Figure 00000009
- данные;
Figure 00000009
- data;

Figure 00000010
- байты данных.
Figure 00000010
- data bytes.

Для реализации пункта 3 так же, как и в способе-прототипе, из адресных полей

Figure 00000011
i-го пакета выявляют адрес и интерфейс узла-отправителя и адрес, и интерфейс узла-получателя на основе поиска по каталогу интерфейсов сетевых узлов сети автоматизированной телекоммуникационной системы для выявленной пары "узел-источник - узел-получатель", т.е. выполняют
Figure 00000012
To implement paragraph 3 in the same way as in the prototype method, from the address fields
Figure 00000011
The address and interface of the source node and the address and interface of the destination node are identified based on the search in the catalog of interfaces of the network nodes of the automated telecommunications system network for the identified pair "source node - destination node", i.e. perform
Figure 00000012

где Ψ - словарь сигналов;where Ψ is a dictionary of signals;

Figure 00000013
- "узел-источник";
Figure 00000013
- "source node";

Figure 00000014
- "узел-получатель".
Figure 00000014
- "destination node".

Для реализации пункта 4 множество перехваченных пакетов

Figure 00000015
To implement point 4, the set of intercepted packets
Figure 00000015

где I - количество перехваченных пакетов, разделяют на подмножества для всех выявленных j-х пар

Figure 00000016
("узел-источник - узел-получатель"):
Figure 00000017
j=1,2,…,where I is the number of intercepted packets, divided into subsets for all detected j-th pairs
Figure 00000016
("source node - destination node"):
Figure 00000017
j=1,2,…,

где

Figure 00000018
- количество пакетов в подмножестве j;where
Figure 00000018
- number of packages in subset j;

j - номер подмножества.j - subset number.

При этом подмножество считается сформированным, если выполняется условие

Figure 00000019
, где С - минимально допустимое количество пакетов в подмножестве.In this case, the subset is considered formed if the condition
Figure 00000019
, where C is the minimum allowed number of packets in the subset.

Для реализации пункта 5 частотный N-граммный портрет сетевого трафика j-й пары «узел-отправитель» - «узел-получатель» представляется в виде множества значений абсолютных или относительных частот использований уникальных последовательностей значащих символов длиной не более N для j-го подмножества

Figure 00000020
To implement paragraph 5, the frequency N-gram portrait of the network traffic of the j-th pair of "sender node" - "receiver node" is represented as a set of values of absolute or relative frequencies of use of unique sequences of significant characters with a length of no more than N for the j-th subset
Figure 00000020

В качестве значащих символов могут использоваться значения бита, тетрады байта, байта и т.д. В частности, если в качестве значащих символов выбраны значения байта, то возможные значащие символы находятся в интервале [0, 256[. Тогда количество уникальных последовательностей значащих символов длиной не более N можно вычислить по формуле

Figure 00000021
, где I(N) - количество уникальных последовательностей.Bit values, byte tetrads, byte values, etc. can be used as significant characters. In particular, if byte values are chosen as significant characters, then the possible significant characters are in the interval [0, 256[. Then the number of unique sequences of significant characters of length no more than N can be calculated by the formula
Figure 00000021
, where I(N) is the number of unique sequences.

Обозначим все уникальные последовательности значащих символов длиной не более N:

Figure 00000022
Let's denote all unique sequences of significant characters of length no more than N:
Figure 00000022

Для каждого j-го подмножества

Figure 00000023
подсчитывается количество использований N-грамм
Figure 00000024
For each j-th subset
Figure 00000023
the number of uses of N-grams is counted
Figure 00000024

Тогда значение частот использований уникальных последовательностей значащих символов для каждого j-го подмножества определяются выражением:Then the value of the frequencies of using unique sequences of significant symbols for each j-th subset is determined by the expression:

Figure 00000025
Figure 00000025

а частотный N-граммный портрет для каждого j-го подмножества выражением:and the frequency N-gram portrait for each j-th subset by the expression:

Figure 00000026
Figure 00000026

Для реализации пункта 6 выполняют на основе сравнения всех j-х частотных N-грамнных портретов (Gj) с j-ми эталонными портретами (Ej).To implement paragraph 6, perform based on the comparison of all j-th frequency N-gram portraits (G j ) with the j-th reference portraits (E j ).

