RU2777839C2 - Method for filtering attacking streams aimed at the communication module - Google Patents
Method for filtering attacking streams aimed at the communication module Download PDFInfo
- Publication number
- RU2777839C2 RU2777839C2 RU2020137399A RU2020137399A RU2777839C2 RU 2777839 C2 RU2777839 C2 RU 2777839C2 RU 2020137399 A RU2020137399 A RU 2020137399A RU 2020137399 A RU2020137399 A RU 2020137399A RU 2777839 C2 RU2777839 C2 RU 2777839C2
- Authority
- RU
- Russia
- Prior art keywords
- specified
- aggregate
- characteristic parameters
- vector
- measurement
- Prior art date
Links
- 238000004891 communication Methods 0.000 title claims abstract description 34
- 238000001914 filtration Methods 0.000 title claims abstract description 33
- 238000005259 measurement Methods 0.000 claims abstract description 109
- 238000001514 detection method Methods 0.000 claims description 7
- 230000002159 abnormal effect Effects 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 abstract description 2
- 239000000126 substance Substances 0.000 abstract 1
- 230000000875 corresponding Effects 0.000 description 12
- 238000004458 analytical method Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 238000011156 evaluation Methods 0.000 description 4
- 230000002547 anomalous Effects 0.000 description 3
- 238000000034 method Methods 0.000 description 3
- 235000010384 tocopherol Nutrition 0.000 description 3
- 235000019731 tricalcium phosphate Nutrition 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000010606 normalization Methods 0.000 description 2
- 230000000903 blocking Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
Images
Abstract
Description
Область техники, к которой относится изобретениеThe field of technology to which the invention belongs
Настоящее изобретение, в общем, относится к защите модулей связи от атак типа отказ в обслуживании.The present invention generally relates to protecting communication modules from denial of service attacks.
Более конкретно, настоящее изобретение относится к способу фильтрации атакующих потоков, нацеленных на модуль связи, принимающий множество входящих потоков данных.More specifically, the present invention relates to a method for filtering attack streams targeted at a communication module receiving a plurality of incoming data streams.
Изобретение относится также к устройству для фильтрации таких атакующих потоков.The invention also relates to a device for filtering such attack streams.
Уровень техники State of the art
Атаки типа отказ в обслуживании (denial-of-service attack (DoS attack)) и распределенные атаки типа отказ в обслуживании (distributed denial-of-service attack (DDoS attack)) представляет собой кибернетические атаки, целью которых является сделать недоступными услуги, предоставляемые атакованным сайтом. В контексте этих атак речь не идет о повреждении данных атакованного сайта.Denial-of-service attack (DoS attack) and distributed denial-of-service attack (DDoS attack) are cyber attacks aimed at making services provided by attacked site. In the context of these attacks, we are not talking about damage to the data of the attacked site.
Такие атаки могут быть направлены на любой связанный с сервером модуль связи, и в частности, на модуль связи, связанный с сервером в Интернет.Such attacks can be directed at any communication module associated with the server, and in particular, at the communication module associated with the server on the Internet.
Модуль связи автомобиля обычно связан с частной сетью изготовителя. Однако для усовершенствования конкретных систем содействия водителю или в целях предоставления более широкого выбора предлагаемых услуг мультимедиа предполагается соединить модуль связи автомобиля с сетью Интернет общего пользования. В таком случае этот модуль связи окажется открыт для воздействия разнообразных атак и, в частности, для распределенных атак типа отказ в обслуживании.The vehicle communication module is usually connected to the manufacturer's private network. However, in order to improve specific driver assistance systems or to provide a wider range of multimedia services offered, it is proposed to connect the vehicle's communication module to the public Internet. In such a case, this communication module will be exposed to various attacks and, in particular, to distributed denial of service attacks.
Известен способ машинного обучения, используемый для обнаружении потенциальных атак, нацеленных на модуль связи, т.е. на элемент сетевого оборудования, такой как, например, сервер или маршрутизатор. Этот известный способ был разработан для защиты важных компонентов сетевого оборудования, которые принимают неограниченное число входящих и исходящих соединений. Этот способ нацелен на классификацию входящих Интернет-потоков (или IP-потоков, здесь IP является аббревиатурой слов Интернет-протокол (Internet protocol)) для разбиения их на легитимные потоки и атакующие потоки.Known is a machine learning method used to detect potential attacks targeting a communication module, i.e. to a piece of network equipment such as a server or router. This well-known method was developed to protect critical network equipment components that accept an unlimited number of incoming and outgoing connections. This method aims to classify incoming Internet streams (or IP streams, where IP is an abbreviation of the words Internet Protocol) to split them into legitimate streams and attack streams.
