PL241005B1 - Method and system of adaptive creation of network traffic filtering rules on a network device, detecting anomalies and automatically fighting DDoS attacks - Google Patents

Method and system of adaptive creation of network traffic filtering rules on a network device, detecting anomalies and automatically fighting DDoS attacks Download PDF

Info

Publication number
PL241005B1
PL241005B1 PL431825A PL43182519A PL241005B1 PL 241005 B1 PL241005 B1 PL 241005B1 PL 431825 A PL431825 A PL 431825A PL 43182519 A PL43182519 A PL 43182519A PL 241005 B1 PL241005 B1 PL 241005B1
Authority
PL
Poland
Prior art keywords
network
packet
flow
memory
flows
Prior art date
Application number
PL431825A
Other languages
Polish (pl)
Other versions
PL431825A1 (en
Inventor
Michał Piotr Karpowicz
Michał Getka
Arkadiusz Piórkowski
Original Assignee
Naukowa I Akademicka Siec Komputerowa Panstwowy Inst Badawczy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Naukowa I Akademicka Siec Komputerowa Panstwowy Inst Badawczy filed Critical Naukowa I Akademicka Siec Komputerowa Panstwowy Inst Badawczy
Priority to PL431825A priority Critical patent/PL241005B1/en
Publication of PL431825A1 publication Critical patent/PL431825A1/en
Publication of PL241005B1 publication Critical patent/PL241005B1/en

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

PL 241 005 B1PL 241 005 B1

Opis wynalazkuDescription of the invention

Dziedzina technikiThe field of technology

Niniejszy wynalazek dotyczy sposobu i układu adaptacyjnego tworzenia reguł filtracji ruchu sieciowego na urządzeniu sieciowym. Sposób samoistnie wykrywa i tłumi anomalie, a zwłaszcza ataki wolumetryczne (DDoS, ang. distributed denial of service). Sposób dotyczy wykorzystania istniejącej infrastruktury sieciowej, po niezbędnych modyfikacjach związanych z zastosowaniem układu według wynalazku, do ochrony tejże infrastruktury przed zagrożeniami związanymi z przeciążeniem sieci z powodu przekroczenia fizycznych możliwości transferu danych w obrębie infrastruktury, w której sposób i układ jest używany.The present invention relates to a method and a system for adaptively creating network traffic filtering rules on a network device. The method automatically detects and suppresses anomalies, especially volumetric attacks (DDoS). The method relates to the use of the existing network infrastructure, after the necessary modifications related to the use of the system according to the invention, to protect this infrastructure against the risks associated with network congestion due to exceeding the physical capacity of data transfer within the infrastructure in which the method and system is used.

Rozwiązanie to jest adaptacyjnym (uczącym się w trybie bez nadzoru) systemem sterowania, samodzielnie i automatycznie wykrywającym, śledzącym, izolującym i tłumiącym wielowymiarowe oraz zmienne w czasie zaburzenia ruchu sieciowego spowodowane atakami wolumetrycznymi DDoS. Rozwiązanie uodpornia chronioną sieć na zaburzenia procesu transmisji pakietów analizując w dziedzinie czasu i częstotliwości sygnałowe reprezentacje przepływów pakietów, oraz przeprowadzając na tej podstawie adaptacyjną syntezę sygnałów sterujących na bieżąco szybkością ich przepływu. Proces sterowania jest realizowany przez układ obserwatora przepływów.This solution is an adaptive (unattended learning) control system that independently and automatically detects, tracks, isolates and suppresses multi-dimensional and time-varying network traffic disturbances caused by volumetric DDoS attacks. The solution immunizes the protected network against disturbances in the packet transmission process by analyzing the signal representations of packet flows in the time and frequency domains, and on this basis carrying out adaptive synthesis of signals controlling their flow rate on an ongoing basis. The control process is carried out by the flow observer system.

WprowadzenieIntroduction

Bezpieczeństwo teleinformatyczne jest bezpośrednio związane z technicznymi rozwiązaniami stojącymi za sposobem organizacji komunikacji w istniejących systemach teleinformatycznych, a zwłaszcza w sieciach komputerowych. Najczęściej występujące zagrożenia związane są z celowym i wrogim wykorzystaniem istniejących protokołów i podstawowych podatności powszechnie dostępnych usług sieciowych. Wśród podatności tych należy wymienić, po pierwsze, naturalnie występującą asymetrię pomiędzy rozmiarem zapytania kierowanego do serwera a rozmiarem udzielanej przez serwer odpowiedzi, a po drugie, naturalnie ograniczoną wydajność mechanizmów obsługi protokołów stanowych, szczególnie protokołu TCP. Wykorzystanie powszechnie znanych oraz ogólnodostępnych mechanizmów sieciowych umożliwia efektywne konstruowanie wielu urozmaiconych wariantów ataków wolumetrycznych typu DDoS (ang. DDoS - Distributed Denial of Service). Z tego względu prognozowany jest wzrost liczby ataków skierowanych przeciwko wielu celom oraz wykorzystujących jednocześnie wiele ich podatności, czyli ataków wielowymiarowych o złożonej dynamice.ICT security is directly related to the technical solutions behind the way of organizing communication in the existing ICT systems, especially in computer networks. The most common threats are related to the deliberate and hostile use of existing protocols and basic vulnerabilities of commonly available network services. These vulnerabilities include, firstly, the naturally occurring asymmetry between the size of the query sent to the server and the size of the response provided by the server, and secondly, the naturally limited performance of stateful protocol handling mechanisms, especially the TCP protocol. The use of commonly known and generally available network mechanisms enables the effective construction of many varied variants of volumetric attacks of the DDoS type (DDoS - Distributed Denial of Service). For this reason, an increase in the number of attacks directed against many targets and using many of their vulnerabilities at the same time is projected, i.e. multidimensional attacks with complex dynamics.

Raporty ukazujące krajobraz bezpieczeństwa teleinformatycznego na świecie dowodzą, że ataki typu DDoS są dominującym zagrożeniem na rynku usług sieciowych, takich jak telnet, http, https, dns oraz usługi serwerów gier. Liczba ataków rośnie z roku na rok, a wraz z nią gwałtownie wzrasta skala ataków mierzona w bitach na sekundę (bps) oraz pakietach na sekundę (pps). Aktualne dane ukazują także rosnącą złożoność dynamiki ataków. Zdecydowana większość ataków DDoS trwa nie dłużej niż 30 minut, przy czym wśród nich dominują ataki trwające poniżej 5 minut. Wyniki te wyraźnie określają wymagania dotyczące czasu reakcji, którym sprostać muszą systemy detekcji ataków oraz zespoły reagowania na incydenty naruszenia bezpieczeństwa teleinformatycznego.Reports showing the ICT security landscape in the world prove that DDoS attacks are the dominant threat on the market of network services such as telnet, http, https, dns and game server services. The number of attacks grows from year to year, and with it the scale of attacks measured in bits per second (bps) and packets per second (pps) grows sharply. Current data also show the increasing complexity of the dynamics of attacks. The vast majority of DDoS attacks last no longer than 30 minutes, with attacks lasting less than 5 minutes predominating among them. These results clearly define the response time requirements that must be met by attack detection systems and ICT security incident response teams.

Podstawowym narzędziem realizacji ataków pozostają sieci tak zwanych botów (ang. botnets), czyli podłączonych do sieci komputerów zainfekowanych oprogramowaniem przygotowanym do przeprowadzenia skoordynowanego ataku według określonego scenariusza. Należy oczekiwać wzrostu stopnia zaawansowania algorytmów wykorzystywanych przez boty do maskowania obecności, koordynacji oraz realizacji ataków wielowymiarowych.The basic tool for carrying out attacks are the networks of so-called bots (botnets), i.e. computers connected to the network and infected with software prepared to carry out a coordinated attack according to a specific scenario. An increase in the advancement of algorithms used by bots to mask presence, coordination and execution of multidimensional attacks should be expected.

Obecnie stosowane metody wykrywania ataków DDoS wykorzystują mechanizmy sygnaturowe, porównujące zawartość pakietów sieciowych lub cechy statystyczne przepływów z biblioteką wzorców znanych ataków. Sygnatury opisują najczęściej:The currently used methods of detecting DDoS attacks use signature mechanisms that compare the contents of network packets or statistical characteristics of flows with a library of known attacks patterns. The signatures most often describe:

• rozkład statystyczny wybranych atrybutów pakietów (z próby określanej okresem uczenia wstępnego), • dopuszczalne adresy źródłowe lub docelowe (wartości atrybutów pakietów), • warunki poprawności struktury ramki lub zawartość danych pakietu (często dopiero po odszyfrowaniu).• statistical distribution of selected packet attributes (from the sample defined by the initial training period), • acceptable source or destination addresses (packet attribute values), • conditions for the correctness of the frame structure or the packet data content (often only after decryption).

Detekcja anomalii w ruchu sieciowym polega na przeprowadzeniu testu dopasowania pakietu lub zbioru pakietów do wzorca lub na stwierdzeniu przekroczenia przez przepływ sieciowy zadanych wartości progowych (określających znaną a priori normę). Przy czym przepływ sieciowy jest identyfikowa ny najczęściej na podstawie tylko pięciu parametrów pakietów sieciowych, z których się składa, są to: adresDetection of anomalies in the network traffic consists in carrying out a test of matching a packet or set of packets to the pattern or in finding that the network flow exceeds the set threshold values (which define a priori known norm). The network flow is most often identified on the basis of only five parameters of the network packets it consists of: address

PL 241 005 B1 urządzenia źródłowego, adres urządzenia docelowego, port urządzenia źródłowego, port urządzenia docelowego, oraz oznaczenie protokołu transmisji. Skuteczność takich rozwiązań zależy od aktualności bazy wzorców ataków oraz wzorców ruchu zdrowego, w którym nie występują ataki.The source device address, the target device address, the source device port, the target device port, and the transmission protocol designation. The effectiveness of such solutions depends on the fact that the attack pattern database is up-to-date and the attack-free healthy movement patterns.

Gromadzenie wiedzy na temat tego rodzaju wzorców jest oczywiście ważne i niezbędne, jednak wymaga to długotrwałego procesu uczenia. Dopasowywanie zawartości pakietów do wzorców wymaga także dużej mocy obliczeniowej i tym samym ogranicza przepustowość systemu. Podejście sygnaturowe bazuje na założeniu, że dynamika systemów chronionych i atakujących jest wolniejsza od procesu uczenia się wzorców.Gathering knowledge about these kinds of patterns is of course important and necessary, but it requires a long learning process. Matching the packet content to patterns also requires a lot of computing power and thus reduces system throughput. The signature approach is based on the assumption that the dynamics of the protected and attacking systems is slower than the pattern learning process.

Wykorzystywane dotychczas systemy po wykryciu ataku (metodą sygnaturową) zazwyczaj przekierowują zaburzony ruch do wydzielonej sieci lub chmury w celu jego oczyszczenia, albo całkowicie blokują zanieczyszczony przepływ pakietów. Wadą tego rozwiązania jest długi czas reakcji na atak, m.in. wynikający z propagacji reguł routingu w sieci, oraz odcinanie normalnych połączeń sieciowych w zanieczyszczonym ruchu. To w rezultacie, paradoksalnie, może przyczyniać się do zwiększania skuteczności wykrytego ataku.The systems used so far after detecting an attack (signature method) usually redirect the disrupted traffic to a dedicated network or cloud in order to clean it, or completely block the contaminated flow of packets. The disadvantage of this solution is the long response time to the attack, e.g. resulting from the propagation of network routing rules, and the cutting off of normal network connections in dirty traffic. As a result, paradoxically, it may contribute to increasing the effectiveness of a detected attack.

Stan technikiState of the art

Jest wiele znanych rozwiązań mających na celu detekcję i tłumienie ataków wolumetrycznych, jednak zasada ich działania istotnie różni się od zasady działania sposobu według wynalazku. Dostępne rozwiązania charakteryzują się następującymi cechami funkcjonalnymi:There are many known solutions for the detection and suppression of volumetric attacks, but the principle of their operation is significantly different from the principle of the method according to the invention. The available solutions are characterized by the following functional features:

• detekcja ataków wyłącznie na podstawie ich znanych sygnatur (znanych wzorców), • ochrona wyłącznie wybranych i zdefiniowanych adresów sieciowych, • całkowite odrzucania pakietów pasujących do wzorca ataku, • oczyszczanie ruchu realizowane poza siecią klienta w chmurze dostawcy usługi, • ruch wymagający filtracji jest kierowany do zewnętrznego centrum oczyszczania ruchu tzw. scrubbing center (czas reakcji uzależniony od propagacji tablic routingu), • głęboka inspekcja pakietów (zaglądanie do danych zapisanych w polach warstw aplikacji OSI), • chronione są ściśle określone i zadane przez operatora adresy w sieci, • brak reguł adaptacyjnego sterownia nastawami policerów/shaperów (degraduje to dokładność przydziału zasobów łączy lub całkowicie uniemożliwia regulację szybkości przepływów), • brak mechanizmów prognozowania szybkości wyizolowanych przepływów, • brak mechanizmów automatycznego wyliczania bezpiecznych przydziałów zasobów łącza do prze- pływów, • brak mechanizmów analizy sygnałowej (cyfrowego przetwarzania sygnałów reprezentujących przepływy pakietów), • realizowanie zadań w ściśle ustalonym środowisku sieciowym (brak możliwości wdrożenia rozwiązania na bazie wybranych protokołów komunikacji z urządzeniami lub dystrybucji reguł filtracj i), • ustalony protokół zapisu reguł filtracji pakietów.• detection of attacks only on the basis of their known signatures (known patterns), • protection of only selected and defined network addresses, • complete rejection of packets matching the attack pattern, • traffic cleaning carried out outside the customer's network in the service provider's cloud, • traffic requiring filtration is routed to the external traffic cleaning center, the so-called scrubbing center (reaction time depends on the propagation of routing tables), • deep packet inspection (looking at the data stored in the fields of the OSI application layers), • addresses in the network specified and assigned by the operator are protected, • no rules for adaptive control of policer / shaper settings (this degrades the accuracy of link resource allocation or completely prevents flow rate regulation), • no mechanisms for forecasting the speed of isolated flows, • no mechanisms for automatic calculation of safe allocations of link resources to flows, • no signal analysis mechanisms (digital processing of signals representing packet flows) , • carrying out tasks in a strictly defined network environment (no possibility to implement a solution based on selected communication protocols with devices or distribution of filtration rules), • established protocol for writing packet filtration rules.

Ze stanu techniki znane jest rozwiązanie przedstawione w zgłoszeniu EP3253025. Według tego sposobu kontroler gromadzi dane statystyczne na temat ruchu sieciowego z pierwszego urządzenia przekazującego pakiety sieciowe. Jeżeli globalna statystyka ruchu sieciowego przepływającego pod docelowy adres sieciowy IP przekracza zadany poziom, to kontroler dostarcza do drugiego urządzenia przekazującego pakiety reguły prewencyjnej polityki DDoS. Odpowiednio drugie urządzenie przekazujące pakiety wykonuje według zadanej polityki prewencyjnej, przesłanej przez kontroler, operacje na ruchu przepływającym do docelowego adresu sieciowego zgodnie z zadanymi regułami. W wyniku czego wpływ ataku zostaje ograniczony, a bezpieczeństwo sieci usprawnione. Charakterystyczne dla tego rozwiązania jest to, że dystrybucja reguł filtracji lub routingu następuje po przekroczeniu progów alarmowych wyznaczonych na bazie statystyk ruchu, oraz że identyfikacja przepływów skierowanych na wskazany adres IP i przekraczających przepływy progowe jest dokonywana w oparciu o analizę statystyczną danych o ruchu sieciowym pod wskazany adres IP.The solution presented in the application EP3253025 is known from the state of the art. According to this method, the controller collects network traffic statistics from the first network packet relay device. If the global statistics of network traffic flowing to the destination IP network address exceeds the set level, the controller delivers the DDoS preventive policy rule to the second packet forwarding device. Accordingly, the second packet forwarding device performs operations on the traffic flowing to the destination network address according to the predetermined rules according to the predetermined preventive policy sent by the controller. As a result, the impact of the attack is limited and network security is improved. Characteristic for this solution is that the distribution of filtration or routing rules takes place after exceeding the alarm thresholds determined on the basis of traffic statistics, and that the identification of flows directed to the indicated IP address and exceeding the threshold flows is made on the basis of statistical analysis of network traffic data to the indicated IP address.

Bardziej zaawansowane rozwiązanie znane jest ze zgłoszenia międzynarodowego numer WO17065627. Sposób według tego zgłoszenia polega na przeprowadzenia fazy uczenia wstępnego z nadzorem, podczas której na podstawie zbioru uczącego o przepływach sieciowych pełnej długości tworzone są klasyfikatory, które następnie są weryfikowane na podstawie zbioru uczącego z przepływami sieciowymi ograniczonymi, co umożliwia wyznaczenie modelu korekcyjnego. Następnie w fazie predykcji odbierane są pakiety niezaklasyfikowanego przepływu sieciowego, które zostają ograniczone, a dalej w wyniku klasyfikacji według modelu zbudowanego w fazie uczenia na przepływach ograniczonych i po zastosowaniu modelu korekcyjnego uzyskiwane są wyniki klasyfikacji. Wyniki takiej klasyfikacjiA more advanced solution is known from the international application number WO17065627. The method according to this application consists in conducting the initial learning phase with supervision, during which classifiers are created on the basis of the training set with full-length network flows, which are then verified on the basis of the training set with limited network flows, which enables the determination of a correction model. Then, in the prediction phase, packets of unclassified network flow are received, which are limited, and further, as a result of classification according to the model built in the training phase on limited flows, and after applying the correction model, classification results are obtained. The results of such a classification

PL 241 005 B1 mogą posłużyć do wydzielenia przepływów będących nośnikiem anomalii w ruchu sieciowym charakterystycznych na przykład dla ataków wolumetrycznych.PL 241 005 B1 can be used to isolate flows that are the carrier of network traffic anomalies characteristic, for example, for volumetric attacks.

Wadami tego rozwiązania jest konieczność wykonywania stosunkowo długotrwałej fazy uczenia się, a klasyfikacja następuje na podstawie między innymi danych statystycznych dla przyjętego zbioru uczącego. Dopiero w fazie predykcji następuje klasyfikacja przepływów sieciowych, obserwowanych w ruchu sieciowym w czasie rzeczywistym. Analizowane parametry pakietów sieciowych to adres źródłowy, adres docelowy, port źródłowy i port docelowy oraz typ protokołu transmisji oraz statystyki otrzymane na ich podstawie. Skuteczność klasyfikacji jest uzależniona od częstotliwości aktualizacji modelu predykcji.The disadvantages of this solution are the necessity to perform a relatively long learning phase, and the classification is based on, inter alia, statistical data for the adopted training set. Only in the prediction phase is the classification of network flows observed in real-time network traffic. The analyzed network packet parameters are: source address, destination address, source and destination port as well as the type of transmission protocol and statistics obtained on their basis. The effectiveness of the classification depends on the frequency of updating the prediction model.

Innym rozwiązaniem znanym ze stanu techniki jest opisane w dokumencie US10122740. Opisany sposób opiera się na cyklicznym generowaniu modeli i konfiguracji, i ich aktualizacji. Model definiuje próg dla co najmniej jednego z sygnałów. Wykrycie anomalii w ruchu sieciowym następuje w oparciu o zastosowanie modelu do danych sygnałowych lub dopasowanie co najmniej części danych sygnałowych do wzorca anomalii ruchu otrzymanego ze scentralizowanego serwera analitycznego. Po wykryciu anomalii następuje proces ograniczania i łagodzenia anomalii. Umożliwia to dynamiczną i adaptacyjną analizę ruchu sieciowego i wykrywanie anomalii, w tym ulepszenia detekcji niezależne od ludzkiej interwencji.Another prior art solution is described in US10122740. The described method is based on the cyclical generation of models and configurations and their updating. The model defines a threshold for at least one of the signals. Detection of an anomaly in the traffic is based on the application of the model to the signaling data or the matching of at least a portion of the signaling data to the traffic anomaly pattern obtained from the centralized analytics server. When an anomaly is detected, the process of limiting and mitigating the anomaly follows. This enables dynamic and adaptive network traffic analysis and anomaly detection, including detection enhancements independent of human intervention.

Detekcja anomalii zachodzi na podstawie analizy odstępstw od modelu statystycznego zapisanego na centralnym serwerze analitycznym i w oparciu o progi zdefiniowane przez operatora.Anomaly detection is based on the analysis of deviations from the statistical model stored on a central analytical server and based on operator-defined thresholds.

Zgłoszenie patentowe US8307430 ujawnia rozwiązanie, które opiera się na analizie odstępstw od zadanego modelu statystycznego. Jeśli gęstość widmowa wybranego parametru odbiega od rozkładu równomiernego, to jest podejmowana decyzja o wykryciu anomalii lub potencjalnego ataku.Patent application US8307430 discloses a solution that is based on an analysis of deviations from a given statistical model. If the spectral density of the selected parameter deviates from the uniform distribution, a decision is made to detect an anomaly or a potential attack.

Rozwiązanie opiera się na monitorowaniu sygnałów o zadanych charakterystykach statystycznych, czyli jest to metoda sygnaturowa.The solution is based on the monitoring of signals with given statistical characteristics, i.e. it is a signature method.

Innym znanym ze stanu techniki jest rozwiązanie ujawnione w dokumencie o numerze US2018152474. Jeden lub więcej wskaźników wydajności powiązanych z jednym lub większą liczbą progów do skonfigurowania jest definiowanych przez użytkownika. Na podstawie historycznych informacji o przepływie ruchu sieciowego związanego z uprzednio wykrytą złośliwą aktywnością są identyfikowane charakterystyczne wartości dla jednego lub większej liczby wskaźników wydajności. Wartości progowe są konfigurowane automatycznie na podstawie zidentyfikowanych wartości charakterystycznych.Another known from the prior art is the solution disclosed in the document No. US2018152474. One or more performance indicators associated with one or more thresholds to be configured are user-defined. Based on historical information on the flow of network traffic related to previously detected malicious activity, characteristic values for one or more performance indicators are identified. The threshold values are automatically configured based on the identified characteristic values.

Jest to rozwiązanie oparte o blokowanie ataku wykrytego metodą sygnaturową. Parametry tłumienia ataku jak i progi alarmowe są wprowadzane przez operatora.It is a solution based on blocking an attack detected by the signature method. Attack suppression parameters as well as alarm thresholds are entered by the operator.

W stanie techniki można również odnaleźć dokument US2018241762A, w którym opisano rozwiązanie polegające na wykrywaniu anomalii w ruchu sieciowym na podstawie miary różnicy między nową anomalią a znanymi anomaliami.In the prior art, document US2018241762A can also be found, which describes a solution for detecting an anomaly in network traffic based on a measure of the difference between a new anomaly and known anomalies.