Для этого формируют множество характеристик схожести. К ним можно отнести коэффициент взаимной корреляции Пирсона, оценку схожести по методу наименьших квадратов или другие характеристики схожести. Мощность множества характеристик схожести должна быть не менее 1.For this, a set of similarity characteristics is formed. These may include Pearson's cross-correlation coefficient, least squares similarity score, or other similarity characteristics. The power of the set of similarity characteristics must be at least 1.

Если в качестве характеристики схожести выбран коэффициент взаимной корреляции Пирсона, то его вычисляют по выражениям:If the Pearson cross-correlation coefficient is chosen as the similarity characteristic, then it is calculated by the expressions:

Figure 00000027
Figure 00000027

где κj - коэффициент взаимной корреляции, который в данном случае является характеристикой схожести, а множество характеристик состоит из одного элемента: X={κj}.where κ j is the cross-correlation coefficient, which in this case is a similarity characteristic, and the set of characteristics consists of one element: X={κ j }.

Частотные N-граммные портреты Gj и Ej считаются схожими, если выполняется условие κj≥ej для X, состоящего из одного элемента, где ej - пороговое значение для j-го эталона.Frequency N-gram portraits G j and E j are considered similar if the condition κ j ≥e j is satisfied for X, consisting of one element, where e j is the threshold value for the j-th standard.

Для реализации пункта 7 проверяют условие κj<ej. Если условие выполняется, то j-ое подмножество пакетов

Figure 00000028
считается аномальным. В этом случае так же, как и в способе-прототипе, возвращают пользователю карточку аномалии, при этом карточка аномалии включает в себя сведения, включающие по меньшей мере один из видов сведений, выбранных из группы:To implement point 7, the condition κ j <e j is checked. If the condition is met, then the j-th subset of packages
Figure 00000028
considered anomalous. In this case, as well as in the prototype method, the anomaly card is returned to the user, while the anomaly card includes information including at least one of the types of information selected from the group:

- адрес и/или интерфейс узла-источника и/или узла-получателя;- address and/or interface of the source node and/or the destination node;

- множество характеристик схожести сформированного частотного N-граммного портрета с эталонными частотными N-граммными портретами сетевого трафика узлов сети автоматизированной телекоммуникационной системы.- a set of similarity characteristics of the generated frequency N-gram portrait with reference frequency N-gram portraits of network traffic of network nodes of an automated telecommunications system.

Для реализации пункта 8 по решению пользователя производят действия над частотным N-граммным портретом или пороговым значением. А именно, если пользователь принимает решение, что аномалии нет, то он может изменить пороговое значение или скорректировать эталонный частотный портрет, в противном случае фиксирует аномалию для адресов и/или интерфейсов узла-источника и/или узла-получателя.To implement point 8, according to the user's decision, actions are performed on the frequency N-gram portrait or threshold value. Namely, if the user decides that there is no anomaly, then he can change the threshold value or correct the reference frequency portrait, otherwise he fixes the anomaly for the addresses and/or interfaces of the source node and/or the destination node.

Для реализации пункта 9 при условии, что пользователь принял решение скорректировать эталонный частотный N-граммный портрет, он может заменить текущий эталонный частотный портрет на новый Gj → Ej, пересчитать Ej с учетом Gj, например, вычислить среднее арифметическое:

Figure 00000029
или средневзвешенное.To implement point 9, provided that the user has decided to correct the reference N-gram frequency portrait, he can replace the current reference frequency portrait with a new one G j → E j , recalculate E j taking into account G j , for example, calculate the arithmetic mean:
Figure 00000029
or weighted average.

Предлагаемый способ имеет следующие отличительные признаки в последовательности его реализации от способа-прототипа, которые представлены в таблице 1.The proposed method has the following distinguishing features in the sequence of its implementation from the prototype method, which are presented in table 1.