Для такой классификации способ основан на графическом распределении параметров, характеризующих входящие потоки данных по нескольким подпространствам. Подпространство определено как графическая зона, очерченная двумя параметрами, характеризующими входящий поток. Это может быть вопрос графика, показывающего среднее время жизни запроса (остальных IP-пакетов) в функции числа источников входящих потоков данных. For such a classification, the method is based on a graphical distribution of parameters characterizing incoming data streams over several subspaces. The subspace is defined as a graphical area delineated by two parameters characterizing the incoming stream. It might be a question of a graph showing the average lifetime of a request (of other IP packets) as a function of the number of sources of incoming data streams.
В номинальных условиях параметры входного потока собираются графически в кластер вокруг одной рабочей точки, тогда как в случае атаки параметры атакующих потоков имеют отклоняющиеся, аномальные величины и собираются графически вокруг изолированных точек или выпадающих значений.Under nominal conditions, the parameters of the input stream are collected graphically in a cluster around one operating point, while in the case of an attack, the parameters of the attacking streams have deviating, anomalous values and are collected graphically around isolated points or outliers.
Согласно известному способу множество входящих потоков данных агрегируют, в течение некоторого периода времени, группируя по адресам источников. Различные агрегированные потоки затем анализируют и, если обнаружена атака (по присутствию по меньшей мере одной отклоняющейся величины), входящий поток, идентифицированный как недопустимый (нелегитимный), незамедлительно отфильтровывают, благодаря большим вычислительным возможностям участвующих процессоров.According to the known method, a plurality of incoming data streams are aggregated, over a certain period of time, grouped by source addresses. The various aggregate streams are then analyzed and, if an attack is detected (by the presence of at least one outlier), the incoming stream, identified as invalid (illegitimate), is promptly filtered out due to the greater computational power of the processors involved.
Этот способ эффективен в случае сетевого оборудования, соединенного с сетью Интернет общего пользования, (обычно это серверы), поскольку совокупность входящих потоков данных или исходящих потоков данных содержит потоки, приходящие и уходящие по очень большому числу соединений, что позволяет набрать надежную статистику, и поскольку используемые процессоры обладают большой вычислительной мощностью. Поскольку результатом атаки обычно является появление сравнительно небольшого числа входящих потоков данных по сравнению с общим числом входящих потоков данных, различение между кластерами и аномальными величинами оказывается возможным и работает хорошо.This method is effective in the case of network equipment connected to the public Internet (usually servers), because the set of incoming data streams or outgoing data streams contains flows in and out of a very large number of connections, which allows you to collect reliable statistics, and because the processors used have a high processing power. Since the attack usually results in a relatively small number of incoming data streams compared to the total number of incoming data streams, discrimination between clusters and outliers is possible and works well.
В отличие от этого, модуль связи автомобиля годится для приема лишь ограниченного числа входящих соединений (обычно около десяти соединений). В ходе анализа входящих потоков данных легитимные потоки окажутся перекрыты атакующими потоками, «затеряются» среди них, так что атакующие потоки появятся в виде кластера (и, следовательно, в виде номинальных условий) и более не будут казаться аномальными величинами. Поэтому техническое решение, описанное выше, не может быть применено к защите модуля связи автомобиля.In contrast, the vehicle communication module is only suitable for receiving a limited number of incoming connections (typically about ten connections). During the analysis of incoming data streams, legitimate streams will be blocked by attacking streams, "lost" among them, so that attack streams will appear as a cluster (and therefore in the form of nominal conditions) and will no longer appear to be anomalous quantities. Therefore, the technical solution described above cannot be applied to the protection of the vehicle's communication module.
Раскрытие сущности изобретенияDisclosure of the essence of the invention
Настоящее изобретение предлагает способ обнаружения атак, нацеленных на модули связи, и в частности, на модуль связи в автомобиле.The present invention provides a method for detecting attacks targeting communication modules, and in particular a communication module in a vehicle.