Detekcja anomalii na podstawie znanych wzorców klasyfikuje to rozwiązanie jako oparte o model sygnaturowy. Klasyfikacja i izolacja przepływów zatwierdzana jest przez operatora, od którego również zależy zainicjowanie procesów ochrony zasobów sieci przed wykrytymi anomaliami.Anomaly detection based on known patterns classifies this solution as based on a signature model. The classification and isolation of flows is approved by the operator, who is also responsible for initiating the processes of protection of network resources against detected anomalies.

Ze stanu techniki znane jest, ponadto, rozwiązanie przedstawione w zgłoszeniu US8234401. Polega ono na dostosowywaniu tzw. policerów do poziomu wykorzystania monitorowanego zasobu sieciowego. Przepływu pakietów sieciowych obserwowanych przez odpowiedni policer indukuje poziom wykorzystania monitorowanego zasobu sieciowego.Moreover, the solution presented in the application US8234401 is known from the state of the art. It consists in adapting the so-called policers to the level of use of the monitored network resource. The flow of network packets observed by the corresponding policer induces the level of utilization of the monitored network resource.

Zachodzi proporcjonalna reguła regulacji wykorzystująca sygnał sprzężenia w postaci obciążenia wybranego zasobu. Rozwiązanie wykorzystuje jeden model regulacji pracy policera i nie umożliwia kształtowania widma ruchu sieciowego, ani prognozowania wartości sygnału wyjścia policera. Pierwotna wartość poziomu wykorzystania monitorowego zasobu musi być zadana przez operatora.There is a proportional control rule using the feedback signal in the form of the load on the selected resource. The solution uses one model of policer operation regulation and does not allow shaping the spectrum of network traffic or forecasting the value of the policer output signal. The original value of the monitor resource usage level must be set by the operator.

Dokument US7120931 ujawnia rozwiązanie dotyczące sposobu generowania filtrów w oparciu o dane przychodzące do urządzenia sieciowego. W rozwiązaniu tym dane sieciowe przychodzących do urządzenia rozdzielane są na wielorakie przepływy sieciowe. Następnie tworzone są zagregowane podsumowania przepływów sieciowych, dla każdego z rozdzielonych przepływów sieciowych. Zagregowane podsumowania przepływów sieciowych przesyłane są do analizatora przepływów, gdzie są analizowane pod kątem charakterystyk potencjalnie szkodliwych przepływów sieciowych. Wynikiem analizy jest wygenerowanie lub dostrojenie filtra sieciowego dla przeanalizowanego zagregowanego podsumowania przepływu sieciowego, który zapobiega przedostaniu się przez urządzenie sieciowe potencjalnie szkodliwych przepływów.US7120931 discloses a solution for a method of generating filters based on data incoming to a network device. In this solution, network data incoming to the device is divided into multiple network flows. Then, aggregated summaries of the network flows are created for each of the distributed network flows. Aggregated summaries of network flows are sent to the flow analyzer, where they are analyzed for the characteristics of potentially harmful network flows. The result of the analysis is the generation or tuning of a network filter for the analyzed aggregated network flow summary, which prevents potentially harmful flows from passing through the network device.

PL 241 005 Β1PL 241 005 Β1

Analiza przepływów przeprowadzana jest na podstawie statystyk zagregowanych danych o atrybutach pakietów sieciowych zawartych w próbkach przepływów. Podnoszenie rozdzielczości filtracji zachodzi na podstawie analizy statystycznej po wykryciu anomalii w wybranych obserwowanych podprzepływach. Poprzez filtr sieciowy, według przytoczonego dokumentu, jest rozumiane zarówno wydzielanie przepływu (pod prze pływu) sieciowego, jak i sterowanie jego dynamiką, czyli tłumienie pakietów należących do wybranego przepływu pakietów.The flow analysis is carried out on the basis of statistics of aggregated data on network packet attributes included in the flow samples. The filtration resolution is increased on the basis of statistical analysis after detection of anomalies in selected observed subflows. According to the cited document, the network filter is understood to mean both the separation of the network flow (under the flow) and the control of its dynamics, i.e. the suppression of packets belonging to the selected packet flow.

Znane ze stanu techniki rozwiązania przeważnie rozdzielają analizowany ruch sieciowy na przepływy na podstawie parametrów pakietów sieciowych takich jak: adres źródłowy, adres docelowy, port źródłowy i port docelowy, typ protokołu transmisji, czy statystyki otrzymane na ich podstawie. Jednakże takie ograniczenie nie znajduje odzwierciedlenia w wiedzy teoretycznej na temat inżynierii sieciowej.The solutions known from the state of the art usually divide the analyzed network traffic into flows on the basis of network packet parameters such as: source address, destination address, source port and destination port, type of transmission protocol, or statistics obtained on their basis. However, this limitation is not reflected in theoretical knowledge of network engineering.

Znane ze stanu techniki rozwiązania nie gwarantują skutecznej detekcji i tłumienia anomalii w ruchu sieciowym, a zwłaszcza ataków DDoS. Pożądane rozwiązanie musi być zdolne do szybkiego śledzenia stale zmieniających się źródeł anomalii lub zmieniających się wektorów ataków. Rozwiązanie powinno być zdolne do podejmowania działań przewidujących scenariusze ataku w sposób bezpieczny i wiarygodny. Ponadto system powinien wzmacniać zdolność operatora sieci do reagowania na obserwowane zdarzenia w okresie kilkunastu sekund, m.in. poprzez przygotowanie skutecznych środków oddziaływania na atak, oraz udostępniać odpowiednio odfiltrowany zestaw danych (ukrywający techniczną złożoność systemu).The solutions known from the state of the art do not guarantee effective detection and suppression of network traffic anomalies, especially DDoS attacks. The desired solution must be able to rapidly track the ever-changing sources of anomalies or the changing attack vectors. The solution should be able to take actions anticipating attack scenarios in a safe and reliable manner. In addition, the system should strengthen the network operator's ability to respond to the observed events within several seconds, e.g. by preparing effective means of influencing the attack, and providing a properly filtered data set (hiding the technical complexity of the system).

Postawiony problem techniczny został rozwiązany dzięki wykorzystaniu formalnych pojęć teorii rachunku predykatów i wnioskowania indukcyjnego (uczenia maszynowego), teorii mnogości, teorii sterowania i przetwarzania sygnałów oraz terminologii wywodzącej się z wybranych standardów technicznych.The technical problem posed was solved thanks to the use of formal concepts of the theory of predicate calculus and inductive reasoning (machine learning), set theory, control theory and signal processing, and terminology derived from selected technical standards.

Poniżej przedstawione zostały formalne definicje oraz słownik wykorzystywanych pojęć.The formal definitions and glossary of terms used are presented below.

Pakietem sieciowym nazywana jest jednostka danych protokołu telekomunikacyjnego (PDU) modelu OSI. Wartości pól zawartych w nagłówkach protokołów oraz parametry charakteryzujące transmisję pakietu będą łącznie tworzyły dziedzinę wnioskowania, na której realizowane są procesy budowania wiedzy. Lista obserwowanych w systemie parametrów pakietów sieciowych jest uzależniona od przyjętego standardu próbkowania pakietów (P. Phaal, S. Panchen, N. McKee, InMon Corporation's sFlow: A Method for Monitoring Traffic in Switched and Routed Networks, 2001, IETF, RFC 3176; B. Claise, Ed., Cisco Systems NetFlow Services Export Version 9, 2004, IETF, RFC 3954).A network packet is called an OSI telecommunications protocol data unit (PDU). The field values included in the protocol headers and the parameters characterizing the packet transmission will together form the inference domain on which the knowledge building processes are carried out. The list of network packet parameters observed in the system depends on the adopted packet sampling standard (P. Phaal, S. Panchen, N. McKee, InMon Corporation's sFlow: A Method for Monitoring Traffic in Switched and Routed Networks, 2001, IETF, RFC 3176; B Claise, Ed., Cisco Systems NetFlow Services Export Version 9, 2004, IETF, RFC 3954).

Niech Fi, i = 1,...,11, oznacza zbiór liczb reprezentujących zawartość dostępnych pól nagłówków protokołów sieciowych oraz parametry charakteryzujące pakiet sieciowy. Iloczyn kartezjański F = Ft x f2 x ... x pn będzie nazywany dziedziną parametrów pakietów (dziedziną wnioskowania).Let Fi, i = 1, ..., 11, denote the set of numbers representing the contents of the available header fields of the network protocols and the parameters characterizing the network packet. The Cartesian product F = F t xf 2 x ... xp n will be called the packet parameter domain (inference domain).

Podzbiór dziedziny parametrów pakietów, Fo c F, zrekonstruowany na podstawie zbioru zaobserwowanych pakietów sieciowych stanowi ruch sieciowy.A subset of the packet parameter domain, F o c F, reconstructed from the set of observed network packets constitutes network traffic.

Funkcja postaci F i = i,-,n przypisująca liczbę ze zbioru Fi do pakietu P E F nazywana będzie atrybutem pakietu.A function of the form F i = i, -, n assigning a number from the set Fi to the packet P EF will be called the packet attribute.

Podzbiór Si c Ft, i = 1,... ,n, odpowiadający atrybutowi ai nazywany będzie selektorem.The subset of Si c Ft, i = 1, ..., n corresponding to the attribute ai will be called a selector.

Iloczyn kartezjański selektorów T = χ ... χ sn określa term. Term składający się z pojedynczego selektora st = określony przez zbiór jednoelementowy, oraz iloczynu kartezjańskiego 7(0 = Fi x ... x Ś, x ... x Fn określa term bazowy.Cartesian product of selectors T = χ ... χ s n defines the term. A term consisting of a single selector s t = defined by a single-element set and a Cartesian product 7 (0 = Fi x ... x W, x ... x F n defines the base term.

ΤΛ7 __ I I TM ψϊΤΛ7 __ I I TM ψϊ

Dla dowolnego termu zdefiniowanego przez sumę iloczynów kartezjańskich selekto= CL P e W.For any term defined by the sum of Cartesian products selekto = CL P e W.

rów, funkcja wskaźnikowa w (0, p g W, określa filtr pakietów.ditch, the pointer function w (0, pg W, specifies the packet filter.

Zbiór zaobserwowanych pakietów spełniających warunki określone przez term W, F[vr] = (p e Fo|5W(p) = 1} cf określa przepływ pakietów.The set of observed packets satisfying the conditions defined by term W, F [vr] = (pe F o | 5 W (p) = 1} cf defines the packet flow.

Funkcja postaci: xe->n określona dla dowolnego podzbioru pakietów ruchu sieciowegoFunction of the form: xe-> n specified for any subset of network traffic packets

W c ^(Foloraz parametru Θ e Θ. wyznacza liczbową charakterystykę przepływu.W c ^ (Foloraz of the parameter Θ e Θ. Determines the numerical characteristic of the flow.

Podstawowe charakterystyki liczbowe zbiorów pakietów obserwowanych przez zadany filtr określają szybkość przepływu pakietów wyrażaną w bitach lub pakietach na sekundę.The basic numerical characteristics of the sets of packets observed by a given filter determine the packet flow rate expressed in bits or packets per second.

Niech h ε IR, h > 0 oznacza przedział czasu w którym zbierane są próbki pakietów. Rozważmy selektor = (t-h.t] c Fk wybierający pakiety zaobserwowane w okresie próbkowania poprzedzającym chwilę t ε K oraz term mLet h ε IR, h> 0 denote the time interval in which packet samples are collected. Consider the selector = (th.t] c F k which selects the packets observed in the sampling period preceding the time t ε K and term m

W(t) = X ... X sjt) X ... χ s^)W (t) = X ... X sjt) X ... χ s ^)

1=11 = 1

PL 241 005 Β1PL 241 005 Β1

Jeśli U oznacza zbiór wartości parametrów konfiguracji ograniczników szybkości transmisji pakietów (policerów, shaperów) urządzenia sieciowego (typu firewalI), to odpowiadająca termowi W reguła sterowania przyporządkowuje wektorowi liczbowych charakterystyk przepływu parametry konfiguracji urządzenia sieciowego. Algorytm sterowania oblicza wartość reguły sterowania.If U is a set of configuration parameter values for packet rate limiters (policers, shapers) of a network device (firewallI), then the control rule corresponding to the term W assigns the vector of numerical flow characteristics configuration parameters of the network device. The control algorithm calculates the value of the control rule.

Niech 0(^^) = e oznacza wektor liczbowych charakterystyk przepływu P[W1. Reguła filtracji przypisuje regułe sterowania pakietom należącym do określonego przepływu: Wemh M^W]))· r J if h ICCLet 0 (^^) = e denote the vector of numerical flow characteristics P [W1. The filter rule assigns the control rule to packets belonging to the specified flow: Wemh M ^ W])) r J if h ICC

Model dynamiki przepływu jest ciągiem funkcji opisujących ewolucję w czasie liczbowych charakterystyk przepływu zgodnie z następującym układem równań różnicowych:The flow dynamics model is a sequence of functions describing the time evolution of the numerical flow characteristics according to the following system of difference equations:

x(t + 1) = fX(t),u(c),v(i)|O)Xto) = y(t) = βζΟΙθ) f = t0,t0 + l,t0 + 2,...x (t + 1) = fX (t), u (c), v (i) | O) Xt o ) = y (t) = βζΟΙθ) f = t 0 , t 0 + l, t 0 + 2, ...

gdzie x(t) oznacza (abstrakcyjnie rozumiany) stan przepływu, u(t) wartość sygnału sterowania, v(t) losowe zaburzenia stanu przepływu, y(t) obserwowane liczbowe charakterystyki przepływu, e(t) losowe zakłócenia pomiarowe, a θ wektor identyfikowanych w procesie adaptacji parametrów modelu.where x (t) denotes the (abstractly understood) flow state, u (t) value of the control signal, v (t) random disturbances in the flow state, y (t) observed numerical flow characteristics, e (t) random measurement disturbances, and θ vector identified in the process of adaptation of model parameters.

Zgodnie z przyjętą koncepcją system można traktować jako uczący się (adaptacyjny) wielowarstwowy system sterowania przepływami pakietów sieciowych odporny na zakłócenia (awarie/ataki/anomalie/nieprawidłowości) spowodowane wybraną klasą zjawisk (ataków typu DDoS), wyposażony w mechanizmy diagnostyczne identyfikujące i izolujące źródła anomalii, pozyskujący (generujący) wiedzę (deklaratywną i proceduralną) na temat obserwowanych zjawisk.According to the adopted concept, the system can be treated as a learning (adaptive) multi-layer network packet flow control system resistant to disturbances (failures / attacks / anomalies / irregularities) caused by a selected class of phenomena (DDoS attacks), equipped with diagnostic mechanisms identifying and isolating sources of anomalies , acquiring (generating) knowledge (declarative and procedural) about the observed phenomena.

Istota wynalazkuThe essence of the invention

Zgodnie z wynalazkiem, sposób adaptacyjnego tworzenia reguł filtracji ruchu sieciowego na urządzeniu sieciowym samoistnie wykrywający anomalie, i automatycznie tłumiący ataki wolumetryczne (DDoS), który na co najmniej jednym urządzeniu sieciowym na podstawie rzeczywistych przepływów sieciowych i po ich rozdzieleniu na wyizolowane przepływy pakietów, rozpoznaje potencjalnie szkodliwe przepływy sieciowe, a następnie konfiguruje lub dostraja filtry sieciowe i środki dyscyplinowania pakietów, których reguły filtracji mogą być propagowane do innych urządzeń sieciowych oraz wybiera do dalszej analizy wyizolowane przepływy pakietów związane z przynajmniej jednym skonfigurowanym lub dostrojonym filtrem sieciowym.According to the invention, a method of adaptively creating network traffic filtering rules on a network device that detects anomalies by itself, and automatically suppresses volumetric attacks (DDoS), which on at least one network device, based on actual network flows and after separating them into isolated packet flows, recognizes potentially malicious network flows, and then configures or fine-tunes network filters and packet discipline measures whose filtering rules can be propagated to other network devices, and selects isolated packet flows associated with at least one configured or tuned network filter for further analysis.

Sposób jest realizowany cyklicznie w zadanych okresach próbkowania, i składa się z następujących etapów:The method is carried out cyclically in given sampling periods, and consists of the following steps:

a) Na podstawie danych z interfejsu wejściowego i interfejsu wyjściowego próbkuje się pakiety z rzeczywistych przepływów sieciowych na co najmniej jednym urządzeniu sieciowym przy pomocy przynajmniej jednego układu próbkowania ruchu sieciowego i zapisuje się próbki pakietów w buforze próbek.a) From the input interface and the output interface, packets are sampled from actual network flows on at least one network device with at least one network traffic sampler and the packet samples are stored in a sample buffer.

b) Detektor Do na podstawie próbek pakietów z bufora próbek wyznacza definicje filtrów sieciowych izolujących przepływy pakietów które to definicje w pamięci.b) The Do detector, based on the packet samples from the sample buffer, determines the packet flow isolation network filter definitions in memory.

c) Każdy wyizolowany, w ten sposób, przepływ pakietów ma w układzie obserwatora przepływów określane wartości progowe oraz są one zapisywane w pamięci.c) Each isolated packet flow in this way has thresholds determined in the flow observer system and these are stored in memory.

d) Następnie, dla każdego wyizolowanego przepływu pakietów określa się w układzie automatycznej regulacji przepływów albo w układzie obserwatora przepływów prognozowane cechy przepływów w zadanym horyzoncie prognozy i zapisuje sieje w pamięci, przy czym każdy nowy wyizolowany przepływ pakietów jest prognozowany zadanymi domyślnie wartościami.d) Then, for each isolated packet flow, the predicted characteristics of the flows in the predetermined forecast horizon are determined in the automatic flow control system or in the flow observer system and stored in the memory, each new isolated packet flow being predicted with predetermined values.

e) Ponadto, dla każdego wyizolowanego przepływu pakietów określa się w układzie obserwatora przepływów, czy zostały przekroczone wyznaczone w poprzednim okresie próbkowania wcześniejsze wartości progowe, porównując parametry wyizolowanego przepływu pakietów z wcześniejszymi wartościami progowymi zapisanymi w pamięci i jeśli zostały przekroczone wcześniejsze wartości progowe generowane są sygnały alarmowe zapisywane w pamięci.e) In addition, for each isolated packet flow, it is determined in the flow observer system whether the previous threshold values determined in the previous sampling period have been exceeded by comparing the parameters of the isolated packet flow with the previous threshold values stored in the memory, and if the previous threshold values are exceeded, signals are generated. alarms saved in memory.

PL 241 005 B1PL 241 005 B1

f) Rzeczywiste przepływy sieciowe, które odpowiadają wyizolowanym przepływom pakietów, które nie spełniają wartości progowych są poddawane procesowi automatycznej regulacji i kształtowania dynamiki za pomocą układu automatycznej regulacji przepływów oraz środków dyscyplinowania pakietów i filtrów sieciowych.f) The actual network flows that correspond to isolated packet flows that do not meet the threshold values are subjected to a process of automatic regulation and dynamics shaping using the automatic flow control system and packet discipline measures and network filters.

Korzystnie, w etapie b) przepływy pakietów są izolowane na podstawie dowolnego z dostępnych atrybutów próbek pakietów zapisanych w buforze próbek a definicje filtrów sieciowych zapisywane są w pamięci.Preferably, in step b) the packet flows are isolated based on any of the available attributes of the packet sample stored in the sample buffer and the network filter definitions are stored in memory.

Proces regulacji i kształtowania dynamiki polega w szczególności na określeniu metodą regulacji adaptacyjnej nowych sygnałów sterujących środkami dyscyplinowania pakietów na podstawie aktualnych sygnałów sterujących oraz na podstawie.The process of regulating and shaping the dynamics consists, in particular, in the determination of the new signals controlling the packet disciplining means on the basis of the current control signals and on the basis of the adaptive control method.

Korzystnie, w etapie f) na podstawie próbek pakietów z interfejsu wejściowego i interfejsu wyjściowego pobranych z bufora próbek, wartości progowych, sygnałów alarmowych, prognozowanych cech przepływów, definicji filtrów sieciowych oraz na podstawie aktualnych sygnałów sterujących określa się metodą regulacji adaptacyjnej nowe sygnały sterujące środkami dyscyplinowania pakietów, które są zapisywane w pamięci.Preferably, in step f), on the basis of the packet samples from the input interface and the output interface taken from the sample buffer, the threshold values, the alarm signals, the predicted flow characteristics, the definition of the network filters and the current control signals, new signals controlling the disciplining means are determined by adaptive control. packets that are written to memory.

Korzystnie, w po etapie f) następuje etap g), w którym dla wyizolowanych przepływów pakietów przetwarzanych w układzie automatycznej regulacji przepływów na podstawie sygnałów sterujących tworzone są reguły filtracji, które są wykonywane na przynajmniej jednym urządzeniu sieciowym przy pomocy filtrów sieciowych lub środków dyscyplinowania pakietów.Preferably, step f) is followed by step g), in which, for isolated packet flows processed in the automatic flow control system based on the control signals, filtering rules are created which are performed on at least one network device by means of network filters or packet discipline means.

Korzystnie, w etapie g) układ automatycznej regulacji przepływów propaguje do innych urządzeń sieciowych utworzone reguły filtracji.Preferably, in step g), the automatic flow control system propagates the created filtration rules to other network devices.

Korzystnie, za pomocą detektora D0 w etapie b) wyznacza się definicje filtrów sieciowych, poprzez:Preferably, by means of the detector D0 in step b) the network filter definitions are determined by:

wyznaczenie co najmniej jednej listy uporządkowanej odpowiadającej wybranemu atrybutowi pakietów w zbiorze próbek pakietów dostępnych w buforze próbek uszeregowanej w kolejności malejącej ze względu na wybrane parametry przepływu, które stanowią zadane kryteria oceny, dla każdego atrybutu pakietu wyznaczana jest lista zbiorcza uzyskana poprzez agregację list uporządkowanych i zapisywana jest w pamięci detektora, dla każdego atrybutu pakietu umieszczonego na listach zbiorczych tworzony jest term bazowy i zapisywany jest w pamięci, dla każdego termu bazowego zapisanego w pamięci zwiększany jest licznik aktywności, sprawdzana jest wartość licznika aktywności w pamięci, jeśli przynajmniej jeden licznik przekracza zadaną wartość aktywności tworzona jest definicja filtra sieciowego, która odpowiada termowi bazowemu, którego licznik przekroczył wartość aktywności.determination of at least one ordered list corresponding to the selected attribute of packets in the set of packet samples available in the sample buffer sorted in descending order due to the selected flow parameters, which constitute the given evaluation criteria, for each packet attribute a collective list obtained by aggregating ordered lists is determined and saved is in the detector's memory, the base term is created for each attribute of the packet from the collective lists and stored in the memory, the activity counter is increased for each base term stored in the memory, the activity counter value is checked in the memory, if at least one counter exceeds the set value activity, a network filter definition is created that corresponds to the base term, the counter of which has exceeded the activity value.

