RU2702274C1 - Способ генерации универсального входного сигнала для нейросетевых детекторов компьютерных вторжений в межмашинных сетях - Google Patents

Способ генерации универсального входного сигнала для нейросетевых детекторов компьютерных вторжений в межмашинных сетях Download PDF

Info

Publication number
RU2702274C1
RU2702274C1 RU2018147445A RU2018147445A RU2702274C1 RU 2702274 C1 RU2702274 C1 RU 2702274C1 RU 2018147445 A RU2018147445 A RU 2018147445A RU 2018147445 A RU2018147445 A RU 2018147445A RU 2702274 C1 RU2702274 C1 RU 2702274C1
Authority
RU
Russia
Prior art keywords
graph
network
code
universal
intrusions
Prior art date
Application number
RU2018147445A
Other languages
English (en)
Inventor
Петр Дмитриевич Зегжда
Роман Алексеевич Демидов
Максим Олегович Калинин
Original Assignee
федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" (ФГАОУ ВО "СПбПУ")
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" (ФГАОУ ВО "СПбПУ") filed Critical федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" (ФГАОУ ВО "СПбПУ")
Priority to RU2018147445A priority Critical patent/RU2702274C1/ru
Application granted granted Critical
Publication of RU2702274C1 publication Critical patent/RU2702274C1/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Biophysics (AREA)
  • Mathematical Physics (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Evolutionary Computation (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Multimedia (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Изобретение относится к области техники связи. Технический результат заключается в повышении точности обнаружения вторжений и повышении защищенности межмашинных сетей. Технический результат достигается за счет генерации универсального входного сигнала для блока обнаружения вторжений, обеспечивающего сокрытие от блока обнаружения вторжений разнородности во входных данных для разных типов компьютерных вторжений программного и сетевого уровня за счет формирования признакового пространства, в котором осуществляется поиск признаков вторжения, в виде универсального матричного сигнала. 7 ил.

