RU172615U1 - Устройство выявления низкоинтенсивных атак "отказ в обслуживании" - Google Patents

Устройство выявления низкоинтенсивных атак "отказ в обслуживании" Download PDF

Info

Publication number
RU172615U1
RU172615U1 RU2017107881U RU2017107881U RU172615U1 RU 172615 U1 RU172615 U1 RU 172615U1 RU 2017107881 U RU2017107881 U RU 2017107881U RU 2017107881 U RU2017107881 U RU 2017107881U RU 172615 U1 RU172615 U1 RU 172615U1
Authority
RU
Russia
Prior art keywords
network
module
input
output
denial
Prior art date
Application number
RU2017107881U
Other languages
English (en)
Inventor
Ярослав Викторович Тарасов
Original Assignee
Ярослав Викторович Тарасов
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ярослав Викторович Тарасов filed Critical Ярослав Викторович Тарасов
Priority to RU2017107881U priority Critical patent/RU172615U1/ru
Application granted granted Critical
Publication of RU172615U1 publication Critical patent/RU172615U1/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication

Abstract

Полезная модель относится к информационной безопасности, а более конкретно к обнаружению сетевых атак на прикладные сервисы. Полезная модель предназначена для выявления низкоинтенсивных атак «отказ в обслуживании» на веб-сервисы. Технический результат полезной модели заключается в повышении точности обнаружения низкоинтенсивных атак «отказ в обслуживании». Технический результат достигается за счет того, что устройство выявления низкоинтенсивных атак «отказ в обслуживании» состоит из сенсора сетевых пакетов, выход которого соединен со входом модуля формирования векторов для самоорганизующейся карты Кохонена, выход которого соединен со входом модуля кластеризации сетевых пакетов при помощи самоорганизующейся карты Кохонена, выход которого соединен со входом модуля формирования векторов для многослойного персептрона, выход которого соединен со входом модуля классификации сценариев при помощи многослойного персептрона, при этом сенсор сетевых пакетов формирует наборы сетевых пакетов, число которых определено размером окна, модуль кластеризации сетевых пакетов при помощи самоорганизующейся карты Кохонена осуществляет снижение размерности входных данных и определение принадлежности сетевых пакетов к определенному сценарию, модуль формирования векторов для многослойного персептрона осуществляет формирование векторов на основе наборов кластеризованных сетевых пакетов, сохраняющих информацию о порядке поступления для модуля классификации сценариев при помощи многослойного персептрона, который осуществляет выявление атакующих сценариев. 1 ил.