Korzystnie, detektor D0 jest uruchamiany cyklicznie w zadanych okresach próbkowania (o1).Preferably, detector D0 is run cyclically at predetermined sampling periods (o1).

Korzystnie, zadane kryteria oceny, to liczba bajtów, liczba pakietów, liczba bitów na sekundę (bps), liczba pakietów na sekundę (pps), liczba przepływów logicznych (ang. flows) lub średnia liczba bajtów w pakiecie (bpp) zarejestrowanych w zadanym okresie próbkowania.Preferably, the given evaluation criteria are the number of bytes, the number of packets, the number of bits per second (bps), the number of packets per second (pps), the number of logical flows (flows) or the average number of bytes in the packet (bpp) recorded in the given period. sampling.

Korzystnie, w etapach c), d), e), f) za pomocą układu obserwatora albo układu automatycznej regulacji przepływów tworzone są szeregi czasowe odpowiadające wyizolowanym przepływom pakietów przez definicje filtrów sieciowych zapisanych w pamięci opisujące zachodzące w czasie zmiany atrybutów pakietów, przy czym każdy szereg czasowy zawiera informację o zmianach dowolnego dostępnego atrybutu próbek pakietów zapisanych w buforze pakietów w zadanym okresie próbkowania i są zapisywane w pamięci oraz są wykorzystywane do wyznaczania cech przepływów oraz w etapach c), d), e) i f).Preferably, in steps c), d), e), f) the observer circuit or the automatic flow control circuit creates time series corresponding to the isolated packet flows by stored network filter definitions describing the changes in packet attributes over time, each the time series contains information about changes to any available attribute of the packet samples stored in the packet buffer during a predetermined sampling period and is stored in memory and is used to determine the flow characteristics and in steps c), d), e) and f).

Korzystnie, po etapie b) następuje etap b1), w którym wyizolowany przez detektor D0 przepływ pakietów dzielony jest, za pomocą detektora pierwszego rzędu D1, na podprzepływy pakietów tak, że: dla każdego wyizolowanego przepływu pakietów pobierane są odpowiadające mu szeregi czasowe z pamięci, wybierane są szeregi czasowe odseparowane ze względu na zadaną cechę oraz wyznaczana jest kombinacja odseparowanych szeregów czasowych odpowiadających przepływom pakietów wyizolowanym w detektorze Do (7), na podstawie kombinacji odseparowanych szeregów czasowych wyznaczane są termy złożone z termów bazowych i wyszukiwane są odpowiadające im podprzepływy pakietów w próbkach pakietów zapisanych w buforze próbek;Preferably, step b) is followed by step b1), in which the packet flow isolated by detector D0 is divided, by the first order detector D1, into packet subflows such that: for each isolated packet flow, the corresponding time series are taken from the memory, time series separated due to a given feature are selected and a combination of separate time series corresponding to packet flows isolated in the Do detector (7) is determined, on the basis of the combination of separated time series, terms composed of base terms are determined and the corresponding subflows of packets in samples are searched for packets written to the sample buffer;

jeśli podprzepływ pakietów opisany termem złożonym istnieje w zapisanych w buforze próbek próbkach pakietów, tworzona jest nowa definicja filtra sieciowego, która izoluje zidentyfikowany przepływ pakietów, i jest zapisywana w pamięci.if the composite term packet subflow exists in the packet sample samples stored in the buffer, a new network filter definition is created, which isolates the identified packet flow, and stored in memory.

PL 241 005 B1PL 241 005 B1

Korzystnie, wybór przynajmniej dwóch szeregów czasowych odseparowanych między sobą następuje ze względu na maksymalną niezależność liniową (ortogonalną) lub ze względu na minimalne skorelowanie (niezależność stochastyczna) w przestrzeni sygnałów analizowanych przynajmniej dwóch szeregów czasowych w dziedzinie czasu lub częstotliwości.Preferably, the selection of at least two separated time series takes place due to the maximum linear (orthogonal) independence or due to the minimum correlation (stochastic independence) in the signal space of the analyzed at least two time series in the time or frequency domain.

Korzystnie, po etapie b1) następuje etap b2), w którym wyizolowane przepływy pakietów dzielone są, za pomocą detektora wyższego rzędu Di, na podstawie kombinacji definicji filtrów sieciowych niższego rzędu tworząc nowe definicje filtrów sieciowych wyższego rzędu, które izolują dalsze podprzepływy pakietów:Preferably, step b1) is followed by step b2) in which the isolated packet flows are split, by a higher order detector Di, based on a combination of downstream filter definitions to form new higher order network filter definitions that isolate further sub-packet flows:

dla każdego wyizolowanego przepływu pakietów pobierane są odpowiadające mu szeregi czasowe z pamięci, wybierane są szeregi czasowe skorelowane lub podobne według innego zadanego kryterium, budowany jest nowy term złożony z iloczynu termów budujących definicje filtrów sieciowych izolujących przepływy pakietów, którym odpowiadają wykryte skorelowane szeregi czasowe lub podobne szeregi czasowe, a następnie wyszukiwane są odpowiadające nowemu termowi złożonemu przepływy pakietów w próbkach pakietów zapisanych w buforze próbek, jeśli podprzepływ opisany termem złożonym istnieje w zgromadzonych próbkach pakietów, tworzona jest definicja filtra sieciowego, która izoluje zidentyfikowany przepływ pakietów, i jest zapisywana w pamięci.for each isolated packet flow, corresponding time series are downloaded from the memory, correlated time series or similar are selected according to another given criterion, a new term is built consisting of the product of terms building the definitions of network filters isolating packet flows to which the detected correlated time series or similar correspond time series, and then the search for the corresponding new complex term is the packet flows in the packet samples stored in the sample buffer, if a complex term subflow exists in the collected packet samples, a network filter definition is created that isolates the identified packet flow and is stored in memory.

Korzystnie, co najmniej dwa szeregi czasowe są kwalifikowane jako podobne ze względu na ich korelację ze sobą lub ze względu na ich podobieństwo w kształcie przebiegu.Preferably, at least two time series are qualified as similar because of their correlation with each other or because of their similarity in the shape of the waveform.

Korzystnie, w etapie g) odpowiednie tłumienie wyizolowanego przez filtr sieciowy przepływu pakietów danych sieciowych przy pomocy środków dyscyplinowania pakietów obejmuje odrzucenie pakietu.Preferably, in step g), suitably suppressing the network data packet flow isolated by the network data packet by the packet discipline means comprises discarding the packet.

Korzystnie, w etapie g) odpowiednie tłumienie wyizolowanego przez filtr sieciowy przepływu pakietów danych sieciowych przy pomocy środków dyscyplinowania pakietów obejmuje buforowanie pakietu.Preferably, in step g), suitably suppressing the network data packet flow isolated by the network data packet by means of packet discipline comprises buffering the packet.

Korzystnie, poszczególne etapy sposobu są wykonywane na różnych urządzeniach sieciowych lub przy pomocy co najmniej jednego komputera podłączonego do sieci za pomocą odpowiedniego interfejsu sieciowego.Preferably, the individual steps of the method are performed on different network devices or with at least one computer connected to the network via a suitable network interface.

W sposobie według wynalazku, stan przepływu jest ściśle określony wartościami zapisanych w pamięci definicji filtrów sieciowych oraz na podstawie aktualnych sygnałów sterujących (16), wartościami sygnałów alarmowych lub ich brakiem, wartościami progowymi oraz prognozowanymi cechami przepływów i jest kontrolowany za pomocą układu obserwatora, począwszy od stanu wyizolowania przepływu przy pomocy odpowiedniego detektora, poprzez stan obserwacji przepływu za pomocą układu obserwatora, do stanu kontroli przepływu, obsługiwanego za pomocą układu automatycznej regulacji przepływów, albo do stanu wygaśnięcia przepływu, w układzie obserwatora przepływu, każdemu z wymienionych stanów przepływu odpowiada konkretna wartość reguł filtracji zaimplementowana na urządzeniu sieciowym przy pomocy filtrów sieciowych i odpowiednich środków dyscyplinowania pakietów.In the method according to the invention, the state of the flow is strictly determined by the values of the network filter definitions stored in the memory and on the basis of the current control signals (16), the values of alarm signals or their absence, threshold values and forecast flow characteristics and is controlled by the observer system, starting from flow isolation state by means of an appropriate detector, through the state of flow observation by means of the observer system, to the state of flow control operated by the automatic flow control system, or to the state of flow termination, in the flow observer system, each of the mentioned flow states corresponds to a specific value of the rules filtering implemented on the network device by means of network filters and appropriate packet discipline measures.

Układ adaptacyjnego tworzenia reguł filtracji ruchu sieciowego dla co najmniej jednego urządzenia sieciowego samoistnie wykrywający anomalie i automatycznie tłumiący ataki wolumetryczne (DDoS), zawierający pamięć, procesor lub kontroler oraz przynajmniej jeden interfejs charakteryzuje się tym, że zawiera układ próbkowania ruchu sieciowego wejściowego interfejsu sieciowego i wyjściowego interfejsu sieciowego realizujący funkcję odczytywania i gromadzenia próbek pakietów rzeczywistego przepływu sieciowego i zapisywania ich w przeznaczonym do tego buforze próbek połączonym z układem detektora (Do) izolującym przepływy pakietów poprzez odczytywanie zapisanych w buforze próbek pakietów i generujący definicje filtrów sieciowych oraz zapisujący je w pamięci. Pamięć połączona jest z układem obserwatora, który odczytuje z pamięci informacje o definicjach filtrów sieciowych oraz o odpowiadających im próbkach pakietów zapisanych w buforze próbek a następnie wyznacza wartości progowe i zapisuje je w pamięci.Adaptive network traffic filtering rule-making for at least one network device to self-detect anomalies and automatically suppress volumetric attacks (DDoS), including memory, processor or controller, and at least one interface, characterized in that it includes a network traffic sampling system for the input network interface and the output network interface network interface performing the function of reading and collecting packet samples of the actual network flow and writing them to a dedicated sample buffer connected to a detector circuit (Do) that isolates packet flows by reading packet samples stored in the buffer and generating network filter definitions and saving them in memory. The memory is connected to the observer circuit, which reads from the memory information about the network filter definitions and the corresponding packet samples stored in the sample buffer, and then determines the threshold values and stores them in the memory.

Układ obserwatora określa czy zostały przekroczone wyznaczone wartości progowe porównując parametry wyizolowanego przepływu pakietów z wcześniejszymi wartościami progowymi zapisanymi w pamięci i jeśli zostały przekroczone wcześniejsze wartości progowe generowane są sygnały alarmowe i zapisywane w pamięci. Ponadto, układ obserwatora prognozuje cechy przepływów w zadanymThe observer system determines whether the predetermined threshold values have been exceeded by comparing the isolated packet flow parameters with the previous threshold values stored in the memory, and if the previous threshold values have been exceeded, alarm signals are generated and stored in the memory. Moreover, the observer system predicts the characteristics of the flows at the given point

PL 241 005 B1 horyzoncie prognozy i zapisuje je w pamięci. Jednocześnie pamięć połączona jest z układem automatycznej regulacji przepływów regulującym i kształtującym dynamikę rzeczywistych przepływów sieciowych, które odpowiadają wyizolowanym przepływom pakietów, które nie spełniają zadanych wartości progowych, sterując środkami dyscyplinowania pakietów i filtrów sieciowych. Jednocześnie układ automatycznej regulacji przepływów połączony jest z przynajmniej jednym innym urządzeniem sieciowym, na które przesyła utworzone, na podstawie odczytanych z pamięci definicji filtrów sieciowych i sygnałów sterujących środkami dyscyplinowania pakietów, reguły filtracji. Definicje filtrów sieciowych i sygnały sterujące dyscyplinowaniem pakietów tłumaczone są na reguły filtracji pakietów i przesyła je do środków dyscyplinowania pakietów oraz filtrów sieciowych izolując w ten sposób przepływy pakietów ruchu sieciowego oraz kształtując ich dynamikę w chronionym obszarze sieci.The forecast horizon and stores them in the memory. At the same time, the memory is connected to the automatic flow control system regulating and shaping the dynamics of real network flows that correspond to isolated packet flows that do not meet the set threshold values, controlling the means of packet discipline and network filters. At the same time, the automatic flow control system is connected to at least one other network device to which it transmits the filtering rules created on the basis of the network filter definitions read from the memory and signals controlling packet disciplining means. Network filter definitions and packet discipline control signals are translated into packet filtering rules and sent to packet discipline means and network filters, thus isolating network traffic packet flows and shaping their dynamics in the protected network area.

Korzystnie, układ automatycznej regulacji przepływów odczytuje z pamięci sygnały alarmowe (prognozowane i obserwowane) cechy przepływów, definicje filtrów sieciowych, aktualne sygnały sterujące środkami dyscyplinowania pakietów oraz pobiera wartości progowe. Przy czym układ automatycznej regulacji przepływów jest połączony również z buforem próbek, z którego odczytuje próbki pakietów z interfejsu wejściowego i interfejsu wyjściowego i adaptacyjnie reguluje wyznaczając nowe sygnały sterujące środkami dyscyplinowania pakietów dla odpowiednich wyizolowanych przepływów pakietów i zapisuje je w pamięci.Preferably, the automatic flow control system reads from the memory the alarm signals (forecast and observed) flow characteristics, network filter definitions, current signals controlling the packet discipline means and retrieves the threshold values. The automatic flow control is also connected to the sample buffer, from which it reads packet samples from the input interface and the output interface, and adjusts adaptively by determining new signals controlling the packet disciplining means for the respective isolated packet flows and storing them in memory.

Korzystnie, pomiędzy buforem próbek i układem obserwatora przepływów, znajduje się połączony równolegle z detektorem D0 układ detektora pierwszego rzędu D1, który jest połączony z pamięcią.Preferably, between the sample buffer and the flow observer system, there is a first order detector system D1 connected in parallel with detector D0, which is connected to the memory.

Korzystnie, pomiędzy buforem próbek i układem obserwatora przepływów, znajduje się połączony równolegle z detektorem D0 układ detektora wyższego rzędu Di, który jest połączony z pamięcią.Preferably, between the sample buffer and the flow observer system, there is a higher order detector system Di connected in parallel with detector D0, which is connected to the memory.

Korzystnie, pomiędzy buforem próbek i układem obserwatora przepływów, znajduje się połączony szeregowo za detektorem D0 układ detektora pierwszego rzędu D1, który jest połączony z pamięcią.Preferably, between the sample buffer and the flow observer system, there is a first order detector system D1 connected in series downstream of detector D0, which is connected to the memory.

Korzystnie, pomiędzy buforem próbek i układem obserwatora przepływów, znajduje się połączony szeregowo z detektorem pierwszego rzędu D1 układ detektora wyższego rzędu Di, który jest połączony z pamięcią.Preferably, between the sample buffer and the flow observer system, there is a higher order detector system D1 connected in series with the first order detector D1, which is connected to the memory.

Korzystnie, układ obserwatora na podstawie definicji filtrów sieciowych, sygnałów alarmowych i wyznaczonych wartości progowych uruchamia detektor pierwszego rzędu D1 lub wyższego rzędu Di, które izolują nowe podprzepływy i zapisują w pamięci nowe definicje filtrów sieciowych.Preferably, the observer circuit, based on the definition of the line filters, the alarm signals and the determined threshold values, triggers a first-order detector D1 or higher D1, which isolates new subflows and stores new network filter definitions.

Korzystnie, układ obserwatora na podstawie definicji filtrów sieciowych, sygnałów alarmowych i wyznaczonych wartości progowych jest skonfigurowany do uruchamiania układu automatycznej regulacji przepływów, który realizuje funkcję regulacji i kształtowania dynamiki wskazanego przez układ obserwatora wyizolowanego przepływu pakietów.Preferably, the observer system based on the definition of the network filters, the alarm signals and the determined thresholds is configured to activate the automatic flow control system which performs the dynamics control and shaping function indicated by the isolated packet flow observer system.

Korzystnie, układ automatycznej regulacji przepływów jest skonfigurowany do komunikowania się z innymi urządzeniami sieciowymi.Preferably, the automatic flow control system is configured to communicate with other network devices.

Korzystnie, poszczególne elementy układu mogą być zrealizowane jako układy scalone specjalnego przeznaczenia (ASIC) lub jako moduły jednego układu scalonego lub jako układy programowalne bramek logicznych (FPGA) lub jako komputer, składający się co najmniej z procesora, pamięci, pamięci masowej i odpowiedniego interfejsu sieciowego połączony z przynajmniej jednym urządzeniem sieciowym.Advantageously, the individual components of the circuit can be implemented as special purpose integrated circuits (ASICs) or as single integrated circuit modules or as programmable logic gates (FPGAs) or as a computer consisting of at least a processor, memory, mass memory and a suitable network interface. connected to at least one network device.

Przedmiotem wynalazku jest również produkt programu komputerowego ze środkami kodowania programu, które są zapisane na odczytywalnym przez komputer nośniku danych, do realizacji sposobu według wynalazku, gdy produkt programu komputerowego jest wykonywany na komputerze.The invention also relates to a computer program product with program coding means which are stored on a computer readable storage medium for performing the inventive method when the computer program product is executed on a computer.

Korzystne skutki wynalazkuAdvantageous Effects of the Invention

Opracowane rozwiązanie jest adaptacyjnym (uczącym się w trybie bez nadzoru) systemem sterowania samodzielnie i automatycznie wykrywającym, śledzącym i tłumiącym niestacjonarne oraz wielowymiarowe zaburzenia ruchu sieciowego spowodowane wolumetrycznymi atakami typu DDoS. Rozwiązanie autonomicznie wykrywa przepływy pakietów stanowiące potencjalne zagrożenie dla sieci chronionej, izoluje je przy pomocy zbioru automatycznie generowanych i dystrybuowanych filtrów sieciowych o zwiększającej się z czasem rozdzielczości, identyfikuje modele dynamiki sygnałowych reprezentacji obserwowanych przepływów pakietów, a na podstawie zidentyfikowanych modeli dynamiki generuje i adaptuje algorytmy sterowania kształtujące dynamikę wyizolowanych przepływów, oblicza także bezpieczne udziały wyizolowanych przepływów w przepustowości chronionej sieci. Proces sterowania jest realizowany przez specjalnie opracowany mechanizm zarządzania stanem przepływów sieciowych.The developed solution is an adaptive (learning in unattended mode) control system that independently and automatically detects, tracks and suppresses non-stationary and multidimensional disturbances in network traffic caused by volumetric DDoS attacks. The solution autonomously detects packet flows posing a potential threat to the protected network, isolates them with a set of automatically generated and distributed network filters with increasing resolution over time, identifies models of dynamics of signal representations of observed packet flows, and on the basis of the identified dynamics models it generates and adapts control algorithms shaping the dynamics of isolated flows, it also calculates the safe share of isolated flows in the capacity of the protected network. The control process is carried out by a specially developed mechanism for managing the state of network flows.

PL 241 005 B1PL 241 005 B1

Innowacyjność opracowanego rozwiązania problemu szybkiej detekcji i skutecznego tłumienia wolumetrycznych ataków DDoS o zmiennej charakterystyce polega na sprowadzeniu tego zagadnienia do postaci problemu analizy sygnałowej oraz predykcyjnego sterowania adaptacyjnego.The innovativeness of the developed solution to the problem of fast detection and effective suppression of volumetric DDoS attacks with variable characteristics consists in reducing this issue to the problem of signal analysis and predictive adaptive control.

W podejściu tym przepływy pakietów zamieniane są na odpowiednio zdefiniowane sygnały (szeregi czasowe), które traktowane są jako obserwowane wyjścia procesu podlegającego sterowaniu (procesu nadzorowanej transmisji pakietów sieciowych). Przepływy pakietów podlegające obserwacji wybierane są na podstawie autonomicznie wykonywanej detekcji sygnałów wyróżniających się na tle ruchu sieciowego. Do realizacji tego zadania nie jest potrzebna ani baza danych znanych ataków, ani znajomość typowych cech monitorowanego ruchu. Wynaleziony system dzięki wykorzystaniu technik analizy sygnałowej potrafi samodzielnie zauważyć sygnały wymagające nadzoru oraz wykryć przez jakie przepływy pakietów sygnały te są generowane. W wyniku tej analizy generowane są filtry sieciowe pozwalające wyizolować z ruchu sieciowego zbiór pakietów wymagający nadzoru. Dokładność filtrów jest na bieżąco zwiększana (technikami analizy sygnałowej), przez co wzrasta również dokładność izolacji potencjalnych ataków. Wynaleziony sposób zwiększania rozdzielczości filtrów polega na rozwiązywaniu odpowiednio zdefiniowanego zadania separacji i klasteryzacji sygnałów, badającej wybrane cechy sygnałów widziane w dziedzinie czasu i częstotliwości.In this approach, packet flows are converted into appropriately defined signals (time series), which are treated as observed outputs of the process subject to control (the process of supervised transmission of network packets). Packet flows to be monitored are selected on the basis of autonomously performed detection of signals that stand out from the network traffic. This task requires neither a database of known attacks, nor knowledge of the typical characteristics of the monitored traffic. The invented system, thanks to the use of signal analysis techniques, is able to independently notice signals that require supervision and detect by which packet flows these signals are generated. As a result of this analysis, network filters are generated that allow to isolate a set of packets that require supervision from the network traffic. The accuracy of the filters is constantly improved (using signal analysis techniques), which also increases the accuracy of isolating potential attacks. The invented method of increasing the filter resolution consists in solving a properly defined signal separation and clustering task, examining selected signal features seen in the time and frequency domains.