Figure 00000030
Figure 00000030

Figure 00000031
Figure 00000031

Figure 00000032
Figure 00000032

Figure 00000033
Figure 00000033

Figure 00000034
Figure 00000034

Из представленной таблицы 1 сравнения последовательностей реализации способа-прототипа и предлагаемого способа видно, что в предлагаемом способе, относительно способа-прототипа, дополнительно на основе приема и обработки сетевого трафика формируют словарь сигналов эталонных частотных N-граммных портретов нормального и/или аномального сетевого трафика для каждой допустимой пары узлов сети автоматизированной телекоммуникационной системы, в процессе приема сетевых пакетов и выявления адресов и интерфейсов накапливают статистику по сетевым пакетам, после чего формируют на основе обработки накопленных сетевых пакетов текущий частотный N-граммный портрет сетевого трафика пары «узел-отправитель» - «узел-получатель», на основе сопоставления сформированного частотного портрета с эталонными частотными N-граммными портретами сетевого трафика из словаря сигналов формируют множество характеристик схожести, сравнивают их с пороговым значением, при возвращении пользователю карточки аномалии в нее включают множество характеристик схожести сформированного частотного N-граммного портрета с эталонными частотными N-граммными портретами сетевого трафика узлов сети автоматизированной телекоммуникационной системы, после чего предоставляют пользователю возможность отметки сформированного частотного N-граммного портрета как нормального или аномального, добавляют сформированный частотный N-граммный портрет сетевого трафика в словарь сигналов эталонных частотных N-граммных портретов с карточкой аномалии.From the presented table 1 comparing the implementation sequences of the prototype method and the proposed method, it can be seen that in the proposed method, relative to the prototype method, additionally, based on the reception and processing of network traffic, a dictionary of signals of reference frequency N-gram portraits of normal and/or abnormal network traffic is formed for of each admissible pair of network nodes of an automated telecommunications system, in the process of receiving network packets and identifying addresses and interfaces, statistics on network packets are accumulated, after which, based on the processing of accumulated network packets, the current frequency N-gram portrait of the network traffic of the pair "sender-node" is formed - " recipient node", based on the comparison of the generated frequency portrait with the reference frequency N-gram portraits of network traffic from the signal dictionary, a set of similarity characteristics is formed, compared with the threshold value, when the anomaly card is returned to the user, it is turned on a set of similarity characteristics of the generated N-gram frequency portrait with the reference N-gram frequency portraits of network traffic of the network nodes of the automated telecommunication system are determined, after which they provide the user with the opportunity to mark the generated N-gram frequency portrait as normal or abnormal, add the generated N-gram frequency portrait of the network traffic to the dictionary of signals of reference frequency N-gram portraits with an anomaly card.

Структурная схема устройства, реализующего предлагаемый способ, изображена на фигуре. В состав устройства входят:The block diagram of the device that implements the proposed method is shown in the figure. The device includes:

01 - модуль перехвата сетевых пакетов (МПСП);01 - network packet interception module (MPSP);

02 - модуль обработки сетевых пакетов и выделения адресной информации (МОПиВАИ);02 - module for processing network packets and extracting address information (MOPIVAI);

03 - модуль формирования статистики и частотных N-граммных портретов (МФСиЧП);03 - module for generating statistics and frequency N-gram portraits (MFSIChP);

04 - модуль сравнения частотных N-граммных портретов (МСЧП);04 - module for comparing frequency N-gram portraits (MSChP);

05 - база эталонных частотных N-граммных портретов (БЭЧП);05 - base of reference frequency N-gram portraits (BECHP);

06 - модуль управления (МУ);06 - control module (MU);

07 - модуль ввода вывода (МВВ).07 - input output module (MVV).

Вход МПСП 01 соединен с сетью автоматизированной телекоммуникационной системы. Выход МПСП 01 соединен с входом МОПиВАИ 02. Выход МОПиВАИ 02 соединен с входом МФСиЧП 03. Выход МФСиЧП 03 соединен с первым входом МСЧП 04. Выход МСЧП 04 соединяется с первым входом МУ 06. Первый выход МУ 06 соединяется с входом БЭЧП 05. Выход БЭЧП 05 соединен со вторым входом МСЧП 04. Второй выход МУ 06 соединяется с входом МВВ 07. Выход МВВ 07 соединяется со вторым входом МУ 06.Input MSSP 01 is connected to the network of an automated telecommunications system. The output of MPSP 01 is connected to the input of MOPiVAI 02. The output of MOPiVAI 02 is connected to the input of MFSiChP 03. The output of MFSiChP 03 is connected to the first input of MSChP 04. The output of MSChP 04 is connected to the first input of MU 06. The first output of MU 06 is connected to the input of BECHP 05. The output of BECHP 05 is connected to the second input of MSCHP 04. The second output of MU 06 is connected to the input of MBB 07. The output of MBB 07 is connected to the second input of MU 06.