Description

Полезная модель относится к информационной безопасности, а более конкретно к обнаружению сетевых атак на прикладные сервисы. Полезная модель предназначена для выявления низкоинтенсивных атак «отказ в обслуживании» на веб-сервисы.
Из уровня техники известна система выявления целевых атак (RU 2601147 С2, 27.10.2016), в которой получают информацию о ресурсе от источника; обнаруживают подозрительный признак в полученной информации для данного ресурса; собирают дополнительную информацию о ресурсе, в отношении которого был обнаружен подозрительный признак, путем осуществления доступа к данному ресурсу с компьютерных систем, обладающих различными характеристиками; устанавливают соответствие между характеристиками компьютерных систем и информацией, получаемой о ресурсе, в отношении которого был обнаружен подозрительный признак; определяют характеристику компьютерных систем, объединяющую группу компьютерных систем, при осуществлении доступа с каждой из которых к ресурсу, в отношении которого был обнаружен подозрительный признак, был повторно обнаружен подозрительный признак в отношении данного ресурса; выявляют целевую атаку в отношении упомянутой группы компьютерных систем, объединенных характеристикой, определенной ранее.
Недостатком рассмотренного технического решения является невозможность выявления низкоинтенсивных атак «отказ в обслуживании» на веб-сервисы.
Из уровня техники известна система обнаружения вторжений, основанная на пошаговой растущей многоуровневой самоорганизующейся карте Кохонена GHSOM (CN 102789593 В, 26.11.2014), в которой сетевые пакеты подаются на вход модуля обнаружения вторжений; вычисляется побеждающий нейрон t, способный обнаруживать текущий вектор х; использование t для обнаружения х, если х - это покрывающий нейрон и он одного типа с t, в противном случае присваивание х метки неизвестного типа атаки и добавление х в набор данных для обучения; если t удовлетворяет расширяющимся условиям, расширение виртуального нейрона t' с нижней части t и расширение новой самоорганизующийся карты Кохонена (SOM) с t', а также использование набора данных для обучения, соответствующего t, для обучения; поиск зрелого родительского нейрона в новой расширяющейся SOM подсети, и, если зрелый родительский нейрон переходит границы для отбрасывания незрелой подсети, то происходит обучение незрелой нейронной сети, повторно динамически расширенной; принятие решения о наличии вторжения на основании результата работы модуля обнаружения вторжений.
Недостатком рассмотренного технического решения является невысокая точность выявления низкоинтенсивных атак «отказ в обслуживании» на веб-сервисы, вследствие высокого уровня ложных срабатываний и большого числа необнаруженных атак.
Технический результат полезной модели заключается в повышении точности обнаружения низкоинтенсивных атак «отказ в обслуживании».
Технический результат достигается за счет того, что устройство выявления низкоинтенсивных атак «отказ в обслуживании» состоит из сенсора сетевых пакетов, выход которого соединен со входом модуля формирования векторов для самоорганизующейся карты Кохонена, выход которого соединен со входом модуля кластеризации сетевых пакетов при помощи самоорганизующейся карты Кохонена, выход которого соединен со входом модуля формирования векторов для многослойного персептрона, выход которого соединен со входом модуля классификации сценариев при помощи многослойного персептрона, при этом сенсор сетевых пакетов формирует наборы сетевых пакетов, число которых определено размером окна, модуль кластеризации сетевых пакетов при помощи самоорганизующейся карты Кохонена осуществляет снижение размерности входных данных и определение принадлежности сетевых пакетов к определенному сценарию, модуль формирования векторов для многослойного персептрона осуществляет формирование векторов на основе наборов кластеризованных сетевых пакетов, сохраняющих информацию о порядке поступления для модуля классификации сценариев при помощи многослойного персептрона, который осуществляет выявление атакующих сценариев.
Устройство выявления низкоинтенсивных атак «отказ в обслуживании» использует гибридную искусственную нейронную сеть (ИНС), которая на первом этапе при помощи самоорганизующейся карты Кохонена (self-organized map, SOM) кластеризует сетевые пакеты, определяя их принадлежность к определенному сценарию, а на втором этапе при помощи многослойного персептрона (multi-layer perceptron, MLP) классифицирует сценарии, определяя, относятся ли они к нормальным либо к аномальным (атакующим) сценариям.
На фиг. 1 показана структурная схема устройства выявления низкоинтенсивных атак «отказ в обслуживании».
В общем случае низкоинтенсивные атаки «отказ в обслуживании» могут быть направлены на различные веб-сервисы, характеризующиеся разными значениями сетевых портов. При этом сценарий атаки не изменяется и необходимо для каждого отдельного веб-сервиса сформировать отдельный набор пакетов. Эту задачу решает сенсор сетевых пакетов (1), который формирует наборы сетевых пакетов, число которых определено размером окна.
Размер окна может быть, например, установлен в соответствии с формулой:
Figure 00000001
где Sbyte - скорость передачи информации в сети в байтах в секунду,
Pmin - теоретически минимальный размер пакета,
u - коэффициент, показывающий уровень утилизации канала передачи информации.