Celem działania systemu jest utrzymanie wyizolowanych przebiegów sygnałów (czyli przepływów pakietów) na bezpiecznym poziomie oraz ukształtowanie ich dynamiki w sposób gwarantujący bezpieczeństwo sieci chronionej (zapobieganie przeciążeniu łączy oraz usług sieciowych). Obserwowane w sieci przepływy pakietów (sygnały) mają jednak bardzo złożoną dynamikę o charakterze losow ym i zmiennym w czasie. Taką dynamiką charakteryzują się szczególnie ataki typu DDoS, zarówno te znane jak i nieznane. Dodatkowo, złożoną dynamiką charakteryzują się mechanizmy filtracji i kolejkowania pakietów na urządzeniach sieciowych. W każdym z powyższych przypadków modele dynamiki nie są znane a priori. Z tego względu, aby zrealizować założony cel sterowania, opracowany wynalazek na bieżąco i bardzo szybko (z częstotliwością próbkowania rzędu pojedynczych sekund) uczy się modelu obserwowanego ruchu, a także dobiera zasady swojego działania (sterowania) do obserwowanej sytuacji. Proces uczenia polega na identyfikacji modeli dynamiki wyizolowanych sygnałów (tj. prognozowanymi cechami przepływów) oraz na syntezie sygnałów sterowania dopasowanych do wykrytej dynamiki. Z każdym filtrem sieciowym wygenerowanym automatycznie za pomocą detektorów systemu, izolujących przepływy pakietów, związany jest mechanizm dyscyplinowania ruchu w postaci środków dyscyplinowania pakietów, np. policer, oraz adaptacyjny algorytm sterowania (układ automatycznej regulacji przepływów) jego nastawami. Należy podkreślić, że wykorzystanie samego mechanizmu dyscyplinowania ruchu bez układu sterowania jego nastawami nie wystarczy do realizacji założonego celu ochrony sieci. Algorytm adaptacyjnego sterowania nastawami mechanizmu dyscyplinowania pozwala dokładnie regulować szybkość przepływu pakietów pochodzących z powiązanego z nim filtru sieciowego. Takie sterowanie pozwala na skuteczną regulację oraz kształtowanie dynamiki nadzorowanych przepływów. Istotą regulacji jest dokładne ograniczanie szybkości wskazanych przepływów pakietów. Istotą kształtowania dynamiki jest przepuszczanie do sieci chronionej przepływów o odpowiedniej charakterystyce widmowej, tzn. wolnych na przykład od zbyt nagłych skoków szybkości przepływu (powodujących wysycenie kolejek lub wzrost wariancji czasów odpowiedzi usług sieciowych). Dopiero tego rodzaju sterowanie pozwala na dokładne zarządzanie wykorzystaniem wolnych zasobów łącza sieciowego, i w rezultacie skuteczną ochronę sieci przed przeciążeniem. Należy także zaznaczyć, że wykorzystywane w tym kontekście modele dynamiki przypływów umożliwiają:The purpose of the system is to maintain isolated signal flows (i.e. packet flows) at a safe level and to shape their dynamics in a way that guarantees the security of the protected network (preventing overloading of links and network services). The packet flows (signals) observed in the network, however, have very complex dynamics of a random and time-varying nature. DDoS attacks, both known and unknown, are characterized by such dynamics. Additionally, the mechanisms of filtering and queuing packets on network devices are characterized by complex dynamics. In each of the above cases, the dynamics models are not known a priori. Therefore, in order to achieve the assumed control objective, the developed invention learns the model of the observed motion on an ongoing basis and very quickly (with a sampling frequency of single seconds), and also selects the principles of its operation (control) to the observed situation. The learning process consists in the identification of the dynamics models of the isolated signals (i.e. with the predicted flow characteristics) and in the synthesis of the control signals adjusted to the detected dynamics. Each network filter generated automatically by system detectors, isolating packet flows, is related to a traffic discipline mechanism in the form of packet discipline measures, e.g. policer, and an adaptive control algorithm (automatic flow control system) with its settings. It should be emphasized that the use of the traffic discipline mechanism alone, without the control system for its settings, is not enough to achieve the assumed goal of network protection. The algorithm of adaptive control of the settings of the discipline mechanism allows to precisely regulate the flow rate of packets coming from the associated network filter. Such control allows for effective regulation and shaping of the dynamics of supervised flows. The essence of the regulation is the precise limitation of the rates of indicated packet flows. The essence of shaping the dynamics is to let flows with appropriate spectral characteristics to the protected network, i.e. free from, for example, too sudden jumps in the flow rate (causing saturation of queues or an increase in the variance of response times of network services). Only this type of control allows for accurate management of the use of free network link resources, and as a result, effective protection of the network against overload. It should also be noted that the tide dynamics models used in this context allow:

• stawianie trafnych prognoz krótkookresowych, • detekcję anomalii trudnych do zauważenia w statystykach długookresowych (np. związanych z procesami komunikacji skoordynowanej lub okresowymi cechami ruchu generowanego algorytmicznie), • syntezę algorytmów sterowania dopasowujących się do nieznanych a priori charakterystyk ruchu sieciowego i urządzeń sieciowych.• making accurate short-term forecasts, • detection of anomalies difficult to notice in long-term statistics (eg related to the processes of coordinated communication or periodic characteristics of algorithmically generated traffic), • synthesis of control algorithms adjusting to the a priori unknown characteristics of network traffic and network devices.

Dzięki zastosowanemu podejściu wynaleziony system nie wymaga zbioru danych uczących ani długotrwałego procesu uczenia wstępnego. Jest zdolny do pracy od momentu uruchomienia. Żadne z dostępnych na rynku rozwiązań nie wykazuje cech systemu zaprojektowanego na gruncie zaleceń teorii sterowania, teorii sygnałów oraz cech systemu uczącego się w trybie bez nadzoru, wyróżniającego wynaleziony system. W szczególności, w odróżnieniu od znanych rozwiązań, opracowany system umożliwia:Thanks to the applied approach, the invented system does not require a set of training data or a long pre-learning process. It is able to work from the moment of commissioning. None of the solutions available on the market exhibit the features of a system designed on the basis of the recommendations of the control theory, signal theory and the features of the unsupervised learning system, distinguishing the invented system. In particular, contrary to known solutions, the developed system enables:

PL 241 005 B1 • zapewnienie odporności chronionej sieci na nagłe zmiany charakterystyki dynamicznej ataków, • ochronę przed atakami wolumetrycznymi o nieznanych/nieistniejących sygnaturach, • utrzymanie wysokiej dostępności usług w obecności ataków wolumetrycznych wielkiej skali (obejmujących sieci rozległe), • szybką identyfikację, izolację i tłumienie przepływów wysycających łącza chronione, • pracę bez nadzoru, system samodzielnie wybiera przepływy wymagające monitorowania, • prognozowanie ataków wolumetrycznych, • wydobywanie wiedzy o nowych atakach na podstawie analizy częstotliwościowej i analizy modeli dynamiki, • identyfikację modelu dynamiki układów dyscyplinowania ruchu (środków dyscyplinowania pakietów) przez urządzenia sieciowe, • optymalną automatyzację procesów przetwarzania danych o ruchu sieciowym, • minimalizację czasu reakcji na atak, czasu przetwarzania danych, wykonywania obliczeń i zmian konfiguracji urządzeń sieciowych, • dokładną i stabilną regulację szybkości przepływu pakietów w warunkach niepewności, • uzyskiwanie wyników działania systemu o gwarantowanych wskaźnikach jakości związanych ze skutecznością detekcji ataków oraz skutecznością kształtowania dynamiki przepływów sieciowych, • podniesienie odporności chronionych usług na atak poprzez wybiórcze odrzucanie pakietów oraz kształtowanie dynamiki ich przesyłania, • czyszczenie ruchu wewnątrz sieci klienta lub bezpośrednio na urządzeniu klienckim, • ochronę prywatności dzięki inspekcji wyłącznie warstw L2-L4, • redukcję kosztów poprzez lokalne oczyszczanie ruchu oraz rozszerzenie funkcjonalności zainstalowanych w sieci urządzeń klienckich, • transparentną pracę i instalację systemu nie wymagającą wprowadzania modyfikacji w architekturze sieci lub politykach routingu, • możliwość implementacji rozwiązania w najpopularniejszych środowiskach sieciowych (m.in. flowspec + xFlow, netconf + xFlow, ssh + xFlow) dzięki elastyczności i transparentności wynalezionej architektury.• ensuring the resistance of the protected network to sudden changes in the dynamic characteristics of attacks, • protection against volumetric attacks with unknown / non-existent signatures, • maintaining high availability of services in the presence of large-scale volumetric attacks (including wide area networks), • quick identification, isolation and suppression of flows saturating protected lines, • unattended operation, the system independently selects flows requiring monitoring, • forecasting volumetric attacks, • extracting knowledge about new attacks based on frequency analysis and analysis of dynamics models, • identification of the dynamics model of traffic disciplining systems (packet disciplining measures) by network devices, • optimal automation of network traffic data processing, • minimization of response time to an attack, data processing time, calculations and configuration changes of network devices, • accurate and stable speed regulation of packet inflow under conditions of uncertainty, • obtaining system performance results with guaranteed quality indicators related to the effectiveness of attack detection and the effectiveness of shaping the dynamics of network flows, • increasing the resistance of protected services to attack by selective rejection of packets and shaping the dynamics of their transmission, • cleaning of traffic inside the client's network or directly on the client device, • privacy protection thanks to the inspection of only L2-L4 layers, • reduction of costs by local cleaning of traffic and extending the functionality of client devices installed in the network, • transparent operation and installation of the system that does not require modifications to the network architecture or routing policies, • the ability to implement the solution in the most popular network environments (incl. flowspec + xFlow, netconf + xFlow, ssh + xFlow) thanks to the flexibility and transparency of the invented architecture.

FiguryFigures

Przedmiot wynalazku w przykładzie wykonania jest uwidoczniony na rysunku, na którym fig. 1 przedstawia schemat przykładowej implementacji układu adaptacyjnego kontrolera przepływów przykład wykonania układu realizującego sposób ochrony łącza wykorzystujący adaptacyjny układ sterowania, fig. 2 przedstawia schemat wykonania systemu, fig. 3 przedstawia sposób zdefiniowany poprzez diagram stanów obserwowanych przepływów, fig. 4 przedstawia system z wykorzystaniem odpowiednio skonfigurowanej bazy danych i usług zwirtualizowanych, tj. niezależnych od chronionego obszaru sieci i/lub urządzenia sieciowego, fig. 5 przedstawia układ interfejsów dirty-clean z parą wewnętrznych interfejsów realizujących zadania kształtowania dynamiki przepływów przy pomocy środków dyscyplinowania pakietów, fig. 6 przedstawia koncepcję mechanizmu zwiększania dokładności detekcji anomalii, fig. 7 przedstawia przykład implementacji mechanizmu iteracyjnego zwiększania dokładności detekcji anomalii, fig. 8 przedstawia przykład implementacji mechanizmu izolacji i dyscyplinowania przepływów. Przykład realizacjiThe subject matter of the invention in an exemplary embodiment is shown in the drawing, in which Fig. 1 shows a diagram of an exemplary implementation of an adaptive flow controller circuit. the diagram of the observed flows, Fig. 4 shows the system with the use of an appropriately configured database and virtualized services, i.e. independent of the protected network area and / or network device, Fig. 5 shows the dirty-clean interface system with a pair of internal interfaces performing dynamics shaping tasks of flows by means of packet discipline, Fig. 6 shows the concept of an anomaly detection accuracy enhancement mechanism, Fig. 7 shows an implementation example of an iterative mechanism for increasing the anomaly detection accuracy, Fig. 8 shows an example of the implementation of the flow isolation and discipline mechanism. Implementation example

Sposób autonomicznie wykrywa rzeczywiste przepływy sieciowe 3 stanowiące potencjalne zagrożenie dla sieci chronionej na przynajmniej jednym urządzeniu sieciowym 4, izoluje przepływy pakietów 9 przy pomocy zbioru automatycznie generowanych i dystrybuowanych definicji 8 filtrów sieciowych. Definicje 8 filtrów sieciowych służą do konfigurowania filtrów sieciowych 19 na przynajmniej jednym urządzeniu sieciowym i mogą być dystrybuowane do innych urządzeń sieciowych 27 przy pomocy dedykowanych protokołów kontrolnych, na przykład BCP (ang. Bridging Control Protocol). System generuje definicje 8 filtrów sieciowych i konfiguruje filtry sieciowe 19 o zwiększającej się z czasem rozdzielczości, identyfikuje modele dynamiki sygnałowych reprezentacji obserwowanych przepływów pakietów,The method autonomously detects actual network flows 3 posing a potential threat to the protected network on at least one network device 4, isolates packet flows 9 by means of a set of automatically generated and distributed network filter definitions 8. The network filter definitions 8 serve to configure the network filters 19 on at least one network device and may be distributed to other network devices 27 using dedicated control protocols, for example, BCP (Bridging Control Protocol). The system generates definitions of 8 network filters and configures 19 network filters with increasing resolution over time, identifies models of dynamics of signal representations of observed packet flows,

PL 241 005 B1 a na podstawie prognozowanych cech przepływów 14, czyli zidentyfikowanych modeli dynamiki, generuje i adaptuje sygnały sterujące 16 kształtujące dynamikę wyizolowanych przepływów za pomocą środków dyscyplinowania pakietów 17, oblicza także bezpieczne udziały wyizolowanych przepływów w przepustowości chronionej sieci wyznaczając wartości progowe 12. Sygnały sterujące 16 kształtujące dynamikę wyizolowanych przepływów oraz definicje 8 filtrów sieciowych izolujące przepływy sieciowe 9 stanowią razem reguły filtracji 18. Schemat wykonania sposobu przedstawia fig. 2.It generates and adapts control signals 16 shaping the dynamics of the isolated flows by means of packet discipline 17 on the basis of the predicted characteristics of the flows 14, i.e. the identified dynamics models, also calculates the safe shares of the isolated flows in the capacity of the protected network by determining the threshold values 12. Signals together, the control rules 16 that shape the dynamics of the isolated flows and the definitions 8 of the network filters 9 that isolate the network flows 9 constitute the filtration rules 18. The process flow diagram is shown in Fig. 2.

Według przykładu wykonania sposób rozpoczyna się od próbkowania pakietów. Na podstawie danych z interfejsu wejściowego 1 i interfejsu wyjściowego 2 próbkuje się pakiety z rzeczywistych przepływów sieciowych 3. Dane o ruchu sieciowym pochodzą z układu próbkowania 5 urządzenia sieciowego 4, ale mogą też pochodzić z wielu urządzeń i być przesyłane do wybranego urządzenia sieciowego z układem według wynalazku lub komputera z interfejsem sieciowym przystosowanym do wykonywania poszczególnych etapów sposobu według wynalazku. Przynajmniej jeden układu próbkowania 5 ruchu sieciowego na przynajmniej jednym urządzeniu sieciowym 4 zapisuje próbki pakietów a1 w buforze próbek 6.According to an embodiment, the method starts with sampling the packets. Based on the data from the input interface 1 and the output interface 2, packets are sampled from the actual network flows 3. The network traffic data comes from sampler 5 of network device 4, but can also come from multiple devices and be sent to a selected network device with a pattern according to of the invention or a computer with a network interface adapted to perform the steps of the method of the invention. At least one network traffic sampler 5 on at least one network device 4 records packet samples a1 in sample buffer 6.

Zakres danych na temat próbkowanych pakietów zapisanych w buforze próbek 6 zależy od stosowanych standardów próbkowania pakietów (np. sFlow lub netFlow). Do izolacji pakietów może posłużyć dowolny z dostępnych atrybutów x1, np. t-start, t-end, duration, src address, dst address, src port, dst port, protocol, flag, src as, dst as, tos, mac address, próbek pakietów a1 zapisanych w buforze próbek 6.The scope of data on sampled packets stored in sample buffer 6 depends on the packet sampling standards used (e.g. sFlow or netFlow). Any of the available x1 attributes can be used to isolate packets, e.g. t-start, t-end, duration, src address, dst address, src port, dst port, protocol, flag, src as, dst as, tos, mac address, packet samples a1 stored in the sample buffer 6.

Na podstawie próbek pakietów a1 z bufora próbek 6 za pomocą detektora D0 7 wyznacza się definicje 8 filtrów sieciowych izolujących przepływy pakietów 9, które to definicje 8 zapisuje się w pamięci 10. Detektor D0 izoluje z obserwowanego zbioru próbek pakietów a1 ruchu sieciowego przepływy wyróżniające się ze względu na zadane statystyki ruchu, np. bps, pps, flows, bpp. Wyizolowane przepływy pakietów 9 opisane są definicją 8 filtra sieciowego, która w przypadku detektora D0 7 wyróżnia jeden pojedynczy atrybut pakietu x1, np. adres docelowy IP lub typ protokołu.On the basis of the packet samples a1 from the sample buffer 6, the detector D0 7 determines the definitions of 8 network filters that isolate the packet flows 9, which definitions 8 are stored in the memory 10. Detector D0 isolates from the observed set of network traffic packet samples a1 flows that stand out from the due to the given traffic statistics, e.g. bps, pps, flows, bpp. The isolated packet flows 9 are described by a network filter definition 8, which in the case of detector D0 7 distinguishes one single packet attribute x1, e.g. destination IP address or protocol type.

Dla każdego wyizolowanego przepływu pakietów 9 przez dowolny detektor D0, D1, Di, tworzony jest proces w układzie automatycznej regulacji przepływów 13. Układ automatycznej regulacji przepływów 13 to regulator, który jest odpowiedzialny za realizację procesu sterowania, którego zadaniem jest kształtowanie dynamiki rzeczywistych przepływów sieciowych 3 pomiędzy interfejsami wejściowym i wyjściowym (w układzie dirty-clean) poprzez aktualizację sygnałów sterujących 16, a w konsekwencji aktualizację reguł filtracji 18. Schemat działania systemu izolacji przepływów, w którym z jednej strony wynik działania detektorów dostarcza definicji 8 filtrów sieciowych, a z drugiej układ automatycznej regulacji przepływów jest wykorzystywany do regulacji sygnałów sterujących 16, zaprezentowany został na fig. 8. Schemat działania układu automatycznej regulacji przepływów zaprezentowany został na fig. 1.For each isolated packet flow 9 through any detector D0, D1, Di, a process is created in the automatic flow control system 13. The automatic flow control system 13 is a controller responsible for the implementation of the control process, whose task is to shape the dynamics of the real network flows 3 between the input and output interfaces (in the dirty-clean system) by updating the control signals 16 and, consequently, updating the filtration rules 18. Diagram of the flow isolation system, in which, on the one hand, the result of the detectors' operation provides the definition of 8 network filters, and on the other hand, the automatic control system The flow is used to control the control signals 16, is shown in Fig. 8. The flowchart of the automatic flow control system is presented in Fig. 1.

Zgodnie z przykładem wykonania w każdej iteracji procesu sterowania adaptacyjnego, co okres próbkowania o1 przeprowadzana jest identyfikacja modelu dynamiki przepływu. Okres próbkowania może wynosić od 0,1 s do 15 s, korzystnie w tym przykładzie wynosi 5 sekund.According to an exemplary embodiment, in each iteration of the adaptive control process, identification of the flow dynamics model is performed at every sampling period o1. The sampling period may be from 0.1 s to 15 s, preferably 5 seconds in this example.

W układzie obserwatora przepływów 11, dla każdego wyizolowanego przepływu pakietów 9, wyznaczane są wartości progowe 12 oraz zapisywane są w pamięci 10. W układzie obserwatora przepływów 11 albo w układzie automatycznej regulacji przepływów 13 wyznaczane są prognozowane cechy przepływów 14 w zadanym horyzoncie prognozy. Wyznaczone cechy przepływów zapisuje się w pamięci 10, przy czym każdy nowy wyizolowany przepływ pakietów 9 jest prognozowany zadanymi domyślnie wartościami.In the flow observer system 11, for each isolated packet flow 9, threshold values 12 are determined and stored in the memory 10. In the flow observer system 11 or in the automatic flow control system 13, the forecasted characteristics of the flows 14 in a given forecast horizon are determined. The determined flow characteristics are stored in a memory 10, with each new isolated packet flow 9 being predicted with preset values.

Jeśli zostały przekroczone wyznaczone w poprzednim okresie próbkowania o1 wcześniejsze wartości progowe 121, po porównaniu parametrów wyizolowanego przepływu pakietów 9 z wcześniejszymi wartościami progowymi 121 zapisanymi w pamięci 10, to generowane są sygnały alarmowe 15 zapisywane w pamięci 10.If the previous threshold values 121 determined in the previous sampling period o1 have been exceeded, after comparing the parameters of the isolated packet flow 9 with the previous threshold values 121 stored in the memory 10, alarm signals 15 stored in the memory 10 are generated.

Następnie dla zidentyfikowanego modelu dynamiki, czyli prognozowanych cech przepływów 14 wyizolowanych przepływów pakietów 9, przeprowadzana jest synteza algorytmów wyznaczania sygnałów sterujących 16 i algorytmów prognozowania cech przepływów 14, na przykład natężenia ruchu sieciowego. Odpowiednia konfiguracja urządzenia sieciowego 4 pozwalająca na sterowanie (mitygację) jest projektowana automatycznie z uwzględnieniem zadanej przez administratora systemu specyfikacji. Ustalenie sygnałów sterujących 16 stanowi wzorzec kształtowania dynamiki przepływu pakietów i określa podstawowe parametry procesu tłumienia anomalii lub ataków z użyciem środków dyscyplinowania pakietów 17. Fig. 1 przedstawia schemat blokowy rozwiązania według wynalazku.Then, for the identified dynamics model, i.e. the predicted flow characteristics 14 of the isolated packet flows 9, a synthesis of the algorithms for determining the control signals 16 and the algorithms for predicting the characteristics of the flows 14, for example the intensity of network traffic, is performed. Appropriate configuration of the network device 4 allowing for control (mitigation) is designed automatically, taking into account the specifications set by the system administrator. The determination of the control signals 16 is a pattern for shaping the dynamics of packet flow and defines the basic parameters for the suppression of anomalies or attacks using packet discipline 17. Fig. 1 shows a block diagram of an embodiment of the present invention.

PL 241 005 B1PL 241 005 B1

Rzeczywiste przepływy sieciowe 3, które odpowiadają wyizolowanym przepływom pakietów 9, które nie spełniają wartości progowych 12, czyli generują sygnały alarmowe, są poddawane procesowi automatycznej regulacji i kształtowania dynamiki za pomocą układu automatycznej regulacji przepływów 13 oraz środków dyscyplinowania pakietów 17 i filtrów sieciowych 19.The actual network flows 3 that correspond to the isolated packet flows 9 that do not meet the threshold values 12, i.e. generate alarm signals, are subjected to a process of automatic regulation and dynamics shaping by means of automatic flow control 13 and packet discipline 17 and network filters 19.

Układ automatycznej regulacji przepływów 13 zawiera mechanizmy sterowania, które cyklicznie, co zadany okres próbkowania o1 ruchu sieciowego wyznaczają kolejne wartości sygnałów sterujących 16 środkami dyscyplinowania pakietów 17, tzn. parametry pracy policera lub shapera (np. algorytmów token-bucket), na podstawie prognozowanej i obserwowanej odpowiedzi źródeł pakietów na nakładane ograniczenia szybkości ich przesyłania.The automatic flow control system 13 comprises control mechanisms which periodically determine successive values of the control signals 16 of the packet discipline means 17, i.e. the work parameters of the policer or shaper (e.g. token-bucket algorithms), on the basis of the forecasted and predicted network traffic sampling period o1. the observed response of packet sources to the imposed restrictions on their forwarding rate.