Более конкретно, предложен способ фильтрации таких атакующих потоков, как это определено в разделе уровень техники, способ содержит этапы:More specifically, a method is provided for filtering such attack streams as defined in the prior art section, the method comprising the steps of:
- определение множества агрегатов, где каждый агрегат является результатом комбинирования множества входящих потоков данных, принятых в течение заданного периода времени, причем период времени, учитываемый для определения каждого агрегата, отличается от периодов времени, учитываемых для определения других агрегатов, и периоды времени, учитываемые для определения совокупности указанного множества агрегатов, все укладываются в первое обсервационное временное окно,- defining a set of aggregates, where each aggregate is the result of a combination of a plurality of incoming data streams received during a given period of time, and the period of time taken into account for determining each aggregate is different from the periods of time taken into account for determining other aggregates, and the periods of time taken into account for determining the totality of the specified set of aggregates, all fit into the first observational time window,
- определение множества первых векторов измерений, каждый из которых ассоциирован с одним из указанных агрегатов и содержит величины первых характеристических параметров агрегата, с каким ассоциирован этот вектор,- determination of the set of first measurement vectors, each of which is associated with one of the indicated aggregates and contains the values of the first characteristic parameters of the aggregate with which this vector is associated,
- проецирование указанного множества первых векторов измерений по меньшей мере в одно подпространство, определяемое указанными первыми характеристическими параметрами,- projecting said set of first measurement vectors into at least one subspace defined by said first characteristic parameters,
- определение другого агрегата, являющегося результатом комбинирования множества входящих потоков данных, принятых в течение другого периода времени, где этот другой период времени следует за первым обсервационным временным окном,- defining a different aggregate resulting from the combination of a plurality of incoming data streams received during a different time period, where this different time period follows the first observational time window,
- определение другого первого вектора измерений, ассоциированного с указанным другим агрегатом и содержащего величины первых характеристических параметров этого другого агрегата,- determining another first measurement vector associated with said other unit and containing the values of the first characteristic parameters of this other unit,
- проецирование указанного другого первого вектора измерений по меньшей мере в одно подпространство, определяемое первыми характеристическими параметрами,- projecting said other first measurement vector into at least one subspace defined by the first characteristic parameters,
- определение оценки отклонения от нормы в зависимости от результатов проецирования указанного другого первого вектора измерений и проецирования совокупности указанного множества первых векторов измерений,- determining an estimate of the deviation from the norm depending on the results of the projection of the specified other first measurement vector and the projection of the totality of the specified set of first measurement vectors,
затем, если оценка отклонения от нормы попадает в зону сомнений относительно присутствия атакующих потоков:then, if the estimate of the deviation from the norm falls into the zone of doubt about the presence of attacking flows:
- определение множества вторых векторов измерений, каждый из которых ассоциирован с одним из указанных агрегатов и содержит величины других характеристических параметров агрегата, с которым он ассоциирован, эти другие характеристические параметры отличаются от указанных первых характеристических параметров,- defining a set of second measurement vectors, each of which is associated with one of the specified aggregates and contains the values of other characteristic parameters of the aggregate with which it is associated, these other characteristic parameters differ from the specified first characteristic parameters,
- определение другого второго вектора измерений, ассоциированного с другим агрегатом и содержащего величины других характеристических параметров указанного другого агрегата, и- defining another second measurement vector associated with another aggregate and containing values of other characteristic parameters of said other aggregate, and
- обнаружение присутствия или отсутствия атаки посредством анализа другого второго вектора измерений.- detection of the presence or absence of an attack by analyzing another second measurement vector.
Таким образом, согласно настоящему изобретению, обнаружение атакующих потоков осуществляется в нескольких дискретных фазах реализации, что позволяет ограничить вычислительные мощности, требуемые для выполнения этих фаз. Такая реализация может быть, поэтому, осуществлена посредством процессоров и процедур, не обладающих очень большими вычислительными мощностями, такими как процессоры и процедуры, интегрированные в модуль связи автомобиля.Thus, according to the present invention, the detection of attack flows is carried out in several discrete phases of implementation, which allows you to limit the computing power required to perform these phases. Such an implementation can therefore be carried out by processors and procedures that do not have very high computing power, such as processors and procedures integrated into the communication module of the vehicle.
В дополнение к этому, использование второго вектора измерений, определяемого в зависимости от других характеристических параметров, отличных от и независимых от характеристических параметров, используемых обычно, позволяет подтвердить заключение, полученное относительно присутствия или отсутствия атаки, нацеленной на модуль связи автомобиля.In addition, the use of a second measurement vector determined in dependence on other characteristic parameters different from and independent of the characteristic parameters usually used, allows to confirm the conclusion obtained regarding the presence or absence of an attack aimed at the vehicle communication module.