Модуль формирования векторов для самоорганизующейся карты Кохонена (2) осуществляет формирование векторов на основе наборов пакетов, полученных от сенсора сетевых пакетов (1) и предназначенных модулю кластеризации сетевых пакетов при помощи самоорганизующейся карты Кохонена (3), который в свою очередь осуществляет снижение размерности входных данных и определение принадлежности сетевых пакетов к определенному сценарию путем кластеризации векторов при помощи SOM. Модуль формирования векторов для многослойного персептрона (4) осуществляет формирование векторов на основе наборов кластеризованных сетевых пакетов, сохраняющих информацию о порядке поступления. Сформированные вектора поступают на вход модуля классификации сценариев при помощи многослойного персептрона (5), который осуществляет разделение сценариев на: атака или норма.
Работа устройства выявления низкоинтенсивных атак «отказ в обслуживании» начинается с фазы обучения ИНС, во время которой производится:
1. Из собранных нормальных и атакующих сетевых пакетов формируется обучающая выборка. Размер обучающей выборки ограничивается размером памяти и временем, необходимым для обучения самоорганизующейся карты Кохонена. При разбиении на окна информация о том, содержится ли в окне атакующий сетевой пакет, сохраняется. Окна помечаются как нормальные или атакующие. Атакующими окна признаются при выполнении следующих условий:
а) Обнаружено наличие в окне набора однотипных пакетов, появляющихся с периодичностью, достаточной для поддержания открытых соединений.
б) "Мощность" такого набора достаточна для того, чтобы отнести ее к аномалии.
2. Формирование векторов для самоорганизующейся карты Кохонена (SOM).
Входной вектор для SOM, например, может содержать следующие компоненты:
Figure 00000002
3. Снижение размерности обучающих данных Т'=R(T). SOM обучается на отдельных сетевых пакетах, которым ставятся в соответствие номера кластеров. Выходной вектор SOM (кластеризованные сетевые пакеты) имеет вид <N1, N2, …, Ni>, где i определяется размером окна, а N указывает на то, к какому кластеру SOM принадлежит исследуемый сетевой пакет.
4. Формирование обучающего и тестового множества Т'-> [Т1,Т2]. Выходные данные (кластеризованные сетевые пакеты) модуля кластеризации сетевых пакетов при помощи самоорганизующейся карты Кохонена являются входным вектором модуля формирования векторов для многослойного персептрона. Первый компонент входного вектора модуля формирования векторов для MLP - номер кластера, в который распределился первый пакет, второй компонент - номер кластера, в который распределился второй пакет и т.д. Размерность входного вектора для модуля формирования векторов для MLP зависит от числа выходов SOM (т.е. от размера окна). Входной вектор модуля формирования векторов для MLP преобразуется в выходной вектор модуля формирования векторов для MLP, который имеет размерность 2 и вид <ynа>.
5. Обучение нейросетевого классификатора модуля классификации сценариев при помощи многослойного персептрона. Входные вектора модуля классификации сценариев при помощи многослойного персептрона помечаются как «нормальные» или «атакующие» на основании информации:
- если в текущем окне нет атакующего сценария, вектор помечается как «нормальный»;
- если в текущем окне есть атакующий сценарий, вектор помечается как «атакующий».
Нормальные вектора обучаются на выход <1,0>, атакующие - на <0,1>.
6. Валидация нейросетевого классификатора модуля классификации сценариев при помощи многослойного персептрона на тестовой выборке Т2.
7. Если точность нейросетевого классификатора модуля классификации сценариев при помощи многослойного персептрона согласуется с ожидаемой оценкой - переход к следующему этапу, иначе к этапу 3.
8. Сохранение параметров алгоритмов снижения размерности обучающих данных и нейросетевого классификатора.
После обучения ИНС производится:
1. Для каждого отдельного веб-сервиса получение набора пакетов, число которых определено размером окна.
Окно сдвигается на определенную величину на каждой итерации работы устройства, обеспечивая перекрытие с предыдущим окном. Величина сдвига зависит от аппаратной производительности устройства и подбирается на этапе экспериментального исследования (развертывания системы в реальной защищаемой сети на фазе обучения). Это позволяет точно установить факт начала атаки.
2. Каждый сетевой пакет из окна преобразуется в формат входного вектора для SOM.
3. На вход SOM последовательно подаются вектора из текущего окна, которые распределяются по кластерам. В результате каждый компонент выходного вектора SOM соответствует сетевому пакету. Выходной вектор SOM имеет вид <N1, N2, …, Ni>, где i определяется размером окна, а N указывает на то, к какому кластеру SOM принадлежит исследуемый сетевой пакет.
4. Происходит формирование векторов для модуля классификации сценариев при помощи многослойного персептрона.
5. После этого сформированные вектора подаются на вход модуля классификации сценариев при помощи многослойного персептрона, обученного распознавать атакующие последовательности пакетов, но уже с учетом информации о событии, т.е. принадлежности пакета тому или иному сценарию.
Ответы могут интерпретироваться следующим образом:
- если yn>0.7 и уа<0.3, то набор пакетов нормальный;
- если yn<0.3 и уа>0.7, то набор пакетов атакующий;
- иначе - ИНС не может классифицировать пакет.
На этапе классификации MLP анализирует очередное окно пакетов, классифицируя его как нормальный или атакующий сценарий. Результаты анализа выводятся по каждому окну.