Description

Изобретение относится к технике связи и может быть использовано при построении универсальных систем обнаружения компьютерных вторжений в межмашинных сетях.
В межмашинных (machine-to-machine, M2M) сетях беспроводные одноранговые устройства взаимодействуют по принципу «точка-точка», передавая данные от одного узла сети к другому. Такие сети используются в настоящее время для связи транспортных средств и мобильных устройств: в виде сетей VANET (vehicular adhoc networks, одноранговых сетей автотранспорта), FANET (flying adhoc networks, одноранговых сетей летающих средств), MARINET (marine adhoc network, одноранговых сетей плавательных средств), MANET (mobile adhoc networks, одноранговых сетей мобильных терминалов).
Перемещение узлов в межмашинных сетях и, как следствие, постоянное изменение топологии сети и перестройка связей между узлами сети, а также применение данных сетей для связи и управления киберфизических объектов с удаленным цифровым управлением (беспилотный транспорт, Интернет вещей, цифровые сенсорные сети предприятий, цифровые сети устройств коммунального снабжения и управления современных домов и зданий) приводит к активному расширению видов и типов компьютерных вторжений, направленных на нарушение работы сети и ее отдельных узлов.
Для обеспечения бесперебойной работы межмашинных сетей и узлов в условиях действия компьютерных вторжений и для своевременного реагирования на них средствами защиты межмашинной сети необходимо решать задачу обнаружения вторжений.
Известен способ интеллектуального выявления и предотвращения вторжений в киберфизических системах для промышленных систем управления – «Intelligent cyberphysical instrusion detection and prevention systems and methods for industrial control systems» (IN1209CH2014, опубл. 29.05.2015 по классу МПК G08B13/00). Способ включает блок мониторинга параметров работы устройств в сети, выполняющий сбор признаков и свойств поведения устройств, и блок выявления и предотвращения вторжений, коммуникативно связанный с блоком мониторинга. Аномалии в поведении устройства детектируют в блоке выявления вторжений путем сверки сигнатуры («отпечатка») признаков, характерных для проявления вторжения с собранными данными, полученными от блока мониторинга. Способ применяют для промышленных систем управления, объединенных коммуникационной сетью. Недостатком данного способа является то, что он направлен на выявление отклонений в функционировании систем управления промышленным оборудованием, и неприменим для других киберсред – сетей IoT, VANET, MANET, FANET, MARINET, также неприменим для выявления вторжений, осуществляемых через сетевые протоколы (компьютерные сетевые атаки на цифровые устройства) и для выявления программных нарушений безопасной работы устройств, которые не имеют заданной сигнатуры.
Наиболее близким налогом является способ и устройство обнаружения вторжений для сетей MANET на базе глубокого обучения – «Mobile ad hoc network intrusion detection method and device based on deep learning» (CN104935600, опубл. 23.09.2015 по классам МПК H04L29/06; H04W12/12, заявитель NO 54 INST CN ELEC SCI & TECH CN). Указанное изобретение раскрывает способ, согласно которому выполняют сбор данных, затем по собранным данным о сетевых параметрах выполняют обнаружение вторжений в блоке-детекторе вторжений по признакам вторжений с применением искусственной нейронной сети глубокого обучения. В детекторе компьютерных вторжений в указанной системе используют искусственную нейронную сеть для обработки векторов признаков вторжений и обучения нейросети. При подаче на вход детектора вторжений собранного набора данных о сетевых параметрах вторжения могут быть распознаны снова обученной нейросетью. Недостаток такого способа и системы, построенной на его основе, заключается в том, что для выявления вторжения используют детектор на базе глубокой искусственную нейросети, обученной определять один тип сетевых вторжений, для которого нейросеть обучена на известных признаках вторжений. Вторжения разных типов и вторжения типов, отличных от сетевых (вторжения в результате эксплуатации программных уязвимостей в коде устройств сети, отказы устройств сети передач данных, вызванные целенаправленными нарушениями в работе динамической маршрутизации на одноранговых узлах межмашинной сети) данным способом и нейросетевым детектором выявить нельзя. Соответственно, указанное изобретение имеет ограниченную применимость по типам вторжений. Кроме того, способ и система предложены для мобильных сетей типа MANET, для сетей VANET и прочих разновидностей межмашинных сетей, которые имеют другие сетевые характеристики, способ не может быть использован.
Технической проблемой является детектирование компьютерных вторжений разного типа и разной природы в межмашинной сети одним детектором компьютерных вторжений.
Решение указанной технический проблемы достигается тем, что в отличие от известного технического решения, выбранного за прототип, включающий сбор данных о параметрах устройств и обнаружение вторжений по признакам вторжений с применением искусственной нейронной сети, вводят дополнительный блок генерации универсального входного сигнала для блока обнаружения вторжений, при этом
в блоке генерации универсального входного сигнала принимают на вход для программного уровня вторжения исполняемый файл программы управления, который выполняется на процессоре узла межмашинной сети, или для сетевого уровня набор временных рядов таблиц маршрутизации каждого узла межмашинной сети;
независимо от типа входных данных формируют универсальный сигнал в виде записи графовой структуры, для чего
в случае, если вход представляет собой исполняемый файл программы управления, то извлекают исполняемую секцию, секции данных, экспорта, констант, таблицу экспорта программы;
по этим данным определяют точку входа в программу;
проверяют права доступа на исполняемую секцию кода;
в случае, когда право на запись не задано, код считают неполиморфным, затем, начиная с точки входа, поиском в глубину формируют ориентированный граф передачи управления кода, в котором вершинами графа являются базовые блоки кода, разделенные инструкциями передачи управления, а веса ребер графа устанавливают одинаковыми и нормализуют на единицу,
в случае, когда программный код является полиморфным, его запускают в программе-отладчике и формируют из полученного от отладчика кода граф передачи управления кода описанным ранее образом, при этом участки кода, которые непосредственно осуществляют модификацию исполняемого кода, в данных далее не присутствуют;