МПСП 01 перехватывает в сети автоматизированной телекоммуникационной системы сетевые пакеты и передает их на вход МОПиВАИ 02. МОПиВАИ 02 обрабатывает и выявляет в них адресные поля и поля данных на основе правил разбора сетевого пакета. Для каждого сетевого пакета МОПиВАИ 02 выявляет адреса и интерфейсы узлов-отправителя и адреса, и интерфейсы узлов-получателя на основе поиска по каталогу интерфейсов сетевых узлов сети автоматизированной телекоммуникационной системы для выявленной пары "узел-источник - узел-получатель". Выявленные пары "узел-источник - узел-получатель" и перехваченные сетевые пакеты передаются на вход МФСиЧП 03. МФСиЧП 03 разделяет сетевые пакеты на группы по выявленным парам "узел-источник - узел-получатель" и для каждой группы накапливает статистику до тех пор, пока не накопит для группы минимально допустимое количество пакетов. По завершению накопления МФСиЧП 03 формирует частотный N-граммный портрет и передает его и пару "узел-источник - узел-получатель" на вход МСЧП 04. МСЧП 04 запрашивает эталонный частотный N-граммный портрет в БЭЧП 05 для пары "узел-источник - узел-получатель". Если эталонный частотный N-граммный портрет найден в БЭЧП 05, то МСЧП 04 сопоставляет сформированный частотный портрет с эталонным, формирует множество характеристик схожести и сравнивает их с пороговым значением. Если характеристики схожести не превышают пороговое значение, то выявляется аномалия,, в таком случае МСЧП 04 выдает на первый вход МУ 06 карточку аномалии (адрес и/или интерфейс узла-источника и/или узла-получателя и множество характеристик схожести сформированного частотного N-граммного портрета с эталонными частотными N-граммными портретами сетевого трафика узлов сети автоматизированной телекоммуникационной системы). Если эталон не найден в БЭЧП 05, то текущий частотный N-граммный портрет автоматически добавляется в БЭЧП 05. МУ 06 обеспечивает взаимодействие МСЧП 04, БЭЧП 05 и МВВ 07. МВВ 07 обеспечивает взаимодействие с Пользователем, возвращает ему карточки аномалий и принимает от него команды управления.MPSP 01 intercepts network packets in the network of an automated telecommunications system and transmits them to the input of MOPiVAI 02. MOPiVAI 02 processes and detects address fields and data fields in them based on the rules for parsing a network packet. For each network packet MOPiVAI 02 detects the addresses and interfaces of the sender nodes and addresses and interfaces of the recipient nodes based on the search in the catalog of interfaces of the network nodes of the automated telecommunications system network for the identified pair "source node - destination node". The identified pairs "source-source - host-receiver" and the intercepted network packets are transmitted to the input of MFSiChP 03. MFSiChP 03 divides network packets into groups according to the identified pairs "source-source - destination node" and accumulates statistics for each group until until it has accumulated the minimum allowable number of packets for the group. Upon completion of the accumulation, MFSICHP 03 generates a frequency N-gram portrait and transmits it and a pair of "source-source - node-receiver" to the input of MSCHP 04. MSChP 04 requests a reference frequency N-gram portrait in BECHP 05 for a pair of "node-source - node -recipient". If the reference frequency N-gram portrait is found in the BECHP 05, then the MSCHP 04 compares the generated frequency portrait with the reference one, generates a set of similarity characteristics and compares them with the threshold value. If the similarity characteristics do not exceed the threshold value, then an anomaly is detected, in this case, MUSP 04 issues an anomaly card to the first input of MU 06 (address and / or interface of the source node and / or recipient node and a set of similarity characteristics of the generated frequency N-gram portrait with reference frequency N-gram portraits of network traffic of network nodes of an automated telecommunications system). If the standard is not found in BECHP 05, then the current frequency N-gram portrait is automatically added to BECHP 05. MU 06 provides interaction between MUCHP 04, BECHP 05 and MVM 07. MVM 07 provides interaction with the User, returns anomaly cards to him and receives commands from him management.