Celem ujawnionego procesu sterowania jest ukształtowanie dynamiki przepływu zgodnie ze specyfikacją zadaną przez operatora systemu, np. wytłumienie składowych o zadanym paśmie sygnału związanego z wybranym przepływem pakietów. Rozwiązanie pozwala na prognozowanie i wczesne tłumienie ataków DDoS, korygowanie pracy środków dyscyplinowania pakietów 17 lub inaczej mechanizmów przesyłania pakietów urządzeń sieciowych (policerów i shaperów), a także prowadzenie zaawansowanej diagnostyki dynamiki ruchu sieciowego na podstawie analizy prognozowanych cech przepływów 14 i uzyskanych na ich podstawie modeli dynamiki. Sterowanie pracą środków dyscyplinowania pakietów 17 (policerów/shaperów) jest kluczowym elementem procesu tłumienia ataku. Umożliwia ono uzyskanie wymaganej szybkości i dokładności tłumienia, a także kształtowania charakterystyki (czasowej i częstotliwościowej) przepływu zgodnie z przyjętymi założeniami, zdefiniowanymi przez operatora.The purpose of the disclosed control process is to shape the flow dynamics in accordance with the specification set by the system operator, e.g. suppression of components with a given signal band associated with the selected packet flow. The solution allows for forecasting and early suppression of DDoS attacks, correcting the work of packet disciplining measures 17 or, in other words, mechanisms for transmitting packets of network devices (policers and shapers), as well as conducting advanced diagnostics of network traffic dynamics based on the analysis of the predicted flow characteristics 14 and the models obtained on their basis dynamics. Controlling the work of packet discipline 17 measures (policers / shapers) is a key part of the attack suppression process. It allows to obtain the required speed and accuracy of damping, as well as to shape the flow characteristics (time and frequency) in accordance with the assumptions defined by the operator.

Adaptacyjny regulator w postaci układu automatycznej regulacji przepływów dobierając sygnały sterujące 16 środków dyscyplinowania pakietów 17, policera lub shapera, na przykład parametry pracy algorytmów tokenbucket, ma za zadanie ochronić łącze objęte działaniem systemu m.in. utrzymując szybkości przepływów na bezpiecznych poziomach. Zadanie wyznaczania bezpiecznych poziomów (górnych ograniczeń) szybkości przepływów jest realizowane automatycznie przez mechanizm wyznaczenia wartości progowych 12 zadanych następnie do wykonywania regulacji. Wartości progowe 12 wyznaczane są w układzie obserwatora przepływów 11 oraz w układzie automatycznej regulacji przepływów 13 na podstawie rozwiązania zadania optymalizacji nieliniowej, które określa sprawiedliwy podziału zasobów w sieci chronionej. Wyznaczone w ten sposób ograniczenia górne na szybkości przepływów pakietów gwarantują, że chronione łącze nie jest wysycane, a jego użyteczność z perspektywy każdego przepływu jest zmaksymalizowana. Są one także wykorzystywane w procesie automatycznego tłumienia przepływu. Przekroczenie przez przepływ górnego ograniczenia szybkości przepływu wyzwala sygnały alarmowe 15, które wpływają na decyzje systemu o objęciu przepływu działaniem automatycznego kształtowania dynamiki w układzie automatycznej regulacji przepływów 13.An adaptive regulator in the form of an automatic flow control system by selecting control signals from 16 packet disciplining measures 17, a policer or a shaper, for example the operating parameters of tokenbucket algorithms, is designed to protect the link covered by the system operation, e.g. keeping the flow rates at safe levels. The task of determining safe levels (upper limits) of the flow rates is carried out automatically by the mechanism of determining the threshold values then set to perform the regulation. The threshold values 12 are determined in the system of the flow observer 11 and in the system of automatic flow control 13 based on the solution of the nonlinear optimization problem, which determines the fair distribution of resources in the protected network. The upper bounds on packet flow rates thus determined ensure that the protected link is not saturated and that its usability from the perspective of each flow is maximized. They are also used in the automatic flow damping process. If the flow exceeds the upper limit of the flow rate, alarm signals 15 are triggered, which influences the system's decision to include flow in the automatic shaping of the automatic flow control system 13.

Układ automatycznej regulacji przepływów na podstawie próbek pakietów z interfejsu wejściowego 1 i interfejsu wyjściowego 2 pobranych z bufora próbek 6, wartości progowych 12, sygnałów alarmowych 15, prognozowanych cech przepływów 14, definicji 8 filtrów sieciowych oraz na podstawie aktualnych sygnałów sterujących 16 określa metodą regulacji adaptacyjnej nowe sygnały sterujące 161 środkami dyscyplinowania pakietów, które są zapisywane w pamięci 10.The system of automatic flow control based on packet samples from the input interface 1 and the output interface 2 taken from the sample buffer 6, threshold values 12, alarm signals 15, predicted flow characteristics 14, definition of 8 network filters and on the basis of current control signals 16 is determined by the adaptive control method new packet discipline means control 161 which are stored in memory 10.

Wybrane próbki pakietów z interfejsu wejściowego 1 i interfejsu wyjściowego 2 pobrane z bufora próbek 6 odpowiadające wyizolowanym przepływom pakietów 9, wartości progowe 12, sygnały alarmowe 15, prognozowane cechy przepływów 14, definicje 8 filtrów sieciowych oraz aktualne sygnały sterujące 16 są zapisywane w pamięci 10. Pamięć 10 może, w szczególności być zorganizowana, jako baza danych przepływów. Układ automatycznej regulacji przepływów wykorzystuje bazę danych przepływów zawierającą dane o średniookresowym rozkładzie ruchu na łączu. Dzięki zastosowanemu rozwiązaniu administrator sieci nie musi samodzielnie obliczać poziomów ograniczających szybkość każdego monitorowanego przepływu, wynaleziony system wykonuje to zadanie automatycznie podczas pracy, a dostęp do danych zapewnia baza danych.Selected packet samples from input interface 1 and output interface 2 taken from sample buffer 6 corresponding to isolated packet flows 9, thresholds 12, alarm signals 15, predicted flow characteristics 14, network filter definitions 8 and current control signals 16 are stored in memory 10. The memory 10 may, in particular, be organized as a database of flows. The automatic flow control system uses a database of flows containing data on the medium-term distribution of traffic on the link. Thanks to the applied solution, the network administrator does not have to calculate the levels limiting the speed of each monitored flow on his own, the invented system performs this task automatically during operation, and access to the data is provided by the database.

Układ automatycznej regulacji przepływów 13 odpowiada, w szczególności, za tworzenie warstwy abstrakcji sprzętowej oraz udostępnia funkcje translacji formuł logicznych w postaci sygnałów sterujących 16 i definicji 8 filtrów sieciowych. Warstwa abstrakcji pośredniczy w komunikacji warstwy sterowania nadrzędnego z warstwą infrastruktury sieciowej systemu. Odpowiada ona za odwzorowanie stanu przełączników sieciowych i innych urządzeń sieciowych w warstwie sterowania oraz przekazywanie pomiędzy warstwami sygnałów sterowania. Układ automatycznej regulacji przepływów 13 odpowiada również za przekształcanie reguł filtracji wyrażonych w języku odczytywania próbek ruchu (np. pcap-filter) na reguły filtracji systemu operacyjnego urządzenia sieciowego. Zastosowane rozwiązanie pozwala na automatyczne konfigurowanie narzędzi filtracji i kształtowania przepływów na urządzeniach sieciowychThe automatic flow control system 13 is responsible, in particular, for creating the hardware abstraction layer and provides translation functions of logical formulas in the form of control signals 16 and network filter definitions 8. The abstraction layer mediates communication between the higher-level control layer and the network infrastructure layer of the system. It is responsible for mapping the state of network switches and other network devices in the control layer and for transferring between layers of control signals. The automatic flow control system 13 is also responsible for transforming the filtering rules expressed in the language of reading traffic samples (e.g. pcap-filter) into the filtering rules of the operating system of the network device. The applied solution allows for automatic configuration of filtration tools and flow shaping on network devices

PL 241 005 B1 (np. klienta sieci), a także na realizację zaawansowanych koncepcji sterowania siecią wykorzystujących narzędzia uczenia maszynowego oraz sztucznej inteligencji (SI). Układ automatycznej regulacji przepływów 13 może propagować również do innych urządzeń sieciowych 27 utworzone reguły filtracji 18.PL 241 005 B1 (e.g. network client), as well as the implementation of advanced network control concepts using machine learning and artificial intelligence (SI) tools. The automatic flow control 13 can also propagate the created filter rules 18 to other network devices 27.

Dla wyizolowanych przepływów pakietów 9 przetwarzanych w układzie automatycznej regulacji przepływów 13 na podstawie sygnałów sterujących 16 tworzone są reguły filtracji 18, które są wykonywane na przynajmniej jednym urządzeniu sieciowym 4 przy pomocy filtrów sieciowych 19 lub środków dyscyplinowania pakietów 17. Przez wykonywanie na urządzeniu sieciowym 4, należy rozumieć, że sygnały sterujące 16 i definicje 8 filtrów sieciowych służą do odpowiedniego skonfigurowania dostępnych środków dyscyplinowania pakietów 17 i filtrów sieciowych 19, tak aby rzeczywiste przepływy sieciowe 3 były poddawane filtracji i modelowaniu dynamiki. Układ automatycznej regulacji przepływów 13 może propagować do innych urządzeń sieciowych 27 utworzone reguły filtracji 18, na przykład z wykorzystaniem protokołu BCP.For isolated packet flows 9 processed in automatic flow control 13 from control signals 16, filtering rules 18 are created which are performed on at least one network device 4 by means of network filters 19 or packet discipline 17. it should be understood that the control signals 16 and the network filter definitions 8 serve to appropriately configure the available packet discipline means 17 and the network filters 19 so that the actual network flows 3 are subjected to filtering and dynamics modeling. Automatic flow control 13 can propagate the created filter rules 18 to other network devices 27, e.g. using the BCP protocol.

Wynalazek według przykładu wykonania rejestruje i przechowuje charakterystyki monitorowanych przepływów sieciowych, takie jak definicje 8 filtrów sieciowych, wartości progowe 12, prognozowane cechy przepływów 14, sygnały alarmowe 15, sygnały sterujące 16, w bazie danych szeregów czasowych 26 wspieranej przez wynalezione do tego celu mechanizmy zarządzania stanem przepływów sieciowych układu obserwatora przepływów 11.The invention according to an embodiment records and stores the characteristics of the monitored network flows, such as network filter definitions 8, threshold values 12, predicted flow characteristics 14, alarm signals 15, control signals 16, in a time series database 26 supported by the management mechanisms invented for this purpose. the state of network flows of the flow observer system 11.

Poszczególne układy odpowiedzialne za realizowanie sposobu według wynalazku mogą być zrealizowane jako układy scalone specjalnego przeznaczenia (ASIC) lub jako moduły jednego układu scalonego lub jako układy programowalne bramek logicznych (FPGA) lub jako komputer, składający się co najmniej z procesora, pamięci, pamięci masowej i odpowiedniego interfejsu sieciowego połączony z przynajmniej jednym urządzeniem sieciowym. W szczególności poszczególne układy mogą stanowić moduły oprogramowania wykonujące odpowiednie funkcje na odpowiednio skonfigurowanym urządzeniu sieciowym lub komputerze, składającym się co najmniej z procesora, pamięci, pamięci masowej i odpowiedniego interfejsu sieciowego połączonym z przynajmniej jednym urządzeniem sieciowym, jako produkt programu komputerowego ze środkami kodowania programu, które są zapisane na odczytywalnym przez komputer nośniku danych, do realizacji sposobu, gdy produkt programu komputerowego jest wykonywany na komputerze. Ponadto moduły oprogramowania mogą stanowić wyróżnione procesy działające w systemie operacyjnym odpowiednio skonfigurowanego urządzenia sieciowego lub komputera z interfejsem sieciowym.The individual circuits responsible for carrying out the method according to the invention may be implemented as special purpose integrated circuits (ASICs) or as single integrated circuit modules or as programmable logic gates (FPGAs) or as a computer consisting of at least a processor, memory, mass memory and a suitable network interface connected to at least one network device. In particular, the individual circuits may be software modules that perform corresponding functions on a suitably configured network device or computer, consisting of at least a processor, memory, mass memory and a suitable network interface connected to at least one network device as a computer program product with program coding means, which are stored on a computer-readable storage medium for performing the method when the computer program product is executed on a computer. Moreover, the software modules may be distinguished processes running in the operating system of a suitably configured network device or computer with a network interface.

Według przykładu wykonania sposób zarządzania stanem przepływów ułatwia skuteczne monitorowanie bezpieczeństwa sieci chronionej oraz usprawnia reagowanie na zdarzenia zagrażające jej bezpieczeństwu. Przykładowy system analizuje informacje zawarte w próbkach ruchu odbieranych z przynajmniej jednego urządzenia sieciowego 4 lub z wybranych urządzeń sieciowych. Analizę pr owadzą układy detektorów, D0, D1, Di oraz układ obserwatora przepływów 11 (observer). W chwili wykrycia przez dowolny detektor wzorca ruchu sieciowego wymagającego monitorowania, w systemie tworzony jest obiekt reprezentujący zbiór pakietów pasujący do wykrytego wzorca. Obiekt ten, jest też nazywany wyizolowanym przepływem pakietów 9. Przepływ jest ściśle określony przez definicję 8 filtru sieciowego (wzorzec) stworzony z atrybutów nagłówków pakietów (termów) i wygenerowany przez dowolny z detektorów systemu. Tak utworzony obiekt może znajdować się w czasie swojego życia w systemie w jednym z czterech stanów. Można wyróżnić cztery stany przepływu: stan wyizolowania sw przepływu, stan monitorowania so przepływu, stan tłumienia st przepływu oraz stan wygaśnięcia se przepływu. Wędrówkę pomiędzy stanami można opisać automatem skończonym, którego graf stanów zaprezentowano na fig. 3. Za zmianę stanu przepływu odpowiada układ obserwatora przepływów 11 (ang. observer).According to an exemplary embodiment, the method of managing the state of flows facilitates effective monitoring of the security of the protected network and improves the response to events threatening its security. The exemplary system analyzes information contained in traffic samples received from at least one network device 4 or from selected network devices. The analysis is carried out by the detector systems D0, D1, Di and the flow observer system 11. When any detector detects a pattern of network traffic that requires monitoring, the system creates an object representing the set of packets matching the detected pattern. This object is also called the isolated packet flow 9. The flow is strictly defined by the network filter definition 8 (pattern) made of packet headers (terms) attributes and generated by any of the system detectors. An object created in this way may be in one of four states during its lifetime in the system. Four flow states can be distinguished: flow isolation state, flow monitoring state, flow suppression state, and flow suppression state. The migration between states can be described by a finite automaton, the state graph of which is presented in Fig. 3. The flow observer system 11 is responsible for the change of the state of the flow.

Przepływ wprowadzany do bazy danych przez dowolny detektor Di, znajduje się w stanie wyizolowania. Jest to stan początkowy przepływu, z którego jest on automatycznie przenoszony przez układ obserwatora przepływów 11 (observer) do stanu monitorowania. Przepływ przebywający w tym stanie jest próbkowany (z zadaną częstotliwością próbkowania) przez układ obserwatora przepływów 11, który analizując nagłówki pakietów oblicza ich sygnałową reprezentację oraz charakterystyki czasowe i częstotliwościowe. Zgromadzone wyniki pomiarów są zapisywane co okres próbkowania w bazie danych przepływów. Jednocześnie proces obserwatora sprawdza warunki zmiany stanu każdego z zarejestrowanych przepływów. Warunek przejścia ma postać iloczynu logicznego sygnałów alarmowych, które są generowane dla każdego przepływu w systemie. Sygnały alarmowe wskazują naruszenie przez nadzorowany sygnał przepływu sieciowego zadanych ograniczeń, np. związanych z automatycznie zidentyfikowanym ograniczeniem górnym jego wartości lub zmianą mocy w wybranej części jego widma. JeżeliThe flow entering the database by any Di detector is in an isolated state. This is the initial state of the flow from which it is automatically transferred by the flow observer to the monitoring state. The flow in this state is sampled (with a predetermined sampling rate) by the flow observer system 11, which, analyzing the packet headers, calculates their signal representation as well as time and frequency characteristics. The collected measurement results are saved every sampling period in the flow database. At the same time, the observer process checks the conditions for changing the state of each of the registered flows. The transition condition is a logical product of alarm signals that are generated for each flow in the system. The alarm signals indicate violation of the set limitations by the supervised network flow signal, e.g. related to the automatically identified upper limit of its value or a change in power in a selected part of its spectrum. If

PL 241 005 B1 spełnione zostaną warunki przejścia przepływu do stanu tłumienia, układ obserwatora przepływów 11 zmienia stan przepływu. Przepływ przebywający w stanie tłumienia jest próbkowany (z zadaną częstotliwością próbkowania) przez układ próbkowania 5. Dodatkowo jednak dla przepływu w tym stanie układ automatycznej regulacji przepływów (ang. controller) tworzy na urządzeniu sieciowym filtr sieciowy 19 pakietów oraz konfiguruje środki dyscyplinowania pakietów 17 kształtujące dynamikę przepływu. Obliczone parametry sterowania oraz pomiary obserwowanych charakterystyk są zapisywane w bazie danych co okres próbkowania. Przepływ znajdujący się w stanie tłumienia, którego charakterystyki nie naruszają norm bezpieczeństwa, może zostać przeniesiony przez układ obserwatora przepływów 11 ponownie do stanu monitorowania. Z tego stanu przepływ może również ponownie przejść do stanu tłumienia. Zmiana stanu nastąpi i zostanie zapisana w bazie danych, jeżeli normy bezpieczeństwa będą ponownie naruszone. Przepływ może wielokrotnie przechodzić pomiędzy stanami monitorowania i tłumienia.Once the conditions for flow transition to the damping state are met, the flow observer circuit 11 changes the state of the flow. The flow in the suppressed state is sampled (at a predetermined sampling rate) by the sampling system 5. In addition, however, for the flow in this state, the controller creates a network filter 19 for packets on the network device and configures packet discipline 17 to shape dynamics flow. Calculated control parameters and measurements of observed characteristics are saved in the database every sampling period. The flow in the damped state, the characteristics of which do not violate the safety standards, can be transferred by the flow observer system 11 back to the monitoring state. From this state, the flow may also enter the damped state again. The change of state will occur and will be saved in the database if the safety standards are breached again. The flow may repeatedly switch between monitoring and suppressing states.

Jeżeli przepływ znajdujący się w stanie monitorowania spełni warunki bezpieczeństwa, zostanie przeniesiony przez układ obserwatora przepływów 11 do stanu wygaśnięcia. W tym stanie monitorowanie jego parametrów ulega zakończeniu i dane dotyczące tego przepływu są usuwane z systemu.If the flow in the monitored state meets the safety conditions, it will be transferred by the flow observer system 11 to the quiescent state. In this state, monitoring of its parameters is completed and the data related to this flow is removed from the system.

Przykład wykonania systemu z wykorzystaniem bazy danych zaprezentowany został na fig. 4.An exemplary implementation of the database system is shown in Fig. 4.

Proces sterowania według przykładu wykonania wynalazku jest realizowany poprzez zarządzanie stanami przepływów s1 sieciowych. Każdemu z wymienionych stanów przepływu s1 odpowiada konkretna wartość reguł filtracji 18 zaimplementowana na urządzeniu sieciowym 4 przy pomocy filtrów sieciowych 19 i środków dyscyplinowania pakietów 17. Za przejścia między stanami i bieżącą kontrolę stanów odpowiada układ obserwatora przepływów 11. Stan przepływu s1 jest ściśle określony wartościami zapisanych w pamięci definicji 8 filtrów sieciowych oraz aktualnych sygnałów sterujących 16, wartościami sygnałów alarmowych 15 lub ich brakiem, wartościami progowymi 12 oraz modelem dynamiki przepływu 14 . Przykład wynalazku opisujący proces sterowania przy pomocy stanów przepływu s1 nie ogranicza wynalazku tylko do wyróżnionych stanów. Proces sterowania może być opisany w zupełnie inny sposób z zachowaniem kluczowych funkcjonalności. Na proces sterowania składają się następujące działania:The control process according to an embodiment of the invention is performed by managing the states of the network flows. Each of the mentioned flow states s1 corresponds to a specific value of the filtration rules 18 implemented on the network device 4 by means of network filters 19 and packet discipline measures 17. The flow observer system is responsible for the transitions between states and the current state control 11. The flow state s1 is strictly defined by the saved values in the definition memory of 8 network filters and the current control signals 16, the values of alarm signals 15 or their absence, threshold values 12 and the model of flow dynamics 14. The example of the invention describing the control process by means of the s1 flow states does not limit the invention only to the distinguished states. The control process can be described in a completely different way while maintaining key functionalities. The control process consists of the following activities:

• automatyczna i autonomiczna identyfikacja izolowanych przepływów pakietów 9 wymagających monitorowania i identyfikacja zaburzeń monitorowanych przepływów pakietów, • automatyczna izolacja źródeł zaburzeń (ataków) poprzez wytworzenie i przesłanie na urządzenia sieciowe konfiguracji opisującej reguły filtracji 18 filtrowanych rzeczywistych przepływów sieciowych 3, • identyfikacja modelu dynamiki przepływów oraz modelu dynamiki mechanizmów dyscyplinowania pakietów, w celu obliczenia prognoz natężenia ruchu dla każdego przepływu na podstawie zidentyfikowanego modelu dynamiki, tworząc prognozowane cechy przepływów 14, • adaptacyjne tłumienie wyizolowanych zaburzeń (mitygacja ataku) dynamicznie strojące parametry reguł filtracji 18 pakietów, kształtujące dynamikę wybranych przepływów sieciowych 3 w sposób zapobiegający wysyceniu się łączy chronionych.• automatic and autonomous identification of isolated packet flows 9 requiring monitoring and identification of disturbances in monitored packet flows, • automatic isolation of sources of disturbances (attacks) by creating and sending to network devices a configuration describing the filtering rules of 18 filtered real network flows 3, • identification of the flow dynamics model and model of dynamics of packet discipline mechanisms in order to calculate forecasts of traffic volume for each flow based on the identified dynamics model, creating forecasted flow characteristics 14, • adaptive suppression of isolated disturbances (attack mitigation) dynamically tuning parameters of the filtering rules 18, shaping the dynamics of selected network flows 3 in a way that prevents saturation of protected links.