если в блоке генерации универсального входного сигнала принимают на вход для сетевого уровня вторжения набор таблиц маршрутизации, то из каждой таблицы извлекают записи о целевом адресе, шлюзе, интерфейсе, флаге доступности, числе переходов до целевого адреса;
встреченным IP-адресам присваивают последовательные номера (начиная с 0);
для каждого момента времени строят ориентированный граф сети на основе записей в таблицах маршрутизации, в котором вершинами являются интерфейсы сетевых узлов, исходящие ребра соединяют достижимые в данный момент времени вершины графа, а веса ребер у каждой вершины пропорциональны значению числа переходов и нормализованы на единицу;
в обоих случаях из построенного графа генерируют универсальный матричный сигнал управления, записывая в регистр матрицу смежности размером N на N, где N – целое число, показывающее количество вершин графа, и каждая ячейка матрицы указывает соединенные вершины, и матрицу свойств вершин графа размером N на F, где F – целое число свойств каждой вершины графа и свойство каждой вершины задано в ячейках матрицы в стандартной векторной записи;
универсальный матричный сигнал управления, сформированный в регистре из графа, передают в качестве управляющего сигнала на блок обнаружения вторжений, который обнаруживает вторжения по наборам признаков вторжений с применением искусственной нейронной сети.
Поскольку для реализации компьютерного вторжения в межмашинных сетях используют либо программные уязвимости в программном коде, выполняющемся на узле сети, либо эксплуатируют ошибки в сетевых протоколах маршрутизации при передаче сетевых пакетов между узлами сети, то возможно два уровня вторжения: программный и сетевой. В данном способе блок генерации универсального входного сигнала обеспечивает сокрытие от блока обнаружения вторжений разнородности во входных данных для разных типов компьютерных вторжений, независимо от того вторжение программного или сетевого уровня необходимо детектировать. Решение достигается за счет генерации признакового пространства, в котором осуществляется поиск признаков вторжения, в виде универсального матричного сигнала управления. Блок обнаружения вторжений по признакам вторжений с применением искусственной нейронной сети получает матричные сигналы, которые являются едиными для любого компьютерного вторжения независимо от ее разновидности и природы. За счет этого нейросетевые детекторы компьютерных вторжений и построенные на их базе системы обнаружения вторжений могут работать с единым пространством признаков для выявления вторжений, становятся универсальными к типу вторжения, что расширяет их возможности по определению компьютерных вторжений разных типов и природы, повышает точность обнаружения вторжений, не зависит от разновидности межмашинной сети и улучшает защищенность современных межмашинных сетей в целом.
Изобретение поясняется чертежами, где на фиг. 1 представлена блок-схема способа генерации универсального входного сигнала для нейросетевых детекторов компьютерных вторжений в межмашинных сетях, на фиг. 2 представлен пример анализируемого программного кода, на фиг. 3 представлен пример графа управления для программного кода, на фиг. 4 — пример матричного сигнала управления для описанного примера графового представления программного кода, на фиг. 5 — пример таблиц маршрутизации межмашинной сети, на фиг. 6 — пример графа межмашинной сети, на фиг. 7 — пример матричного сигнала для описанного примера графа межмашинной сети.
Блок генерации универсального входного сигнала вводят дополнительно между сбором данных о межмашинной сети и обнаружением вторжений (фиг. 1). Этапы способа генерации универсального входного сигнала закрашены на фиг. 1 и пронумерованы 1, 2, 3 на фиг. 1. Для генерации универсального входного сигнала необходимы собранные данные о сети. Для выявления программных вторжений они поступают в виде исполняемого файла программы управления устройства, которое подключено к межмашинной сети. Для обнаружения сетевых вторжений используют структура сети в виде таблиц маршрутизации с устройств сети (блок 1 на фиг. 1). Для генерации универсального сигнала в блоке генерации универсального входного сигнала выделяют универсальную графовую структуру, независимую от поступивших входных данных (блок 2 на фиг. 1) и генерируют универсальный матричный сигнал, который передают далее на вход блоку обнаружения вторжений, собственно выполняющему обнаружение компьютерного вторжения по признакам вторжения (блок 3 на фиг. 1).
Примером программы управления является исполняемый код прошивки блока управления двигателем в беспилотном автомобиле, который подключен к межмашинной сети транспортных средств (сети VANET). Фрагмент исполняемой секции файла, содержащего код прошивки управления, представляет собой машинный код процессорной архитектуры MIPS, представленный на фиг. 2.
В блоке генерации универсального входного сигнала для исполняемого кода поступившей программы управления выделяет граф управления кода. Вершинам графа (базовым блокам кода) присвоены последовательные номера, начиная с 0, ребра графа нормализованы на 1 и взвешены в зависимости от длины пути (фиг. 3). На основе таких данных в блоке генерации универсального входного сигнала формируют матрицу сигналов, включающую на основе графа управления кода матрицы смежности A и свойств вершин E (пример матриц для графа управления кода приведен на фиг. 4).
Рассмотрим пример для сетевого вторжения. На вход блоку генерации универсального входного сигнала подается временной ряд таблиц маршрутизации всех вершин в графе сети. Каждая таблица маршрутизации задает конфигурацию вершины в текущем графе сети в заданный момент времени (фиг. 5). Таблица маршрутизации в каждый момент временного ряда преобразуется в соответствующий ей ориентированный граф (фиг. 6). По каждому такому графу сети в блоке формируют последовательность, включающую матрицу смежности A и матрицу свойств вершин E, (пример матриц приведен на фиг. 7 для одного момента времени). С учетом изменения топологии межмашинной сети во времени, так как узлы межмашинной сети перемещаются, матриц может быть несколько в соответствии с количеством временных отсчетов, в которые фиксировались состоянии межмашинной сети.
Таким образом, генерируют выходной матричный сигнал, который позволяет при обнаружении вторжений определять вторжения по признакам вторжения независимо от типа и природы вторжения.
Добавление блока генерации универсального входного сигнала позволяет усовершенствовать обнаружение вторжений, перейдя от выявления вторжения одного вида на одном детекторе к выявлению множества вторжений на одном детекторе и к выявлению компьютерных вторжений разной природы.