Приведем пример использования способа для пары "узел-источник - узел-получатель", в которой аномалии нет (пара А), и для пары, в которой аномалия есть (пара Б).Let us give an example of using the method for a pair "source node - destination node", in which there is no anomaly (pair A), and for a pair in which there is an anomaly (pair B).

Выполняя действия п. 1 сформируем эталонные частотные N-граммные портреты для пар А и Б, т.е перехватим для каждой пары не менее С=1000 пакетов, примем, что длина последовательностей значащих символов будет равна N=1. В качестве значащих символов будет использоваться значения байта, тогда количество уникальных последовательностей значащих символов I(N)=256.Performing the steps of paragraph 1, we will form the reference frequency N-gram portraits for pairs A and B, i.e. we will intercept at least C=1000 packets for each pair, we assume that the length of the sequences of significant characters will be equal to N=1. Byte values will be used as significant characters, then the number of unique sequences of significant characters is I(N)=256.

Сформируем частотные портреты, считая количество использований всех значений байт для всех перехваченных сетевых пакетов пар А и Б, и сохраним их, соответственно, в словари сигналов как эталонные (таблица 2).We will form frequency portraits, counting the number of uses of all byte values for all intercepted network packets of pairs A and B, and save them, respectively, in signal dictionaries as reference ones (Table 2).

Проведем еще один перехват в сети автоматизированной телекоммуникационной системы сетевых пакетов для ранее выбранных пар А и Б и, выполняя пункты 2-5, так же сформируем частотные N-граммные портреты (таблица 2). Выполняя пункт 6, сравним сформированные частотные N-граммные портреты для пар А и Б с эталонными, соответственно, и сформируем множество характеристик схожести. В качестве порогового значение выберем 0,9.Let's carry out one more interception in the network of an automated telecommunication system of network packets for previously selected pairs A and B and, following steps 2-5, we will also form frequency N-gram portraits (Table 2). Performing paragraph 6, we compare the generated frequency N-gram portraits for pairs A and B with the reference ones, respectively, and form a set of similarity characteristics. We will choose 0.9 as the threshold value.

В этом примере множество характеристик схожести состоит из одного элемента - коэффициента взаимной корреляции (КВК) Пирсона.In this example, the set of similarity features consists of a single element, Pearson's cross-correlation coefficient (CCC).

КВК между эталонным и частотным N-граммным портретом для пары А равен 0,97976, что больше порогового значения, исходя из этого делается вывод, что аномалии нет.The CVC between the reference and frequency N-gram portrait for pair A is 0.97976, which is more than the threshold value, based on this, it is concluded that there is no anomaly.

КВК между эталонным и частотным N-граммным портретом для пары Б равен 0,46552, что меньше порогового значения, исходя из этого делается вывод, что аномалия выявлена. Выполняя пункты 7-9, пользователю предоставляется: карточка аномалии, возможность отметки сформированного частотного N-граммного портрета как нормального или аномального, возможность добавления его в словарь сигналов эталонных частотных N-граммных портретов с карточкой аномалии.CVC between the reference and frequency N-gram portrait for pair B is 0.46552, which is less than the threshold value, based on this, it is concluded that the anomaly has been detected. Performing steps 7-9, the user is provided with: an anomaly card, the ability to mark the generated frequency N-gram pattern as normal or abnormal, the ability to add it to the signal dictionary of reference N-gram frequency patterns with an anomaly card.