Powyższy proces jest realizowany okresowo z zadaną częstotliwością próbkowania w okresach próbkowania o1, które przykładowo mogą przyjmować wartości od 1 s do 15 s. Okresy próbkowania mogą być różne dla poszczególnych układów, przy czym układ próbkowania 5 powinien mieć wówczas zadany okres próbkowania większy lub równy najdłuższemu okresowi próbkowania lub będący najmniejszą wspólną wielokrotnością różnych okresów próbkowania. Różnymi okresami próbkowania mogą być przykładowo okres 1 sekundy w przypadku układu obserwatora przepływów 11, oraz 5 sekund w przypadku układu automatycznej regulacji przepływów 13. Adaptacyjny system sterowania, według wynalazku, tworzy z przynajmniej jednym urządzeniem sieciowym 4 (np. switchami lub routerami) zamkniętą pętlę sterowania wykorzystując próbki pakietów a1 z interfejsu wyjściowego 2 jako sygnały sprzężenia zwrotnego do regulacji obciążenia sieci ruchem wymagającym nadzoru przy pomocy syntezowanych reguł filtracji 18. Na podstawie sygnałów sprzężenia zwrotnego kształtowana jest dynamika rzeczywistych przepływów sieciowych 3 potencjalnie zagrażających chronionym łączom. Co istotne, pakiety wchodzące w skład kształtowanych przepływów sieciowych 3 nie są w całości odrzucane, lecz przesyłane w ilości, która gwarantuje bezpieczeństwo chronionej sieci. Bezpieczny udział nadzorowanych przepływów sieciowych w całkowitym ruchu sieciowym jest obliczany automatycznie na podstawie rozwiązania zadania sprawiedliwego podziału łącza. Przykładową jego implementację przedstawiono na fig. 2.The above process is carried out periodically with a predetermined sampling frequency in sampling periods o1, which, for example, may have values from 1 s to 15 s. The sampling periods may be different for individual systems, and the sampling system 5 should then have a predetermined sampling period greater than or equal to the longest sampling period or being the least common multiple of different sampling periods. The different sampling periods may be, for example, a period of 1 second for the flow observer system 11, and 5 seconds for the automatic flow control system 13. The adaptive control system according to the invention forms a closed loop with at least one network device 4 (e.g. switches or routers). control using the packet samples a1 from the output interface 2 as feedback signals to regulate the network load of traffic requiring supervision by synthesized filtering rules 18. Based on the feedback signals, the dynamics of the actual network flows 3 potentially threatening the protected links are shaped. Importantly, packets included in the shaped network flows 3 are not completely rejected, but sent in an amount that guarantees the security of the protected network. The safe share of the supervised network flows in the total network traffic is calculated automatically based on the solution of the equitable link sharing task. An example of its implementation is shown in Fig. 2.

PL 241 005 B1PL 241 005 B1

System komunikuje się z podłączonymi do niego urządzeniami sieciowymi (switchami, routerami), przy czym musi się składać z przynajmniej jednego urządzenia sieciowego 4, co określony okres próbkowania w celu pobrania ze wskazanych interfejsów próbek pakietów a1 ruchu sieciowego oraz skonfigurowania reguł filtracji 18 pakietów. Zadania te wykonywane są przy pomocy standardowych protokołów oraz funkcji zdalnej konfiguracji urządzenia sieciowego udostępnianych przez producenta sprzętu (np. netconf, flowspec).The system communicates with network devices connected to it (switches, routers), but it must consist of at least one network device 4, every specified sampling period in order to collect a1 packet samples of network traffic from the indicated interfaces and configure 18 packet filtration rules. These tasks are performed using standard protocols and functions of remote configuration of the network device provided by the hardware manufacturer (e.g. netconf, flowspec).

Według kolejnego przykładu zaimplementowanie sposobu według wynalazku na urządzeniu sieciowym 4 zamienia to urządzenie sieciowe 4 (np. switch lub router), wyposażone w sieciowe interfejsy wejściowe 1 i wyjściowe 2, standardowe układy próbkowania 5, filtry sieciowe 19 i środki dyscyplinowania pakietów 17 do - warunkowego przesyłania (policing/shaping) pakietów, w zaawansowane urządzenie kształtujące dynamikę przepływów pakietów (obserwowanych w warstwach L2-L4 OSI). Rozszerzenie funkcji urządzenia sieciowego 4 może być realizowane przez modyfikację architektury urządzenia o niezbędne układy według wynalazku lub poprzez zaimplementowanie odpowiednich procedur zgodnie z architekturą SDN. Zastosowana metoda inżynierii sieciowej wyodrębnia na urządzeniu sieciowym 4 dwa typy interfejsów sieciowych:According to a further example, implementing the inventive method on a network device 4 replaces this network device 4 (e.g. a switch or a router) equipped with network input 1 and output 2 interfaces, standard sampling circuits 5, network filters 19 and packet discipline 17 to - conditional sending (policing / shaping) packets into an advanced device shaping the dynamics of packet flows (observed in the L2-L4 OSI layers). The extension of the functions of the network device 4 can be realized by modifying the device architecture with the necessary circuits according to the invention or by implementing appropriate procedures according to the SDN architecture. The network engineering method used extracts two types of network interfaces on the network device 4:

• Interfejs wejściowy 1, typu dirty: interfejsy przyjmujące pakiety, które będą analizowane przez system, • Interfejs wyjściowy 2, typu clean: interfejsy wysyłające pakiety przeanalizowane przez system, dostarczający do systemu sygnał sprzężenia zwrotnego ilustrujący skuteczność podejmowanych przez system działań.• Inbound interface 1, dirty: interfaces that receive packets that will be analyzed by the system, • Outbound interface 2, clean type: interfaces that send packets analyzed by the system, providing a feedback signal to the system showing the effectiveness of the system's actions.

System pobiera próbki (np. sFlow lub netFlow) pakietów a1 trafiających na oba typy interfejsów (1, 2). Próbki pochodzące z interfejsu wejściowego 1 typu dirty są wykorzystywane do wyizolowania przepływów pakietów 9, zbiorów pakietów pasujących do automatycznie zbudowanego przez system wzorca, wymagających obserwacji (potencjalnych ataków) oraz utworzenia w systemie modelu ruchu sieciowego związanego z obserwowanym rzeczywistym przepływem sieciowym 3 pakietów. Na podstawie zidentyfikowanego modelu (dynamiki) przepływu pakietów i prognozowanych cech przepływów 14 system podejmuje dalsze decyzje o kształtowaniu szybkości przesyłania pakietów tworzących przepływ sieciowy 3.The system takes samples (e.g. sFlow or netFlow) of a1 packets going to both types of interfaces (1, 2). The samples from the dirty input interface 1 are used to isolate packet flows 9, sets of packets matching an automatically built pattern by the system, requiring observation (potential attacks), and modeling the network traffic related to the observed actual network flow of 3 packets in the system. Based on the identified model (dynamics) of packet flow and predicted flow characteristics 14, the system makes further decisions about shaping the forwarding speed of packets that make up the network flow 3.

Próbki pakietów pochodzące z interfejsu wyjściowego 2 typu clean są wykorzystywane przez system do określenia skuteczności procesu kształtowania szybkości przepływu. Kształtowanie dynamiki przepływu jest realizowane przy pomocy reguł filtracji 18 (policing/shaping) zakładanych na interfejsach typu dirty lub na interfejsach pomiędzy interfejsami dirty-clean. Przykład wykonania układu sterowania dirty-clean przedstawia fig. 5,The packet samples from the clean output interface 2 are used by the system to determine the effectiveness of the flow rate shaping process. The shaping of the flow dynamics is carried out by means of filtering rules 18 (policing / shaping) assumed on the dirty-type interfaces or on the interfaces between dirty-clean interfaces. An example of the dirty-clean control system is shown in Fig. 5,

Transparentna architektura sieciowa oparta tylko o dane z warstwy L2-L4 modelu OSI wykorzystująca powszechnie dostępne technologie sieciowe pozwala na łatwe dołączanie urządzeń klienckich do interfejsów wejściowych i interfejsów wyjściowych do dystrybucji pakietów. Wykorzystanie zaawansowanych metod inżynierii sieciowej pozwala na realizowanie usług systemu nawet na pojedynczym urządzeniu sieciowym 4, przekształcając urządzenie typu firewall w inteligentne urządzenie ochrony sieci.Transparent network architecture based only on data from the L2-L4 layer of the OSI model using commonly available network technologies allows for easy connection of client devices to input interfaces and output interfaces for package distribution. The use of advanced network engineering methods allows the system services to be delivered even on a single network device 4, transforming the firewall device into an intelligent network security device.

W przeciwieństwie do znanych ze stanu techniki rozwiązań bazujących na technikach sygnaturowych, porównujących obserwowany ruch sieciowy do znanych wzorców, wynaleziony mechanizm wykorzystuje techniki analizy sygnałowej do realizacji zadań automatycznego budowania reguł filtracji 18 izolujących rzeczywiste przepływy sieciowe 3 wymagające monitorowania.Contrary to the signature techniques of the prior art comparing observed network traffic to known patterns, the invented mechanism uses signal analysis techniques to perform tasks of automatically building filtering rules 18 that isolate actual network flows 3 that need to be monitored.

Według wynalazku detekcja przepływów będących źródłem anomalii w ruchu sieciowym lub nośnikiem ataku DDoS polega na analizie zbioru próbek pakietów a1, obejmujących dane z warstw L2-L4 modelu OSI, przepływających przez obserwowany interfejs wejściowy 1. Układ złożony jest z połączonych ze sobą detektorów, z przynajmniej jednego detektora D0, przy czym korzystnie w systemie jest przynajmniej jeden detektor pierwszego rzędu D1 i/lub przynajmniej jeden detektor wyższego rzędu Di. Detektor D0 wydobywa z obserwowanego zbioru próbek pakietów a1 ruchu sieciowego przepływy wyróżniające się ze względu na zadane statystyki ruchu, na przykład liczba bajtów, liczba pakietów, liczba bitów na sekundę (bps), liczba pakietów na sekundę (pps), liczba przepływów logicznych (ang. flows) lub średnia liczba bajtów w pakiecie (bpp) zarejestrowanych w zadanym okresie próbkowania o1.According to the invention, the detection of flows being the source of anomalies in the network traffic or the DDoS attack carrier consists in the analysis of a set of packet samples a1, including data from the L2-L4 layers of the OSI model, flowing through the observed input interface 1. The system consists of detectors connected to each other, with at least of one detector D0, the system preferably having at least one first order detector D1 and / or at least one higher order detector D1. The detector D0 extracts from the observed set of network traffic packet samples a1 flows that differ due to the set traffic statistics, for example, the number of bytes, the number of packets, the number of bits per second (bps), the number of packets per second (pps), the number of logical flows. .flows) or average number of bytes in the packet (bpp) recorded in the given sampling period o1.

Wyizolowane przepływy pakietów 9 wyodrębnione w ten sposób opisane są definicją 8 filtra sieciowego złożoną z pojedynczego termu bazowego 23 (zawierającego pojedynczy atrybut pakietu x1, np. adres docelowy IP lub typ protokołu). Detektor przeprowadza wielokryterialną analizę obserwowanych danych w celu wyodrębnienia przepływów noszących cechy anomalii w ruchu sieciowym lub ataku.The isolated packet flows 9 extracted in this way are described by a network filter definition 8 composed of a single base term 23 (containing a single packet attribute x1, e.g. destination IP address or protocol type). The detector performs a multi-criteria analysis of the observed data in order to isolate flows bearing the features of an anomaly in network traffic or an attack.

PL 241 005 B1PL 241 005 B1

W tym celu wykorzystywany jest mechanizm wielokrotnego głosowania, w którym kandydatami (w prowadzonych równolegle wyborach) są przepływy zdefiniowane pojedynczym termem bazowym 23 (pierwsza lista kandydatów: dst ip A, dst ip B, lista druga: src port A, src port B, itd.), a wyborcami statystyki ruchu (bps, pps, flows, bpp, itp.).For this purpose, a multiple voting mechanism is used, in which the candidates (in parallel elections) are flows defined by a single base term 23 (the first list of candidates: dst ip A, dst ip B, the second list: src port A, src port B, etc. .), and traffic statistics voters (bps, pps, flows, bpp, etc.).

Listy uporządkowane 20 przez wyborców z listy kandydatów są agregowane przez detektor D0 do postaci list zbiorczych 21, łączących przepływy wyróżniające się jednocześnie pod wieloma względami. Powstaje w ten sposób zbiór termów bazowych 23, które odpowiadają przepływom potencjalnie wymagającym dalszej obserwacji. Dla każdego termu bazowego 23 zapisanego w pamięci 10 zwiększany jest licznik aktywności 24. Następnie sprawdzana jest wartość licznika aktywności 24 w pamięci 10. Jeśli przynajmniej jeden licznik przekracza zadaną wartość aktywności 25 tworzona jest definicja 8 filtra sieciowego, która odpowiada termowi bazowemu 23, którego licznik przekroczył wymaganą wartość aktywności 25. Detektor D0 jest uruchamiany cyklicznie w zadanych okresach próbkowania o1.Lists 20 ordered by voters from the list of candidates are aggregated by detector D0 into aggregate lists 21, combining flows that are simultaneously distinct in many respects. This produces a set of base terms 23 that correspond to flows potentially requiring further observation. For each base term 23 stored in the memory 10, the activity counter 24 is incremented. Then the value of the activity counter 24 in the memory 10 is checked. If at least one counter exceeds the preset activity value 25, a definition 8 of the network filter is created, which corresponds to the base term 23, the counter of which is exceeded the required activity value 25. Detector D0 is activated cyclically at set sampling periods o1.

Aby usprawnić detekcję przepływów wymagających obserwacji, korzystnie jest posługiwać się reprezentacją próbek pakietów a1 w postaci szeregów czasowych 26, które opisują zachodzące w czasie zmiany atrybutów x1 pakietów, przy czym każdy szereg czasowy 26 zawiera informację o zm ianach dowolnego dostępnego atrybutu x1 próbek pakietów a1 zapisanych w buforze pakietów 6 w zadanym okresie próbkowania o1. Szeregi czasowe 26 są wykorzystywane do wyznaczania prognozowanych cech przepływów 14, do budowania modeli dynamiki oraz do detekcji przepływów w detektorach. Szeregi czasowe są tworzone przez układ obserwatora przepływów 11 albo układu automatycznej regulacji przepływów 13 i odpowiadają wyizolowanym przepływom pakietów 9 przez definicje 8 filtrów sieciowych zapisanych w pamięci 10.In order to improve the detection of the flows requiring observation, it is advantageous to use the representation of packet samples a1 in the form of time series 26 that describe the time series changes of attributes x1, each time series 26 containing information about the changes of any available attribute x1 of packet samples a1 recorded in the packet buffer 6 in a given sampling period o1. The time series 26 are used to derive the predicted characteristics of the flows 14, to build dynamics models, and to detect the flows in the detectors. The time series are formed by the flow observer 11 or the automatic flow control 13 and correspond to the isolated packet flows 9 by the definitions of the 8 network filters stored in the memory 10.

Na podstawie wyodrębnionego przez detektor D0 zbioru przepływów detektor wyższego rzędu, D1, buduje nowy, dokładniej określony zbiór przepływów. Zbiór ten składa się z przepływów będących kombinacją przepływów wyodrębnionych przez detektor D0 7. Taka kombinacja definicji 8 filtrów sieciowych jest rozwiązaniem odpowiednio zdefiniowanego zadania separacji sygnałów. Dla każdego wyizolowanego przepływu pakietów 9 przez detektor D0 7 pobierane są odpowiadające im szeregi czasowe 26. Następnie wybierane są szeregi czasowe 26 odseparowane ze względu na zadaną cechę oraz wyznaczana jest kombinacja odseparowanych szeregów czasowych. Wybór przynajmniej dwóch szeregów czasowych 26 odseparowanych między sobą następuje ze względu na maksymalną niezależność liniową (ortogonalną) lub ze względu na minimalne skorelowanie (niezależność stochastyczną) w przestrzeni sygnałów analizowanych przynajmniej dwóch szeregów czasowych 26 w dziedzinie czasu lub częstotliwości. Wyznaczenie kombinacji odseparowanych szeregów czasowych 26 polega na obliczeniu macierzy mieszającej szeregi czasowe 26 odpowiadające termom bazowym 23 (utworzonym przez detektor D0 7). Do obliczenia macierzy mieszającej wykorzystuje się typowe techniki analizy sygnałów w dziedzinie czasu i częstotliwości, znane znawcy w dziedzinie. Macierz mieszająca jest następnie wykorzystywana do syntezy termów złożonych 32 z termów bazowych 23 i wyszukiwane są odpowiadające im podprzepływy pakietów 29 w próbkach pakietów a1 zapisanych w buforze próbek 6. W zgromadzonych próbkach ruchu detektor D1 wyszukuje przepływy będące iloczynem logicznym termów odpowiadających wyróżniającym się elementom macierzy mieszającej. Jeśli podprzepływ pakietów 29 opisany termem złożonym 32 istnieje w zapisanych w buforze próbek 6 próbkach pakietów a1, tworzona jest nowa definicja 8 filtra sieciowego, która izoluje zidentyfikowany przepływ pakietów 9 i jest zapisywana w pamięci 10. Tak utworzone filtry zwiększają rozdzielczość obserwacji przepływów, tzn. dzielą ruch wyróżniony przez detektor D0 na tworzące go składowe wymagające monitorowania. Detektor D1 jest uruchamiany cyklicznie w zadanych okresach próbkowania o1 w zależności od tego, czy detektor D0 wyizolował nowe przepływy pakietów lub w zależności od stanu przepływów analizowanych przez układ obserwatora przepływów 11.On the basis of the set of flows extracted by the detector D0, the higher-order detector, D1, builds a new, more precisely defined set of flows. This set consists of flows being a combination of flows separated by detector D0 7. Such a combination of definitions of 8 network filters is a solution to a properly defined signal separation task. For each isolated packet flow 9 through detector D0 7, corresponding time series 26 are taken. Then, time series 26 separated by a given feature are selected and a combination of the separated time series is determined. The choice of at least two time series 26 separated from each other takes place either because of the maximum linear (orthogonal) independence or because of the minimum correlation (stochastic independence) in the signal space of the analyzed at least two time series 26 in the time or frequency domain. The determination of the combination of the separated time series 26 consists in the calculation of the matrix mixing the time series 26 corresponding to the base terms 23 (formed by the detector D0 7). Conventional time and frequency domain signal analysis techniques known to those skilled in the art are used to calculate the scramble matrix. The hash matrix is then used to synthesize the complex terms 32 from the base terms 23 and the corresponding packet subflows 29 are found in the packet samples a1 stored in the sample buffer 6. In the collected motion samples, the detector D1 searches for flows that are logical product of terms corresponding to the distinguishing elements of the hash matrix. . If a packet subflow 29 described by a complex term 32 exists in the packet samples a1 stored in the buffer 6 samples, a new definition 8 of the network filter is created, which isolates the identified packet flow 9 and is stored in the memory 10. The filters thus formed increase the resolution of the flow observation, i.e. they divide the traffic distinguished by the detector D0 into its components requiring monitoring. Detector D1 is activated cyclically at predetermined sampling periods o1 depending on whether detector D0 has isolated new packet flows or depending on the status of flows analyzed by the flow observer system 11.

Następnie detektor wyższego rzędu Di, buduje nowy podzbiór przepływów, przeprowadzając analizę obserwowanych przepływów ukierunkowaną na klasteryzację szeregów czasowych 26, ale tym razem bazując na podzbiorze wyznaczonym przez dowolny inny detektor, korzystnie przez przynajmniej jeden detektor D1. Detektor wyższego rzędu wybiera szeregi czasowe 26 skorelowane lub podobne według innego zadanego kryterium, np. ze względu na ich podobieństwo w kształcie przebiegu szeregu czasowego 26, tzn. bliskość określaną metodą DTW (ang. dynamic time warping). Nowe definicje 8 filtrów sieciowych są iloczynem logicznym termów budujących definicje filtrów sieciowych detektora D1 tworzące zidentyfikowany klaster. Nowy term złożony 32 jest iloczynem termów budujących definicje 8 filtrów sieciowych izolujących przepływy pakietów 9, którym odpowiadają wykryte skorelowane szeregi czasowe lub podobne szeregi czasowe. Następnie wyszukiwane są odpowiadające nowemu termowiThen the higher order detector Di, builds a new subset of the flows by performing an analysis of the observed flows targeting time series clustering 26 but this time based on the subset determined by any other detector, preferably at least one detector D1. The higher order detector selects correlated time series 26 or the like according to another predetermined criteria, e.g. The new definitions of 8 network filters are a logical product of the terms building the definitions of the detector D1 network filters that make up the identified cluster. The new complex term 32 is the product of the terms building the definitions 8 of the packet flow isolating network filters 9 to which the detected correlated time series or similar time series correspond. Then it looks for a match for the new term

PL 241 005 B1 złożonemu 32 przepływy pakietów w próbkach pakietów a1 zapisanych w buforze próbek 6. Jeśli podprzepływ 29 opisany termem złożonym 32 istnieje w zgromadzonych próbkach pakietów a1, tworzona jest definicja 8 filtra sieciowego, która izoluje zidentyfikowany przepływ pakietów 9. W rezultacie u tworzone definicje 8 filtrów sieciowych dzielą ruch wyróżniony przez dowolny inny detektor, korzystnie prze z przynajmniej jeden detektor D1, na tworzące go składowe, zwiększając rozdzielczość filtracji. Detektor Di jest uruchamiany cyklicznie w zadanych okresach próbkowania o1 w zależności od tego, czy inny detektor niższego rzędu wyizolował nowe przepływy pakietów lub w zależności od stanu przepływów analizowanych przez układ obserwatora przepływów 11.If a subflow 29 described by complex term 32 exists in the collected packet samples a1, a network filter definition 8 is created, which isolates the identified packet flow 9. As a result, the network filter definitions 8 divide the traffic distinguished by any other detector, preferably by at least one detector D1, into its constituent components, increasing the resolution of the filtration. The detector Di is activated cyclically at given sampling periods o1 depending on whether another lower order detector has isolated new packet flows or depending on the state of the flows analyzed by the flow observer system 11.

Procedura zwiększania rozdzielczości filtracji, wykorzystująca analizę w dziedzinie czasu i częstotliwości rozbudowywanej bazy sygnałów w postaci szeregów czasowych 26 (reprezentujących przepływy pakietów), może być powtarzana w procesie iteracyjnym, budującym hierarchię detektorów D0, D1, Di, która w kolejnych krokach izoluje z obserwowanego ruchu sieciowego rzeczywiste przepływy sieciowe 3, coraz dokładniej definiowane reguły filtracji 18. Mechanizm ten przedstawiono na fig. 6.The procedure of increasing the filtration resolution, using the analysis in the time and frequency domain of the extended signal base in the form of time series 26 (representing packet flows), can be repeated in the iterative process, building the hierarchy of detectors D0, D1, Di, which in subsequent steps isolates from the observed traffic network actual network flows 3, more and more precisely defined filtration rules 18. This mechanism is shown in Fig. 6.

Zastosowane podejście pozwala na autonomiczną detekcję złożonych i zmiennych w czasie wektorów ataków, oraz na adaptacyjne budowanie mechanizmów tłumienia ataków złożonych o zmiennej dynamice. Schemat architektury mechanizmu iteracyjnego zwiększania dokładności detekcji przedstawiony został na fig. 7.The applied approach allows for autonomous detection of complex and time-varying attack vectors, and for adaptive building of mechanisms to suppress complex attacks with variable dynamics. A schematic diagram of the iterative mechanism for increasing the detection accuracy is shown in Fig. 7.

Według przykładu wykonania odpowiednie tłumienie wyizolowanego przez filtr sieciowy 19 przepływu pakietów danych sieciowych 3 przy pomocy środków dyscyplinowania pakietów 17 obejmuje odrzucenie pakietu. Odpowiednie tłumienie wyizolowanego przez filtr sieciowy 19 przepływu pakietów danych sieciowych 3 przy pomocy środków dyscyplinowania pakietów 17 obejmuje buforowanie pakietu.According to an embodiment, suitably suppressing the network data packet flow 3 isolated by the network filter 19 by the packet discipline 17 comprises discarding the packet. Adequate suppression of the network data packet flow 3 isolated by the network filter 19 by packet discipline 17 includes packet buffering.