Claims (1)

  1. Устройство выявления низкоинтенсивных атак «отказ в обслуживании», содержащее сенсор сетевых пакетов, выход которого соединен со входом модуля формирования векторов для самоорганизующейся карты Кохонена, выход которого соединен со входом модуля кластеризации сетевых пакетов при помощи самоорганизующейся карты Кохонена, выход которого соединен со входом модуля формирования векторов для многослойного персептрона, выход которого соединен со входом модуля классификации сценариев при помощи многослойного персептрона, при этом сенсор сетевых пакетов формирует наборы сетевых пакетов, число которых определено размером окна, модуль кластеризации сетевых пакетов при помощи самоорганизующейся карты Кохонена осуществляет снижение размерности входных данных и определение принадлежности сетевых пакетов к определенному сценарию, модуль формирования векторов для многослойного персептрона осуществляет формирование векторов на основе наборов кластеризованных сетевых пакетов, сохраняющих информацию о порядке поступления, для модуля классификации сценариев при помощи многослойного персептрона, который осуществляет выявление атакующих сценариев.
RU2017107881U 2017-03-13 2017-03-13 Устройство выявления низкоинтенсивных атак "отказ в обслуживании" RU172615U1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2017107881U RU172615U1 (ru) 2017-03-13 2017-03-13 Устройство выявления низкоинтенсивных атак "отказ в обслуживании"

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2017107881U RU172615U1 (ru) 2017-03-13 2017-03-13 Устройство выявления низкоинтенсивных атак "отказ в обслуживании"

Publications (1)

Publication Number Publication Date
RU172615U1 true RU172615U1 (ru) 2017-07-14

Family

ID=59498759

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2017107881U RU172615U1 (ru) 2017-03-13 2017-03-13 Устройство выявления низкоинтенсивных атак "отказ в обслуживании"

Country Status (1)

Country Link
RU (1) RU172615U1 (ru)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2680742C1 (ru) * 2018-03-13 2019-02-26 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Система определения причин отказа в обслуживании, вызванного эксплуатационными отказами и сбоями и (или) информационно-техническими воздействиями
RU2702274C1 (ru) * 2018-12-28 2019-10-07 федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" (ФГАОУ ВО "СПбПУ") Способ генерации универсального входного сигнала для нейросетевых детекторов компьютерных вторжений в межмашинных сетях
CN115941359A (zh) * 2023-02-06 2023-04-07 中汽研软件测评(天津)有限公司 一种汽车网络安全检测的测试用例生成方法、系统和设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2304302C2 (ru) * 2005-03-18 2007-08-10 Государственное научное учреждение научно-исследовательский институт "СПЕЦВУЗАВТОМАТИКА" Способ обработки сетевых пакетов для обнаружения компьютерных атак
EP2257024A1 (en) * 2008-05-23 2010-12-01 Chengdu Huawei Symantec Technologies Co., Ltd. Method, network apparatus and network system for defending distributed denial of service ddos attack
CN102789593B (zh) * 2012-06-18 2014-11-26 北京大学 基于增量式ghsom神经网络的入侵检测方法
RU2601147C2 (ru) * 2014-08-12 2016-10-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ выявления целевых атак
US9485274B2 (en) * 2012-12-19 2016-11-01 Microsoft Technology Licensing, Llc Traffic segmentation in prevention of DDOS attacks