Figure 00000035
Figure 00000035

Figure 00000036
Figure 00000036

Figure 00000037
Figure 00000037

Figure 00000038
Figure 00000038

Figure 00000039
Figure 00000039

Figure 00000040
Figure 00000040

Figure 00000041
Figure 00000041

Таким образом, предлагаемый способ, относительно способа-прототипа, позволяет реализовать выявление аномалий в работе высоконагруженной сети автоматизированной телекоммуникационной системы, которое основано на анализе частотных характеристик битового потока трафика сети без предварительного выделения из него отдельных элементов и без применения многоагентной модели этой сети.Thus, the proposed method, relative to the prototype method, makes it possible to implement anomaly detection in the operation of a highly loaded network of an automated telecommunication system, which is based on the analysis of the frequency characteristics of the bit stream of network traffic without first extracting individual elements from it and without using a multi-agent model of this network.

Claims (1)

Способ выявления аномалий в работе высоконагруженной сети автоматизированной телекоммуникационной системы, при котором принимают перехваченный в сети автоматизированной телекоммуникационной системы сетевой пакет, выявляют в нем адресные поля и поля данных на основе правил разбора сетевого пакета, при этом адресные поля пакета включают адрес и интерфейс по меньшей мере одного узла-источника и адрес, и интерфейс по меньшей мере одного узла-получателя, выявляют адрес и интерфейс узла-отправителя и адрес и интерфейс узла-получателя на основе поиска по каталогу интерфейсов сетевых узлов сети автоматизированной телекоммуникационной системы, для выявленной пары "узел-источник - узел-получатель" находят запись в словаре сигналов, причем запись словаря сигналов включает адреса и интерфейсы этих узлов и поля данных принятого сетевого пакета, возвращают пользователю карточку аномалии, при этом карточка аномалии включает в себя сведения, включающие по меньшей мере один из видов сведений, выбранных из группы: адрес и/или интерфейс узла-источника и/или узла-получателя, отличающийся тем, что дополнительно на основе приема и обработки сетевого трафика формируют словарь сигналов эталонных частотных N-граммных портретов нормального и/или аномального сетевого трафика для каждой допустимой пары узлов сети автоматизированной телекоммуникационной системы, где частотные N-граммные портреты представлены в виде множества значений абсолютных или относительных частот использований уникальных последовательностей значащих символов длиной не более N для j-го подмножества сетевых пакетов, в процессе приема сетевых пакетов и выявления адресов и интерфейсов накапливают статистику по сетевым пакетам, после чего формируют на основе обработки накопленных сетевых пакетов текущий частотный N-граммный портрет сетевого трафика пары «узел-отправитель» - «узел-получатель», на основе сопоставления сформированного частотного портрета с эталонными частотными N-граммными портретами сетевого трафика из словаря сигналов формируют множество характеристик схожести, сравнивают их с пороговым значением, при возвращении пользователю карточки аномалии в нее включают множество характеристик схожести сформированного частотного N-граммного портрета с эталонными частотными N-граммными портретами сетевого трафика узлов сети автоматизированной телекоммуникационной системы, после чего предоставляют пользователю возможность отметки сформированного частотного N-граммного портрета как нормального или аномального, добавляют сформированный частотный N-граммный портрет сетевого трафика в словарь сигналов эталонных частотных N-граммных портретов с карточкой аномалии.A method for detecting anomalies in the operation of a highly loaded network of an automated telecommunications system, in which a network packet intercepted in the network of an automated telecommunications system is received, address fields and data fields are detected in it based on the rules for parsing a network packet, while the address fields of the packet include an address and an interface of at least of one source node and the address and interface of at least one recipient node, identify the address and interface of the sender node and the address and interface of the recipient node based on a search in the catalog of interfaces of network nodes of the network of an automated telecommunications system, for the identified pair of "node- source - destination node" find an entry in the signal dictionary, and the signal dictionary entry includes the addresses and interfaces of these nodes and the data fields of the received network packet, return the anomaly card to the user, while the anomaly card includes information including at least one of the types information selected from the group: address and / or interface of the source node and / or the recipient node, characterized in that, additionally, on the basis of receiving and processing network traffic, a dictionary of signals of reference frequency N-gram portraits of normal and / or abnormal network traffic is formed for each allowable pair network nodes of an automated telecommunications system, where frequency N-gram portraits are presented as a set of values of absolute or relative frequencies of use of unique sequences of significant characters with a length of not more than N for the j-th subset of network packets, statistics are accumulated in the process of receiving network packets and identifying addresses and interfaces by network packets, after which, based on the processing of the accumulated network packets, the current frequency N-gram portrait of the network traffic of the pair "sender node" - "receiver node" is formed based on a comparison of the generated frequency portrait with reference frequency N-gram portraits of network traffic from dictionary with signals form a set of similarity characteristics, compare them with a threshold value, when the anomaly card is returned to the user, it includes a set of similarity characteristics of the generated N-gram frequency portrait with the reference N-gram frequency portraits of the network traffic of the network nodes of the automated telecommunication system, after which the user is given the opportunity to mark of the generated frequency N-gram pattern as normal or abnormal, the generated frequency N-gram pattern of network traffic is added to the signal dictionary of the reference frequency N-gram patterns with an anomaly card.
RU2021128483A 2021-09-29 Method for detection of anomalies in operation of highly loaded network of automated telecommunication system RU2787078C1 (en)