Poszczególne etapy sposobu są wykonywane na różnych urządzeniach sieciowych lub przy pomocy co najmniej jednego komputera podłączonego do sieci za pomocą odpowiedniego interfejsu sieciowego. Okresy próbkowania stosowane w różnych urządzeniach sieciowych mogą się różnić między sobą.The individual steps of the method are performed on different network devices or by means of at least one computer connected to the network via a suitable network interface. The sampling periods used in various network devices may differ from each other.

Układ według wynalazku do adaptacyjnego tworzenia reguł filtracji ruchu sieciowego dla co najmniej jednego urządzenia sieciowego samoistnie wykrywający anomalie i ataki wolumetryczne (DdoS), zawierający pamięć 10, procesor lub kontroler oraz przynajmniej jeden interfejs sieciowy, zawiera ponadto układ próbkowania 5 interfejsu wejściowego 1 i wyjściowego 2, bufor próbek 6, układ detektora D0 7, układ obserwatora 11, układ automatycznej regulacji przepływów 13, oraz środki dyscyplinowania pakietów 17 i filtry sieciowe 19. Środki dyscyplinowania pakietów 17 i filtry sieciowe 19 mogą znajdować się w tym samym urządzeniu sieciowym lub w innych urządzeniach sieciowych w nie wyposażonych.The inventive system for adaptive generation of network traffic filtering rules for at least one network device self-detecting volumetric anomalies and attacks (DdoS), comprising memory 10, processor or controller and at least one network interface, further comprises a sampling circuit 5 of input 1 and output 2 interface. , sample buffer 6, detector circuit D0 7, observer circuit 11, automatic flow control circuit 13, and packet discipline means 17 and network filters 19. Packet discipline means 17 and network filters 19 may be located in the same network device or in different devices. networks equipped with them.

Układ próbkowania 5 realizuje funkcję odczytywania i gromadzenia próbek pakietów a1 rzeczywistego przepływu sieciowego 3 i zapisuje je w przeznaczonym do tego buforze próbek 6. Bufor ten jest połączony z układem detektora D0 7 izolującym przepływy pakietów 9 poprzez odczytywanie zapisanych w buforze próbek 6 próbek pakietów a1 i generujący definicje 8 filtrów sieciowych oraz zapisujący je w pamięci 10. Ponadto pamięć 10 jest połączona z układem obserwatora 11, który odczytuje z pamięci 10 informacje o definicjach 8 filtrów sieciowych oraz o odpowiadających im próbkach pakietów a1 zapisanych w buforze próbek 6 a następnie wyznacza wartości progowe 12 i zapisuje je w pamięci 10, określa czy zostały przekroczone wyznaczone wartości progowe 12 porównując parametry wyizolowanego przepływu pakietów 9 z wcześniejszymi wartościami progowymi 121 zapisanymi w pamięci 10 i jeśli zostały przekroczone wcześniejsze wartości progowe 121 generowane są sygnały alarmowe 15 zapisywane w pamięci 10, ponadto układ obserwatora 11 prognozuje cechy przepływów 14 w zadanym horyzoncie prognozy i zapisuje je w pamięci 10.The sampling circuit 5 performs the function of reading and collecting packet samples a1 of the actual network flow 3 and writes them to a dedicated sample buffer 6. This buffer is connected to the detector circuit D0 7 that isolates the packet flows 9 by reading the 6 sample packets a1 stored in the sample buffer and generating the definitions of 8 network filters and storing them in the memory 10. Moreover, the memory 10 is connected to the observer circuit 11, which reads from the memory 10 information about the definitions of the 8 network filters and about the corresponding packet samples a1 stored in the sample buffer 6 and then determines the threshold values 12 and stores them in memory 10, determines whether predetermined thresholds 12 have been exceeded by comparing the parameters of isolated packet flow 9 with previous threshold values 121 stored in memory 10, and if previous thresholds 121 are exceeded, alarm signals 15 stored in memory 10 are generated, over then the observer system 11 forecasts the characteristics of the flows 14 in a given forecast horizon and stores them in the memory 10.

Jednocześnie pamięć 10 połączona jest z układem automatycznej regulacji przepływów 13 regulującym i kształtującym dynamikę rzeczywistych przepływów sieciowych 3, które odpowiadają wyizolowanym przepływom pakietów 9, które nie spełniają zadanych wartości progowych 12, sterując środkami dyscyplinowania pakietów 17 i filtrów sieciowych 19. Układ automatycznej regulacji przepływów 13 połączony jest z przynajmniej jednym innym urządzeniem sieciowym 27, które jest skonfigurowane tak, że można na nie przesyłać utworzone, na podstawie odczytanych z pamięci 10 definicji 8 filtrów sieciowych i sygnałów sterujących 16 środkami dyscyplinowania pakietów, reguły filtracji 18. Definicje 8 filtrów sieciowych i sygnały sterujące 16 dyscyplinowaniem pakietów tłumaczone są na reguły filtracji 18 pakietów i są przesyłane do środków dyscyplinowania pakietów 17 oraz filtrów sieciowych 19 izolując w ten sposób przepływy pakietów ruchu sieciowego 3 oraz kształtując ich dynamikę w chronionym obszarze sieci.At the same time, the memory 10 is connected to the automatic flow control system 13 regulating and shaping the dynamics of the real network flows 3, which correspond to isolated packet flows 9 which do not meet the preset threshold values 12, controlling the means of disciplining the packets 17 and network filters 19. Automatic flow control system 13 it is connected to at least one other network device 27 which is configured such that it is possible to transmit the filter rules 18, created on the basis of the definitions read from the memory 10 and the signals controlling 16 packet discipline measures, the filter rules 18. packet discipline control 16 are translated into packet filtering rules 18 and are sent to packet discipline means 17 and network filters 19, thus isolating network traffic packet flows 3 and shaping their dynamics in the protected network area.

Claims (28)