Claims (12)

  1. Способ генерации универсального входного сигнала для нейросетевых детекторов компьютерных вторжений в межмашинных сетях, включающий сбор данных о параметрах устройств и обнаружение вторжений по признакам вторжений с применением искусственной нейронной сети, в дополнительном блоке генерации универсального входного сигнала принимают на вход для программного уровня вторжения исполняемый файл программы управления, который выполняется на процессоре узла межмашинной сети, или для сетевого уровня набор временных рядов таблиц маршрутизации каждого узла межмашинной сети;
  2. независимо от типа входных данных формируют универсальный сигнал в виде записи графовой структуры, для чего
  3. в случае если вход представляет собой исполняемый файл программы управления, то извлекают исполняемую секцию, секции данных, экспорта, констант, таблицу экспорта программы;
  4. по этим данным определяют точку входа в программу;
  5. проверяют права доступа на исполняемую секцию кода;
  6. в случае, когда право на запись не задано, код считают неполиморфным, затем, начиная с точки входа, поиском в глубину формируют ориентированный граф передачи управления кода, в котором вершинами графа являются базовые блоки кода, разделенные инструкциями передачи управления, а веса ребер графа устанавливают одинаковыми и нормализуют на единицу,
  7. в случае, когда программный код является полиморфным, его запускают в программе-отладчике и формируют из полученного от отладчика кода граф передачи управления кода описанным ранее образом, при этом участки кода, которые непосредственно осуществляют модификацию исполняемого кода, в данных далее не присутствуют;
  8. если в блоке генерации универсального входного сигнала принимают на вход для сетевого уровня вторжения набор таблиц маршрутизации, то из каждой таблицы извлекают записи о целевом адресе, шлюзе, интерфейсе, флаге доступности, числе переходов до целевого адреса;
  9. встреченным IP-адресам присваивают последовательные номера, начиная с 0;
  10. для каждого момента времени строят ориентированный граф сети на основе записей в таблицах маршрутизации, в котором вершинами являются интерфейсы сетевых узлов, исходящие ребра соединяют достижимые в данный момент времени вершины графа, а веса ребер у каждой вершины пропорциональны значению числа переходов и нормализованы на единицу;
  11. в обоих случаях из построенного графа генерируют универсальный матричный сигнал управления, записывая в регистр матрицу смежности размером N на N, где N – целое число, показывающее количество вершин графа и каждая ячейка матрицы указывает соединенные вершины, и матрицу свойств вершин графа размером N на F, где F – целое число свойств каждой вершины графа и свойство каждой вершины задано в ячейках матрицы в стандартной векторной записи;
  12. универсальный матричный сигнал управления, сформированный в регистре из графа, передают в качестве управляющего сигнала на блок обнаружения вторжений, который обнаруживает вторжения по наборам признаков вторжений с применением искусственной нейронной сети.
RU2018147445A 2018-12-28 2018-12-28 Способ генерации универсального входного сигнала для нейросетевых детекторов компьютерных вторжений в межмашинных сетях RU2702274C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2018147445A RU2702274C1 (ru) 2018-12-28 2018-12-28 Способ генерации универсального входного сигнала для нейросетевых детекторов компьютерных вторжений в межмашинных сетях

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2018147445A RU2702274C1 (ru) 2018-12-28 2018-12-28 Способ генерации универсального входного сигнала для нейросетевых детекторов компьютерных вторжений в межмашинных сетях

Publications (1)