Publications (1)

Publication Number Publication Date
RU2787078C1 true RU2787078C1 (en) 2022-12-28

Family

ID=

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101447178B1 (en) * 2014-06-25 2014-10-10 숭실대학교산학협력단 A Method for Detecting Abnormal Patterns of Network Traffic by Analyzing Linear Patterns and Intensity Features
RU2738460C1 (en) * 2020-02-26 2020-12-14 Общество с ограниченной ответственностью "Сайберлимфа" Method for detecting anomalies in operation of automated system network
US20210192582A1 (en) * 2003-02-05 2021-06-24 Hoffberg Family Trust 2 System and method for determining contingent relevance

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210192582A1 (en) * 2003-02-05 2021-06-24 Hoffberg Family Trust 2 System and method for determining contingent relevance
KR101447178B1 (en) * 2014-06-25 2014-10-10 숭실대학교산학협력단 A Method for Detecting Abnormal Patterns of Network Traffic by Analyzing Linear Patterns and Intensity Features
RU2738460C1 (en) * 2020-02-26 2020-12-14 Общество с ограниченной ответственностью "Сайберлимфа" Method for detecting anomalies in operation of automated system network

Similar Documents

Publication Publication Date Title
US8850582B2 (en) Security monitoring system and security monitoring method
KR101538709B1 (en) Anomaly detection system and method for industrial control network
Husain et al. Development of an efficient network intrusion detection model using extreme gradient boosting (XGBoost) on the UNSW-NB15 dataset
US10719768B1 (en) System and method for detecting an undesirable event
CN110430226B (en) Network attack detection method and device, computer equipment and storage medium
CN110798463B (en) Network covert channel detection method and device based on information entropy
CN111866024A (en) Network encryption traffic identification method and device
CN114553523A (en) Attack detection method and device based on attack detection model, medium and equipment
Zhi et al. Resist interest flooding attacks via entropy–SVM and Jensen–Shannon divergence in information-centric networking
CN107209834A (en) Malicious communication pattern extraction apparatus, malicious communication schema extraction system, malicious communication schema extraction method and malicious communication schema extraction program
Callegari et al. Real time attack detection with deep learning
Ibrahim et al. Performance comparison of intrusion detection system using three different machine learning algorithms
CN113282920B (en) Log abnormality detection method, device, computer equipment and storage medium
Hossain Enhanced ensemble-based distributed denial-of-service (DDoS) attack detection with novel feature selection: A robust cybersecurity approach
RU2787078C1 (en) Method for detection of anomalies in operation of highly loaded network of automated telecommunication system
Schuster et al. Attack and fault detection in process control communication using unsupervised machine learning
CN116800518A (en) Method and device for adjusting network protection strategy
Gelenbe et al. IoT Network Cybersecurity Assessment with the Associated Random Neural Network
US20210234871A1 (en) Infection-spreading attack detection system and method, and program
Sapozhnikova et al. Intrusion detection system based on data mining technics for industrial networks
Levonevskiy et al. Network attacks detection using fuzzy logic
Le et al. A novel machine learning-based network intrusion detection system for software-defined network
RU2683631C1 (en) Computer attacks detection method
Dik et al. Web attacks detection based on patterns of sessions
Zhi et al. An entropy-svm based interest flooding attack detection method in icn