PL 241 005 B1PL 241 005 B1 Według przykładu wykonania układ automatycznej regulacji przepływów 13 odczytuje z pamięci 10 sygnały alarmowe 15, (prognozowane i obserwowane) cechy przepływów 14, definicje 8 filtrów sieciowych, aktualne sygnały sterujące 16 środkami dyscyplinowania pakietów oraz pobiera wartości progowe 12. Układ automatycznej regulacji przepływów 13 jest zarazem połączony z buforem próbek 6, z którego odczytuje próbki pakietów a1 z interfejsu wejściowego 1 i interfejsu wyjściowego 2 i adaptacyjnie reguluje wyznaczając nowe sygnały sterujące 16 środkami dyscyplinowania pakietów dla odpowiednich wyizolowanych przepływów pakietów 9 i zapisuje je w pamięci 10.According to an exemplary embodiment, the automatic flow control system 13 reads from the memory 10 alarm signals 15, (predicted and observed) flow characteristics 14, network filter definitions 8, current signals controlling the packet discipline means, and retrieves the threshold values 12. The automatic flow control 13 is also coupled to sample buffer 6, from which it reads packet samples a1 from input interface 1 and output interface 2, and adjusts adaptively to determine new packet discipline means control signals 16 for corresponding isolated packet flows 9 and stores them in memory 10. Pomiędzy buforem próbek 6 i układem obserwatora przepływów 11, znajduje się połączony równolegle z detektorem D0 7 układ detektora pierwszego rzędu D1 28, który jest połączony z pamięcią 10. Możliwe jest również, że pomiędzy buforem próbek 6 i układem obserwatora przepływów 11, znajduje się połączony równolegle z detektorem D0 7 układ detektora wyższego rzędu Di 30, który jest połączony z pamięcią 10. Ponadto wynalazek nie wyłącza możliwości, że pomiędzy buforem próbek 6 i układem obserwatora przepływów 11, znajduje się połączony szeregowo za detektorem D0 7 układ detektora pierwszego rzędu D1 28, który jest połączony z pamięcią 10. Jak również, możliwe jest, że pomiędzy buforem próbek 6 i układem obserwatora przepływów 11, znajduje się połączony szeregowo z detektorem pierwszego rzędu D1 28 układ detektora wyższego rzędu Di 30, który jest połączony z pamięcią 10.Between the sample buffer 6 and the flow observer system 11, there is a first order detector system D1 28 connected in parallel with the detector D0 7, which is connected to the memory 10. It is also possible that between the sample buffer 6 and the flow observer system 11 there is a connected in parallel with the detector D0 7 a higher order detector circuit Di 30, which is connected to the memory 10. Moreover, the invention does not exclude the possibility that between the sample buffer 6 and the flow observer system 11, there is a first order detector system D1 28 connected in series downstream of the detector D0 7 which is connected to the memory 10. Also, it is possible that between the sample buffer 6 and the flow observer system 11, there is a higher order detector system D1 28 connected in series with the first order detector D1 28, which is connected to the memory 10. Układ obserwatora 11 może być skonfigurowany tak, że na podstawie definicji 8 filtrów sieciowych, sygnałów alarmowych 15 i wyznaczonych wartości progowych 12 uruchamia detektor pierwszego rzędu D1 28 lub wyższego rzędu Di 30, które izolują nowe podprzepływy 29 i zapisują w pamięci 10 nowe definicje 8 filtrów sieciowych. Ponadto układ obserwatora 11 na podstawie definicji 8 filtrów sieciowych, sygnałów alarmowych 15 i wyznaczonych wartości progowych 12 może być skonfigurowany do uruchamiania układu automatycznej regulacji przepływów 13, który realizuje funkcję regulacji i kształtowania dynamiki wskazanego przez układ obserwatora 11 wyizolowanego przepływu pakietów 9. Dodatkowo układ automatycznej regulacji przepływów 13 jest skonfigurowany do komunikowania się z innymi urządzeniami sieciowymi 27.The observer circuit 11 can be configured such that based on the definition of 8 mains filters, alarm signals 15 and the determined threshold values 12, it triggers a first order detector D1 28 or higher D1 30 which isolates new subflows 29 and stores new 8 filter definitions in memory 10. network. Furthermore, the observer system 11, based on the definition of 8 network filters, alarm signals 15 and the determined threshold values 12, can be configured to activate the automatic flow control system 13, which performs the dynamics control and shaping function indicated by the isolated packet flow observer circuit 11. the flow control 13 is configured to communicate with other network devices 27. ZastosowanieApplication Wynalazek może znaleźć zastosowanie jako element systemu ochrony sieci teleinformatycznych lub punktów wymiany ruchu sieciowego. Może być on wykorzystywany m.in. jako:The invention can be used as an element of a security system for ICT networks or network traffic exchange points. It can be used, among others as: • narzędzie monitorowania stanu bezpieczeństwa sieci, • narzędzie aktywnego reagowania na incydenty bezpieczeństwa sieciowego, • narzędzie generowania wiedzy o przepływach sieciowych, • system wspomagania decyzji dla operatorów bezpieczeństwa teleinformatycznego, • narzędzie kontrolowania wybranych parametrów jakości usług sieciowych.• a tool for monitoring the network security condition, • a tool for actively reacting to network security incidents, • a tool for generating knowledge about network flows, • a decision support system for ICT security operators, • a tool for controlling selected parameters of network service quality. Zastrzeżenia patentowePatent claims 1. Sposób adaptacyjnego tworzenia reguł filtracji ruchu sieciowego na urządzeniu sieciowym samoistnie wykrywający anomalie i automatycznie tłumiący ataki wolumetryczne (DDoS), który na co najmniej jednym urządzeniu sieciowym (4) na podstawie rzeczywistych przepływów sieciowych (3) i po ich rozdzieleniu na wyizolowane przepływy pakietów (9), rozpoznaje potencjalnie szkodliwe przepływy sieciowe, a następnie konfiguruje lub dostraja filtry sieciowe (19) i środki dyscyplinowania pakietów (17), których reguły filtracji (18) mogą być propagowane do innych urządzeń sieciowych (27), oraz wybiera do dalszej analizy wyizolowane przepływy pakietów (9) związane z przynajmniej jednym skonfigurowanym lub dostrojonym filtrem siec iowym (19), znamienny tym, że w zadanych okresach próbkowania (o1) cyklicznie a) na podstawie danych z interfejsu wejściowego (1) i interfejsu wyjściowego (2) próbkuje się pakiety z rzeczywistych przepływów sieciowych (3) na co najmniej jednym urządzeniu sieciowym (4) przy pomocy przynajmniej jednego układu próbkowania (5) ruchu sieciowego i zapisuje się próbki pakietów (a1) w buforze próbek (6),1. A method of adaptive creation of network traffic filtering rules on a network device that automatically detects anomalies and automatically suppresses volumetric attacks (DDoS), which on at least one network device (4) based on real network flows (3) and after their separation into isolated packet flows (9), recognizes potentially harmful network flows, and then configures or fine-tunes network filters (19) and packet discipline measures (17), whose filtering rules (18) can be propagated to other network devices (27), and selects for further analysis isolated packet flows (9) associated with at least one configured or tuned network filter (19), characterized in that at given sampling periods (o1) cyclically a) based on data from the input interface (1) and the output interface (2) packets from real network flows (3) on at least one network device (4) at p by at least one network traffic sampling system (5) and packet samples (a1) are saved in the sample buffer (6), b) na podstawie próbek pakietów (a1) z bufora próbek (6) za pomocą detektora Do (7) wyznacza się definicje (8) filtrów sieciowych izolujących przepływy pakietów (9), które to definicje (8) zapisuje się w pamięci (10),b) on the basis of packet samples (a1) from the sample buffer (6), the definitions (8) of network filters (9) isolating the packet flows (9) are determined using the detector Do (7), which definitions (8) are stored in the memory (10) , c) dla każdego wyizolowanego przepływu pakietów (9) w układzie obserwatora przepływów (11) określa się wartości progowe (12) oraz zapisuje się je w pamięci (10),c) for each isolated packet flow (9), threshold values (12) are determined in the flow observer system (11) and stored in the memory (10), PL 241 005 B1PL 241 005 B1 d) dla każdego wyizolowanego przepływu pakietów (9) określa się w układzie automatycznej regulacji przepływów (13) albo w układzie obserwatora przepływów (11) prognozowane cechy przepływów (14) w zadanym horyzoncie prognozy i zapisuje się je w pamięci (10), przy czym każdy nowy wyizolowany przepływ pakietów (9) jest prognozowany zadanymi domyślnie wartościami,d) for each isolated packet flow (9), the predicted characteristics of the flows (14) in a given forecast horizon are determined in the automatic flow control system (13) or in the flow observer system (11) and stored in the memory (10), each new isolated packet flow (9) is forecast with the values set by default, e) dla każdego wyizolowanego przepływu pakietów (9) określa się w układzie obserwatora przepływów (11), czy zostały przekroczone wyznaczone w poprzednim okresie próbkowania (o1) wcześniejsze wartości progowe (121), porównując parametry wyizolowanego przepływu pakietów (9) z wcześniejszymi wartościami progowymi (121) zapisanymi w pamięci (10) i jeśli zostały przekroczone wcześniejsze wartości progowe (121) generowane są sygnały alarmowe (15) zapisywane w pamięci (10),e) for each isolated packet flow (9), it is determined in the flow observer system (11) whether the previous threshold values (121) determined in the previous sampling period (o1) have been exceeded by comparing the parameters of the isolated packet flow (9) with the earlier threshold values (121) stored in the memory (10) and if the previous thresholds (121) have been exceeded, alarm signals (15) stored in the memory (10) are generated, f) rzeczywiste przepływy sieciowe (3), które odpowiadają wyizolowanym przepływom pakietów (9), które nie spełniają wartości progowych (12) są poddawane procesowi automatycznej regulacji i kształtowania dynamiki za pomocą układu automatycznej regulacji przepływów (13) oraz środków dyscyplinowania pakietów (17) i filtrów sieciowych (19).f) the actual network flows (3) that correspond to isolated packet flows (9) that do not meet the threshold values (12) are subject to the process of automatic regulation and dynamics shaping using the automatic flow control system (13) and packet discipline measures (17) and network filters (19). 2. Sposób według zastrz. 1, znamienny tym, że w etapie b) przepływy pakietów (9) są izolowane na podstawie dowolnego z dostępnych atrybutów (x1) próbek pakietów (a1) zapisanych w buforze próbek (6).2. The method according to p. The method of claim 1, characterized in that in step b) the packet flows (9) are isolated based on any of the available attributes (x1) of the packet sample (a1) stored in the sample buffer (6). 3. Sposób według zastrz. 1 albo 2, znamienny tym, że w etapie f) na podstawie próbek pakietów z interfejsu wejściowego (1) i interfejsu wyjściowego (2) pobranych z bufora próbek (6), wartości progowych (12), sygnałów alarmowych (15), prognozowanych cech przepływów (14), definicji (8) filtrów sieciowych oraz na podstawie aktualnych sygnałów sterujących (16) określa się metodą regulacji adaptacyjnej nowe sygnały sterujące (161) środkami dyscyplinowania pakietów, które są zapisywane w pamięci (10).3. The method according to p. A method according to claim 1 or 2, characterized in that in step f) based on packet samples from the input interface (1) and the output interface (2) taken from the buffer, samples (6), threshold values (12), alarm signals (15), predicted features flows (14), network filter definitions (8) and based on the current control signals (16), new packet discipline means (161) control signals (161) are determined by the adaptive control method, which are stored in the memory (10). 4. Sposób według któregokolwiek z zastrz. 1-3, znamienny tym, że w po etapie f) następuje etap g), w którym dla wyizolowanych przepływów pakietów (9) przetwarzanych w układzie automatycznej regulacji przepływów (13) na podstawie sygnałów sterujących (16) tworzone są reguły filtracji (18), które są wykonywane na przynajmniej jednym urządzeniu sieciowym (4) przy pomocy filtrów sieciowych (19) lub środków dyscyplinowania pakietów (17).4. The method according to any of claims 1 to 4 1-3, characterized in that step f) is followed by step g), in which filtering rules (18) are created for the isolated packet flows (9) processed in the automatic flow control (13) on the basis of control signals (16) which are performed on at least one network device (4) using network filters (19) or packet discipline (17). 5. Sposób według zastrz. 4, znamienny tym, że w etapie g) układ automatycznej regulacji przepływów (13) propaguje do innych urządzeń sieciowych (27) utworzone reguły filtracji (18).5. The method according to p. 4. The method of claim 4, characterized in that in step g) the automatic flow control (13) propagates the created filtration rules (18) to other network devices (27). 6. Sposób według któregokolwiek z zastrz. 1-5, znamienny tym, że za pomocą detektora Do (7) w etapie b) wyznacza się definicje filtrów sieciowych, poprzez:6. The method according to any one of claims 1 to 6 The method according to 1-5, characterized in that by means of the detector Do (7) in step b) the network filter definitions are determined by: wyznaczenie co najmniej jednej listy uporządkowanej (20) odpowiadającej wybranemu atrybutowi (x1) pakietów w zbiorze próbek pakietów dostępnych w buforze próbek (6) uszeregowanej w kolejności malejącej ze względu na wybrane parametry przepływu, które stanowią zadane kryteria oceny, dla każdego atrybutu (x1) pakietu wyznaczana jest lista zbiorcza (21), uzyskana poprzez agregację list uporządkowanych i zapisywana jest w pamięci detektora (22), dla każdego atrybutu (x1) pakietu umieszczonego na listach zbiorczych (21) tworzony jest term bazowy (23) i zapisywany jest w pamięci (10), dla każdego termu bazowego (23) zapisanego w pamięci (10) zwiększany jest licznik aktywności (24), sprawdzana jest wartość licznika aktywności (24) w pamięci (10), jeśli przynajmniej jeden licznik przekracza zadaną wartość aktywności (25) tworzona jest definicja (8) filtra sieciowego, która odpowiada termowi bazowemu (23), którego licznik przekroczył wartość aktywności (25).determination of at least one ordered list (20) corresponding to the selected attribute (x1) of packets in the set of packet samples available in the sample buffer (6) ranked in descending order due to the selected flow parameters, which constitute the given evaluation criteria, for each attribute (x1) The collective list (21) is determined by aggregating the ordered lists and is stored in the detector memory (22), for each attribute (x1) of the packet placed on the collective lists (21), the base term (23) is created and stored in the memory (10), for each base term (23) stored in the memory (10), the activity counter (24) is incremented, the value of the activity counter (24) in the memory (10) is checked, if at least one counter exceeds the preset activity value (25) a definition (8) of the network filter is created that corresponds to the base term (23) whose counter has exceeded the activity value (25). 7. Sposób według któregokolwiek z zastrz. 1-6, znamienny tym, że detektor Do jest uruchamiany cyklicznie w zadanych okresach próbkowania (o1).7. The method according to any one of claims 1 to 7 The method of 1-6, characterized in that the detector Do is cyclically triggered at predetermined sampling periods (o1). 8. Sposób według któregokolwiek z zastrz. 1-7, znamienny tym, że zadane kryteria oceny, to liczba bajtów, liczba pakietów, liczba bitów na sekundę (bps), liczba pakietów na sekundę (pps), liczba przepływów logicznych (ang. flows) lub średnia liczba bajtów w pakiecie (bpp) zarejestrowanych w zadanym okresie próbkowania (o1).8. A method according to any one of claims 1 to 8 1-7, characterized in that the given evaluation criteria are the number of bytes, the number of packets, the number of bits per second (bps), the number of packets per second (pps), the number of logical flows (flows) or the average number of bytes in the packet ( bpp) recorded in a given sampling period (o1). 9. Sposób według któregokolwiek z zastrz. 1-3, znamienny tym, że9. A method according to any one of claims 1 to 9 1-3, characterized in that PL 241 005 B1 w etapach c), d), e), f) za pomocą układu obserwatora (11) albo układu automatycznej regulacji przepływów (13) tworzone są szeregi czasowe (26) odpowiadające wyizolowanym przepływom pakietów (9) przez definicje (8) filtrów sieciowych zapisanych w pamięci (10) opisujące zachodzące w czasie zmiany atrybutów (x1) pakietów, przy czym każdy szereg czasowy (26) zawiera informację o zmianach dowolnego dostępnego atrybutu (x1) próbek pakietów (a1) zapisanych w buforze pakietów (6) w zadanym okresie próbkowania (o1) i są zapisywane w pamięci (10) oraz są wykorzystywane do wyznaczania cech przepływów (14) oraz w etapach c), d), e) i f).In steps c), d), e), f) the observer circuit (11) or the automatic flow control circuit (13) creates time series (26) corresponding to the isolated packet flows (9) through the definitions (8). ) network filters stored in memory (10) describing the changes of packet attributes (x1) occurring over time, each time series (26) containing information about changes to any available attribute (x1) of packet samples (a1) stored in the packet buffer (6) in a predetermined sampling period (o1) i are stored in the memory (10) and are used to determine the characteristics of the flows (14) and in steps c), d), e) and f). 10. Sposób według któregokolwiek z zastrz. 1-9, znamienny tym, że po etapie b) następuje etap b1), w którym wyizolowany przez detektor Do (7) przepływ pakietów (9) dzielony jest, za pomocą detektora pierwszego rzędu Di (28), na podprzepływy pakietów (29) tak, że: dla każdego wyizolowanego przepływu pakietów (9) pobierane są odpowiadające mu szeregi czasowe (26) z pamięci (10), wybierane są szeregi czasowe odseparowane ze względu na zadaną cechę oraz wyznaczana jest kombinacja odseparowanych szeregów czasowych odpowiadających przepływom pakietów (9) wyizolowanym w detektorze Do (7), na podstawie kombinacji odseparowanych szeregów czasowych wyznaczane są termy złożone (32) z termów bazowych (23) i wyszukiwane są odpowiadające im podprzepływy pakietów (29) w próbkach pakietów (a1) zapisanych w buforze próbek (6);A method according to any one of claims 1 to 10 A process according to any of the claims 1-9, characterized in that step b) is followed by step b1), in which the packet flow (9) isolated by the detector Do (7) is divided by a first-order detector Di (28) into sub-packet flows (29) so that: for each isolated packet flow (9), the corresponding time series (26) are downloaded from the memory (10), the time series separated due to the given feature are selected and the combination of separate time series corresponding to the packet flows (9) is determined isolated in the Do detector (7), on the basis of the combination of separated time series, the terms composed (32) of the base terms (23) are determined and the corresponding sub-flows of packets (29) are searched for in the packet samples (a1) stored in the sample buffer (6) ; jeśli podprzepływ pakietów (29) opisany termem złożonym (32) istnieje w zapisanych w buforze próbek (6) próbkach pakietów (a1), tworzona jest nowa definicja (8) filtra sieciowego, która izoluje zidentyfikowany przepływ pakietów (9), i jest zapisywana w pamięci (10).if a packet subflow (29) described by a complex term (32) exists in packet samples (a1) stored in the sample buffer (6), a new network filter definition (8) is created, which isolates the identified packet flow (9), and is stored in memory (10). 11. Sposób według któregokolwiek z zastrz. 1-10, znamienny tym, że wybór przynajmniej dwóch szeregów czasowych (26) odseparowanych między sobą następuje ze względu na maksymalną niezależność liniową (ortogonalną) lub ze względu na minimalne skorelowanie (niezależność stochastyczna) w przestrzeni sygnałów analizowanych przynajmniej dwóch szeregów czasowych (26) w dziedzinie czasu lub częstotliwości.11. The method according to any one of claims 1 to 11 1-10, characterized in that the selection of at least two separated time series (26) takes place due to the maximum linear (orthogonal) independence or due to the minimum correlation (stochastic independence) in the signal space of the analyzed at least two time series (26) in the time or frequency domain. 12. Sposób według któregokolwiek z zastrz. 1-11, znamienny tym, że po etapie b1) następuje etap b2), w którym wyizolowane przepływy pakietów (9) dzielone są, za pomocą detektora wyższego rzędu Di (30), na podstawie kombinacji definicji (8) filtrów sieciowych niższego rzędu tworząc nowe definicje (8) filtrów sieciowych wyższego rzędu, które izolują dalsze podprzepływy pakietów (29):12. The method according to any one of claims 1 to 12 1-11, characterized in that step b1) is followed by step b2), in which the isolated packet flows (9) are divided by a higher order detector Di (30) on the basis of a combination of lower order network filter definitions (8) forming new definitions (8) of higher order network filters that isolate further subflows of packets (29): dla każdego wyizolowanego przepływu pakietów (9) pobierane są odpowiadające mu szeregi czasowe (26) z pamięci (10), wybierane są szeregi czasowe (26) skorelowane lub podobne według innego zadanego kryterium, budowany jest nowy term złożony (32) z iloczynu termów budujących definicje (8) filtrów sieciowych izolujących przepływy pakietów (9), którym odpowiadają wykryte skorelowane szeregi czasowe lub podobne szeregi czasowe, a następnie wyszukiwane są odpowiadające nowemu termowi złożonemu (32) przepływy pakietów w próbkach pakietów (a1) zapisanych w buforze próbek (6), jeśli podprzepływ (29) opisany termem złożonym (32) istnieje w zgromadzonych próbkach pakietów (a1), tworzona jest definicja (8) filtra sieciowego, która izoluje zidentyfikowany przepływ pakietów (9), i jest zapisywana w pamięci (10).for each isolated packet flow (9), the corresponding time series (26) are retrieved from the memory (10), time series (26) correlated or similar are selected according to another given criterion, a new complex term (32) is built from the product of building terms definitions (8) of network filters that isolate packet flows (9) to which the detected correlated time series or similar time series correspond, and then search for the corresponding new complex term (32) packet flows in packet samples (a1) stored in the sample buffer (6) if a complex term subflow (29) exists in the collected packet samples (a1), a network filter definition (8) is created, which isolates the identified packet flow (9), and stored in memory (10). 13. Sposób według któregokolwiek z zastrz. 1-12, znamienny tym, że co najmniej dwa szeregi czasowe (26) są kwalifikowane jako podobne ze względu na ich korelację ze sobą lub ze względu na ich podobieństwo w kształcie przebiegu.13. A method according to any one of claims 1 to 13 The method according to any of the claims 1-12, characterized in that at least two time series (26) are qualified as similar because of their correlation with each other or because of their similarity in the shape of the waveform. 14. Sposób według dowolnego z zastrz. 4-13, znamienny tym, że w etapie g) odpowiednie tłumienie wyizolowanego przez filtr sieciowy (19) przepływu pakietów danych sieciowych (3) przy pomocy środków dyscyplinowania pakietów (17) obejmuje odrzucenie pakietu.14. A method according to any one of claims 1 to 14 4-13, characterized in that in step g), suitably suppressing the network data packet flow (3) isolated by the network filter (19) by packet discipline (17) comprises discarding the packet. 15. Sposób według dowolnego z zastrz. 4-14, znamienny tym, że w etapie g) odpowiednie tłumienie wyizolowanego przez filtr sieciowy (19) przepływu pakietów danych sieciowych (3) przy pomocy środków dyscyplinowania pakietów (17) obejmuje buforowanie pakietu.15. A method according to any one of claims 1 to 15 4-14, characterized in that in step g), corresponding suppression of the network data packet flow (3) isolated by the network filter (19) by packet discipline (17) includes packet buffering. 16. Sposób według dowolnego z zastrz. 1-11, znamienny tym, że poszczególne etapy sposobu są wykonywane na różnych urządzeniach sieciowych lub przy pomocy co najmniej jednego komputera podłączonego do sieci za pomocą odpowiedniego interfejsu sieciowego.16. A method according to any one of claims 1 to 16 Method according to any of the claims 1-11, characterized in that the individual method steps are performed on different network devices or with at least one computer connected to the network via a suitable network interface. PL 241 005 B1PL 241 005 B1 17. Sposób, znamienny tym, że stan przepływu (s1) jest ściśle określony wartościami zapisanych w pamięci (10) definicji (8) filtrów sieciowych oraz na podstawie aktualnych sygnałów sterujących (16), wartościami sygnałów alarmowych (15) lub ich brakiem, wartościami progo wymi (12) oraz prognozowanymi cechami przepływów (14) i jest kontrolowany za pomocą układu obserwatora (11), począwszy od stanu wyizolowania (sw) przepływu przy pomocy odpowiedniego detektora, poprzez stan obserwacji (so) przepływu za pomocą układu obserwatora (11), do stanu kontroli (sk) przepływu, obsługiwanego za pomocą układu automatycznej regulacji przepływów (13), albo do stanu wygaśnięcia (se) przepływu, w układzie obserwatora przepływu (11), każdemu z wymienionych stanów przepływu (s1) odpowiada konkretna wartość reguł filtracji (18) zaimplementowana na urządzeniu sieciowym przy pomocy filtrów sieciowych (19) i odpowiednich środków dyscyplinowania pakietów (17).17. The method, characterized in that the state of the flow (s1) is strictly determined by the values of network filter definitions (8) stored in the memory (10) and on the basis of the current control signals (16), the values of alarm signals (15) or their absence, values threshold (12) and predicted flow characteristics (14) and is controlled by the observer system (11), starting from the isolation state (sw) of the flow by means of an appropriate detector, through the observation state (s) of the flow by means of the observer system (11) , to the flow control (sk) state, operated by the automatic flow control system (13), or to the flow expiration (se) state, in the flow observer system (11), each of the mentioned flow states (s1) corresponds to a specific value of the filtration rules (18) implemented on the network device by means of network filters (19) and appropriate packet discipline (17). 18. Układ adaptacyjnego tworzenia reguł filtracji ruchu sieciowego dla co najmniej jednego urządzenia sieciowego samoistnie wykrywający anomalie i automatycznie tłumiący ataki wolumetryczne (DDoS), zawierający pamięć, procesor lub kontroler oraz przynajmniej jeden interfejs sieciowy, znamienny tym, że zawiera układ próbkowania ruchu sieciowego wejściowego interfejsu (1) sieciowego i wyjściowego interfejsu (2) sieciowego realizujący funkcję odczytywania i gromadzenia próbek pakietów (a1) rzeczywistego przepływu sieciowego (3) i zapisywania ich w przeznaczonym do tego buforze próbek (6) połączonym z układem detektora (Do) (7) izolującym przepływy pakietów (9) poprzez odczytywanie zapisanych w buforze próbek (6) próbek pakietów (a1) i generujący definicje (8) filtrów sieciowych oraz zapisujący je w pamięci (10), przy czym pamięć (10) połączona jest z układem obserwatora (11), który odczytuje z pamięci (10) informacje o definicjach (8) filtrów sieciowych oraz o odpowiadających im próbkach pakietów (a1) zapisanych w buforze próbek (6) a następnie wyznacza wartości progowe (12) i zapisuje je w pamięci (10), określa czy zostały przekroczone wyznaczone wartości progowe (12) porównując parametry wyizolowanego przepływu pakietów (9) z wcześniejszymi wartościami progowymi (121) zapisanymi w pamięci (10) i jeśli zostały przekroczone wcześniejsze wartości progowe (121) generowane są sygnały alarmowe (15) zapisywane w pamięci (10), ponadto układ obserwatora (11) prognozuje cechy przepływów (14) w zadanym horyzoncie prognozy i zapisuje je w pamięci (10), jednocześnie pamięć (10) połączona jest z układem automatycznej regulacji przepływów (13) regulującym i kształtującym dynamikę rzeczywistych przepływów sieciowych (3), które odpowiadają wyizolowanym przepływom pakietów (9), które nie spełniają zadanych wartości progowych (12), sterując środkami dyscyplinowania pakietów (17) i filtrów sieciowych (19), jednocześnie układ automatycznej regulacji przepływów (13) połączony jest z przynajmniej jednym innym urządzeniem sieciowym (27), na które przesyła utworzone, na podstawie odczytanych z pamięci (10) definicji (8) filtrów sieciowych i sygnałów sterujących (16) środkami dyscyplinowania pakietów, reguły filtracji (18), przy czym definicje (8) filtrów sieciowych i sygnały sterujące (16) dyscyplinowaniem pakietów tłumaczone są na reguły filtracji (18) pakietów i przesyła je do środków dyscyplinowania pakietów (17) oraz filtrów sieciowych (19) izolując w ten sposób przepływy pakietów ruchu sieciowego (3) oraz kształtując ich dynamikę w chronionym obszarze sieci.18. Adaptive network traffic filtering rule making system for at least one network device self-detecting anomalies and automatically suppressing volumetric attacks (DDoS), comprising memory, processor or controller and at least one network interface, characterized in that it comprises a network traffic sampling device of the input interface (1) network and output interface (2) of the network performing the function of reading and collecting packet samples (a1) of the actual network flow (3) and writing them to a dedicated sample buffer (6) connected to the isolating detector (Do) (7) packet flows (9) by reading packet samples (a1) stored in the buffer (6) and generating network filter definitions (8) and storing them in the memory (10), the memory (10) being connected to the observer circuit (11) which reads from memory (10) information about network filter definitions (8) and the corresponding samples packets (a1) stored in the sample buffer (6) and then determines the threshold values (12) and stores them in the memory (10), determines whether the determined threshold values (12) have been exceeded by comparing the parameters of the isolated packet flow (9) with the previous threshold values (121) stored in the memory (10) and if the previous threshold values (121) have been exceeded, alarm signals (15) stored in the memory (10) are generated, moreover, the observer circuit (11) forecasts the characteristics of the flows (14) in the predetermined forecast horizon and stores them in the memory (10), at the same time the memory (10) is connected with the automatic flow control system (13) regulating and shaping the dynamics of real network flows (3), which correspond to isolated packet flows (9) that do not meet the set threshold values ( 12), controlling the means of disciplining packets (17) and network filters (19), at the same time the automatic flow control system (13) is connected to the to at least one other network device (27), to which it transmits the filtering rules (18), created on the basis of the definitions (8) of the network filters and the control signals (16) of the packet disciplining means (16) read from the memory (10), network filters and packet discipline control signals (16) are translated into packet filtration rules (18) and sent to packet discipline means (17) and network filters (19), thus isolating network traffic packet flows (3) and shaping their dynamics in a protected area of the network. 19. Układ według zastrz. 18, znamienny tym, że układ automatycznej regulacji przepływów (13) odczytuje z pamięci (10) sygnały alarmowe (15), (prognozowane i obserwowane) cechy przepływów (14), definicje (8) filtrów sieciowych, aktualne sygnały sterujące (16) środkami dyscyplinowania pakietów oraz pobiera wartości progowe (12), przy czym układ automatycznej regulacji przepływów (13) jest połączony również z buforem próbek (6), z którego odczytuje próbki pakietów (a1) z interfejsu wejściowego (1) i interfejsu wyjściowego (2) i adaptacyjnie reguluje wyznaczając nowe sygnały sterujące (16) środkami dyscyplinowania pakietów dla odpowiednich wyizolowanych przepływów pakietów (9) i zapisuje je w pamięci (10).19. The system according to p. 18, characterized in that the automatic flow control system (13) reads from the memory (10) alarm signals (15), (predicted and observed) flow characteristics (14), network filter definitions (8), current control signals (16), disciplining packets and retrieving threshold values (12), the automatic flow control (13) is also connected to the sample buffer (6), from which it reads packet samples (a1) from the input interface (1) and the output interface (2) and adaptively adjusts by determining new packet discipline means (16) control signals for the respective isolated packet flows (9) and stores them in memory (10). 20. Układ według któregokolwiek z zastrz. 18-19, znamienny tym, że pomiędzy buforem próbek (6) i układem obserwatora przepływów (11), znajduje się połączony równolegle z detektorem Do (7) układ detektora pierwszego rzędu Di (28), który jest połączony z pamięcią (10).20. A system according to any one of the preceding claims. A first order detector system Di (28) connected in parallel with the detector Do (7), which is connected to the memory (10), is provided between the sample buffer (6) and the flow observer system (11). PL 241 005 B1PL 241 005 B1 21. Układ według któregokolwiek z zastrz. 18-20, znamienny tym, że pomiędzy buforem próbek (6) i układem obserwatora przepływów (11), znajduje się połączony równolegle z detektorem Do (7) układ detektora wyższego rzędu Di (30), który jest połączony z pamięcią (10).21. A system according to any one of the preceding claims A system according to 18-20, characterized in that between the sample buffer (6) and the flow observer system (11) there is a higher order detector system Di (30) connected in parallel with the detector Do (7), which is connected to the memory (10). 22. Układ według któregokolwiek z zastrz. 18-21, znamienny tym, że pomiędzy buforem próbek (6) i układem obserwatora przepływów (11), znajduje się połączony szeregowo za detektorem Do (7) układ detektora pierwszego rzędu Di (28), który jest połączony z pamięcią (10).22. System according to any one of claims A first order detector system Di (28) connected in series downstream of detector Do (7), which is connected to the memory (10), is provided between the sample buffer (6) and the flow observer system (11). 23. Układ według któregokolwiek z zastrz. 18-22, znamienny tym, że pomiędzy buforem próbek (6) i układem obserwatora przepływów (11), znajduje się połączony szeregowo z detektorem pierwszego rzędu Di (28) układ detektora wyższego rzędu Di (30), który jest połączony z pamięcią (10).23. A system according to any one of claims 1 to 23. 18-22, characterized in that between the sample buffer (6) and the flow observer system (11) there is a higher order detector system Di (28) connected in series with the first order detector Di (28), which is connected to the memory (10 ). 24. Układ według któregokolwiek zastrz. 18-23, znamienny tym, że układ obserwatora (11) na podstawie definicji (8) filtrów sieciowych, sygnałów alarmowych (15) i wyznaczonych wartości progowych (12) uruchamia detektor pierwszego rzędu D1 (28) lub wyższego rzędu Di (30), które izolują nowe podprzepływy (29) i zapisują w pamięci (10) nowe definicje (8) filtrów sieciowych .24. A system as claimed in any one of claims 1 to 24. 18-23, characterized in that the observer system (11), based on the definition (8) of the mains filters, alarm signals (15) and the determined threshold values (12), activates a first-order detector D1 (28) or a higher order Di (30), which isolate new subflows (29) and store in memory (10) new line filter definitions (8). 25. Układ według któregokolwiek zastrz. 18-24, znamienny tym, że układ obserwatora (11) na podstawie definicji (8) filtrów sieciowych, sygnałów alarmowych (15) i wyznaczonych wartości progowych (12) jest skonfigurowany do uruchamiania układu automatycznej regulacji przepływów (13), który realizuje funkcję regulacji i kształtowania dynamiki wskazanego przez układ obserwatora (11) wyizolowanego przepływu pakietów (9).25. The system according to any of claims 1 to 25 18-24, characterized in that the observer circuit (11) based on the definition (8) of the line filters, the alarm signals (15) and the determined threshold values (12) is configured to activate the automatic flow control circuit (13) that performs the control function and shaping the dynamics of the isolated packet flow (9) indicated by the observer system (11). 26. Układ według zastrz. 12, znamienny tym, że układ automatycznej regulacji przepływów (13) jest skonfigurowany do komunikowania się z innymi urządzeniami sieciowymi (27).The system of claim 26 The method of claim 12, characterized in that the automatic flow control circuit (13) is configured to communicate with other network devices (27). 27. Układ według zastrz. 12, znamienny tym, że poszczególne elementy układu mogą być zrealizowane jako układy scalone specjalnego przeznaczenia (ASIC) lub jako moduły jednego układu scalonego lub jako układy programowalne bramek logicznych (FPGA) lub jako komputer, składający się co najmniej z procesora, pamięci, pamięci masowej i odpowiedniego interfejsu sieciowego połączony z przynajmniej jednym urządzeniem sieciowym.The system of claim 27 12. A method according to claim 12, characterized in that the individual elements of the circuit can be implemented as special purpose integrated circuits (ASICs) or as modules of one integrated circuit or as programmable logic gates (FPGAs) or as a computer consisting of at least a processor, memory, mass memory. and a suitable network interface connected to at least one network device. 28. Produkt programu komputerowego ze środkami kodowania programu, które są zapisane na odczytywalnym przez komputer nośniku danych, do realizacji sposobu według jednego z zastrzeżeń od 1 do 12, gdy produkt programu komputerowego jest wykonywany na komputerze lub urządzeniu sieciowym.28. A computer program product with program coding means stored on a computer-readable storage medium for performing the method of any one of claims 1 to 12 when the computer program product is executed on a computer or network device.
PL431825A 2019-11-15 2019-11-15 Method and system of adaptive creation of network traffic filtering rules on a network device, detecting anomalies and automatically fighting DDoS attacks PL241005B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PL431825A PL241005B1 (en) 2019-11-15 2019-11-15 Method and system of adaptive creation of network traffic filtering rules on a network device, detecting anomalies and automatically fighting DDoS attacks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PL431825A PL241005B1 (en) 2019-11-15 2019-11-15 Method and system of adaptive creation of network traffic filtering rules on a network device, detecting anomalies and automatically fighting DDoS attacks

Publications (2)

Publication Number Publication Date
PL431825A1 PL431825A1 (en) 2021-05-17
PL241005B1 true PL241005B1 (en) 2022-07-11

Family

ID=75882854

Family Applications (1)

Application Number Title Priority Date Filing Date
PL431825A PL241005B1 (en) 2019-11-15 2019-11-15 Method and system of adaptive creation of network traffic filtering rules on a network device, detecting anomalies and automatically fighting DDoS attacks

Country Status (1)

Country Link
PL (1) PL241005B1 (en)

Also Published As

Publication number Publication date
PL431825A1 (en) 2021-05-17

Similar Documents

Publication Publication Date Title
EP3223487B1 (en) Network-based approach for training supervised learning classifiers
US10389741B2 (en) Edge-based detection of new and unexpected flows
US10659333B2 (en) Detection and analysis of seasonal network patterns for anomaly detection
US11140187B2 (en) Learning internal ranges from network traffic data to augment anomaly detection systems
US10009364B2 (en) Gathering flow characteristics for anomaly detection systems in presence of asymmetrical routing
US10063578B2 (en) Network-centric visualization of normal and anomalous traffic patterns
US10498752B2 (en) Adaptive capture of packet traces based on user feedback learning
US10764310B2 (en) Distributed feedback loops from threat intelligence feeds to distributed machine learning systems
US10581901B2 (en) Increased granularity and anomaly correlation using multi-layer distributed analytics in the network
EP3223457A1 (en) Hierarchical models using self organizing learning topologies
US20220407841A1 (en) A Method And Unit For Adaptive Creation Of Network Traffic Filtering Rules On A Network Device That Autonomously Detects Anomalies And Automatically Mitigates Volumetric (DDOS) Attacks
US20170279685A1 (en) Adjusting anomaly detection operations based on network resources
US10389606B2 (en) Merging of scored records into consistent aggregated anomaly messages
US10218727B2 (en) Sanity check of potential learned anomalies
US10701092B2 (en) Estimating feature confidence for online anomaly detection
EP3223458A1 (en) Mechanisms to prevent anomaly detectors from learning anomalous patterns
US20180241762A1 (en) Anomaly selection using distance metric-based diversity and relevance
EP3248358A1 (en) Packet capture for anomalous traffic flows
CN110266556A (en) The method and system of service exception in dynamic detection network
US10318887B2 (en) Dynamic application degrouping to optimize machine learning model accuracy
Kim et al. Deep reinforcement learning-based traffic sampling for multiple traffic analyzers on software-defined networks
PL241005B1 (en) Method and system of adaptive creation of network traffic filtering rules on a network device, detecting anomalies and automatically fighting DDoS attacks
Erokhin et al. Critical information infrastructures monitoring based on software-defined networks
Bolodurina et al. Development of Prototype of Autonomous Self-organizing System for Ensuring Network Security in Enterprise based on Technology of Virtualization Network Functions
Bolodurina et al. Development and research of the autonomous system for providing security and quality of service for multi-cloud platform