Publication Number Publication Date
RU2702274C1 true RU2702274C1 (ru) 2019-10-07

Family

ID=68171002

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2018147445A RU2702274C1 (ru) 2018-12-28 2018-12-28 Способ генерации универсального входного сигнала для нейросетевых детекторов компьютерных вторжений в межмашинных сетях

Country Status (1)

Country Link
RU (1) RU2702274C1 (ru)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004056047A1 (en) * 2002-12-13 2004-07-01 Internap Network Services Corporation Topology aware route control
US20170126475A1 (en) * 2015-10-30 2017-05-04 Telefonaktiebolaget L M Ericsson (Publ) System and method for troubleshooting sdn networks using flow statistics
RU172615U1 (ru) * 2017-03-13 2017-07-14 Ярослав Викторович Тарасов Устройство выявления низкоинтенсивных атак "отказ в обслуживании"
US20170214586A1 (en) * 2014-08-29 2017-07-27 Level 3 Communications, Llc Network service aware routers, and applications thereof

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004056047A1 (en) * 2002-12-13 2004-07-01 Internap Network Services Corporation Topology aware route control
US20170214586A1 (en) * 2014-08-29 2017-07-27 Level 3 Communications, Llc Network service aware routers, and applications thereof
US20170126475A1 (en) * 2015-10-30 2017-05-04 Telefonaktiebolaget L M Ericsson (Publ) System and method for troubleshooting sdn networks using flow statistics
WO2017072614A1 (en) * 2015-10-30 2017-05-04 Telefonaktiebolaget Lm Ericsson (Publ) System and method for troubleshooting sdn networks using flow statistics
RU172615U1 (ru) * 2017-03-13 2017-07-14 Ярослав Викторович Тарасов Устройство выявления низкоинтенсивных атак "отказ в обслуживании"

Similar Documents

Publication Publication Date Title
Singh et al. Machine-learning-assisted security and privacy provisioning for edge computing: A survey
Zaminkar et al. SoS-RPL: securing internet of things against sinkhole attack using RPL protocol-based node rating and ranking mechanism
Zhou et al. A fog computing based approach to DDoS mitigation in IIoT systems
Yan et al. A multi-level DDoS mitigation framework for the industrial Internet of Things
Pacheco et al. Anomaly behavior analysis for IoT sensors
Dorri An EDRI-based approach for detecting and eliminating cooperative black hole nodes in MANET
Gupta et al. Smart defense against distributed Denial of service attack in IoT networks using supervised learning classifiers
US11546295B2 (en) Industrial control system firewall module
Riecker et al. Lightweight energy consumption based intrusion detection system for wireless sensor networks
Shen et al. Security in edge-assisted Internet of Things: challenges and solutions
Chen et al. FCM technique for efficient intrusion detection system for wireless networks in cloud environment
Arifeen et al. A blockchain-based scheme for sybil attack detection in underwater wireless sensor networks
Premkumar et al. Defense countermeasures for DoS attacks in WSNs using deep radial basis networks
Sundararajan et al. Biologically inspired artificial intrusion detection system for detecting wormhole attack in MANET
Altaf et al. A new concatenated Multigraph Neural Network for IoT intrusion detection
Fernando et al. Enhancing Intrusion Detection in IoT Communications Through ML Model Generalization With a New Dataset (IDSAI)
CN108322454B (zh) 一种网络安全检测方法及装置
Kadri et al. Survey and classification of Dos and DDoS attack detection and validation approaches for IoT environments
Patel et al. Study of Denial of Service Attack On AODV Routing Protocol in Mobile Ad-hoc Network
RU2702274C1 (ru) Способ генерации универсального входного сигнала для нейросетевых детекторов компьютерных вторжений в межмашинных сетях
MohanaPriya et al. Restricted Boltzmann machine‐based cognitive protocol for secure routing in software defined wireless networks
Sharathkumar et al. Distributed Clustering based Denial of Service Attack Prevention Mechanism using a Fault Tolerant Self Configured Controller in a Software Defined Network
Liao et al. A Survey of Deep Learning Technologies for Intrusion Detection in Internet of Things
Sultan et al. An Intrusion Detection Mechanism for MANETs Based on Deep Learning Artificial Neural Networks (ANNs)
RU2531878C1 (ru) Способ обнаружения компьютерных атак в информационно-телекоммуникационной сети

Legal Events

Date Code Title Description
QB4A Licence on use of patent

Free format text: LICENCE FORMERLY AGREED ON 20201229

Effective date: 20201229