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2304302C2 (ru) * 2005-03-18 2007-08-10 Государственное научное учреждение научно-исследовательский институт "СПЕЦВУЗАВТОМАТИКА" Способ обработки сетевых пакетов для обнаружения компьютерных атак
EP2257024A1 (en) * 2008-05-23 2010-12-01 Chengdu Huawei Symantec Technologies Co., Ltd. Method, network apparatus and network system for defending distributed denial of service ddos attack
CN102789593B (zh) * 2012-06-18 2014-11-26 北京大学 基于增量式ghsom神经网络的入侵检测方法
US9485274B2 (en) * 2012-12-19 2016-11-01 Microsoft Technology Licensing, Llc Traffic segmentation in prevention of DDOS attacks
RU2601147C2 (ru) * 2014-08-12 2016-10-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ выявления целевых атак

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2680742C1 (ru) * 2018-03-13 2019-02-26 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Система определения причин отказа в обслуживании, вызванного эксплуатационными отказами и сбоями и (или) информационно-техническими воздействиями
RU2702274C1 (ru) * 2018-12-28 2019-10-07 федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" (ФГАОУ ВО "СПбПУ") Способ генерации универсального входного сигнала для нейросетевых детекторов компьютерных вторжений в межмашинных сетях
CN115941359A (zh) * 2023-02-06 2023-04-07 中汽研软件测评(天津)有限公司 一种汽车网络安全检测的测试用例生成方法、系统和设备

Similar Documents

Publication Publication Date Title
Meidan et al. ProfilIoT: A machine learning approach for IoT device identification based on network traffic analysis
RU172615U1 (ru) Устройство выявления низкоинтенсивных атак &#34;отказ в обслуживании&#34;
Alheeti et al. Hybrid intrusion detection in connected self-driving vehicles
KR102067324B1 (ko) 무선 Wi-Fi 망에서 딥러닝을 이용한 위장 공격 특장점 분석 장치 및 방법
CN110493262B (zh) 一种改进分类的网络攻击检测方法及系统
CN111935721A (zh) 一种实现异构网络共存的方法和系统
CN112468487B (zh) 实现模型训练的方法、装置、实现节点检测的方法及装置
Siddiqui et al. Adaptive ensembles of autoencoders for unsupervised IoT network intrusion detection
Feng et al. Evaluation and improvement of activity detection systems with recurrent neural network
Li et al. Channel-based sybil detection in industrial wireless sensor networks: A multi-kernel approach
Ageyev et al. Traffic monitoring and abnormality detection methods analysis
Vengatesan et al. Intrusion detection framework using efficient spectral clustering technique
Khoei et al. Densely connected neural networks for detecting denial of service attacks on smart grid network
CN110598794A (zh) 一种分类对抗的网络攻击检测方法及系统
CN113111731A (zh) 基于测信道信息的深度神经网络黑盒对抗样本生成方法及系统
Rassam et al. One-class principal component classifier for anomaly detection in wireless sensor network
Arya et al. Ensemble Filter-based Feature Selection Model for Cyber Attack Detection in Industrial Internet of Things
Peng et al. An internet of vehicles intrusion detection system based on a convolutional neural network
Cui et al. Authenticating source information of distribution synchrophasors at intra-state locations for cyber-physical resilient power networks
De-La-Hoz-Franco et al. Implementation of an intrusion detection system based on self organizing map
CN101594352A (zh) 基于新颖发现和窗函数的分类融合入侵检测方法
CN116760569A (zh) 一种基于图神经网络模型的物联网入侵检测方法
CN106209868A (zh) 一种大规模网络流量异常侦测方法及系统
CN113794732B (zh) 一种部署仿真网络环境的方法、装置、设备及存储介质
CN111901137A (zh) 一种利用蜜罐告警日志挖掘多步攻击场景的方法

Legal Events

Date Code Title Description
MM9K Utility model has become invalid (non-payment of fees)

Effective date: 20180314