В последующем представлены другие неисчерпывающие и предпочтительные признаки способа фильтрации атакующих потоков согласно настоящему изобретению, которые могут быть реализованы индивидуально или в каких-либо технически возможных сочетаниях:In the following, other non-exhaustive and preferred features of the attack stream filtering method according to the present invention are presented, which can be implemented individually or in any technically possible combinations:
- для определения, находится ли оценка отклонения от нормы в зоне сомнений относительно присутствия или отсутствия атакующих потоков, предусмотрены средства для сравнения оценки отклонения от нормы с первой пороговой величиной и со второй пороговой величиной;- to determine whether the deviation estimate is in the zone of doubt about the presence or absence of attack flows, means are provided for comparing the deviation estimate with the first threshold value and with the second threshold value;
- предусмотрены средства для сравнения оценки отклонения от нормы со второй пороговой величиной, и если оценка отклонения от нормы выше второй пороговой величины, обнаружение присутствия атаки проводят в другом периоде времени;means are provided for comparing the abnormality score with a second threshold, and if the abnormality score is higher than the second threshold, detecting the presence of an attack is carried out in a different time period;
- предусмотрены средства для сравнения оценки отклонения от нормы с первой пороговой величиной, и если оценка отклонения от нормы ниже первой пороговой величины, обнаружение присутствия атаки проводят в другом периоде времени;- means are provided for comparing the abnormality score with a first threshold, and if the abnormality score is below the first threshold, detecting the presence of an attack is carried out in a different time period;
- предусмотрены также средства для следующих этапов:- funds are also provided for the following stages:
- определение второго обсервационного временного окна, это второе обсервационное временное окно соответствует первому обсервационному временному окну, сдвинутому на величину указанного другого периода времени,- determining the second observational time window, this second observational time window corresponds to the first observational time window shifted by the value of the specified other time period,
- определение нового агрегата, где этот новый агрегат получают в результате комбинирования множества входящих потоков данных, принятых в течение нового периода времени, так что этот новый период времени следует за вторым обсервационным временным окном,- defining a new aggregate, where this new aggregate is obtained by combining a plurality of incoming data streams received during a new period of time, so that this new period of time follows the second observational time window,
- определение нового первого вектора измерений, который ассоциирован с новым агрегатом и содержит величины первых характеристических параметров этого нового агрегата,- defining a new first measurement vector that is associated with the new unit and contains the values of the first characteristic parameters of this new unit,
- удаление проекции первого вектора измерений, ассоциированного с агрегатом, являющимся результатом комбинирования множества входящих потоков данных, принятых в течение периода времени, расположенного в первом обсервационном временном окне, но вне второго обсервационного временного окна,- deleting the projection of the first measurement vector associated with the aggregate, which is the result of combining a plurality of incoming data streams received during a time period located in the first observational time window, but outside the second observational time window,
- проецирование нового первого вектора по меньшей мере в указанное подпространство, определяемое указанными первыми характеристическими параметрами, и- projecting a new first vector into at least the specified subspace defined by the specified first characteristic parameters, and
- определение новой оценки отклонения от нормы в зависимости от результата этого проецирования;- defining a new estimate of deviation from the norm depending on the result of this projection;
- предусмотрены средства, на этапе проецирования, для осуществления проецирования множества первых векторов измерений в множество подпространств и для определения оценки отклонения от нормы на основе суммы функций отклонения от нормы, где по одной такой функции отклонения от нормы определяют для каждого подпространства на основе результата проецирования указанного множества первых векторов измерений и проецирования указанного другого первого вектора измерений и на основе средней величины отклонения от нормы, эту среднюю величину отклонения от нормы также определяют на основе указанного проецирования множества первых векторов измерений и проецирования другого первого вектора измерений;- means are provided, at the projection stage, for projecting a plurality of first measurement vectors into a plurality of subspaces and for determining a deviation estimate based on the sum of the deviation functions, where one such deviation function is determined for each subspace based on the result of the projection of the specified a plurality of first measurement vectors and a projection of said other first measurement vector and based on an average deviation from the norm, this average deviation from the norm is also determined based on said projection of the plurality of first measurement vectors and the projection of another first measurement vector;
- предусмотрены также средства для выполнения, в случае обнаружения присутствия атаки, следующих этапов:- means are also provided for performing, in the event of detection of the presence of an attack, the following steps:
- сравнение функций отклонения от нормы, найденных для всех подпространств,- comparison of deviation functions found for all subspaces,
- выбор по меньшей мере одного подпространства, имеющего наивысшую величину функции отклонения от нормы,- selection of at least one subspace having the highest value of the deviation function,
- разбиение указанного другого агрегата на множество раздельных поступающих потоков,- splitting the specified other aggregate into a set of separate incoming streams,
- определение множества идентификационных векторов для полученного множества раздельных поступающих потоков, эти идентификационные векторы содержат те же самые первые характеристические параметры, как и первые векторы измерений,- defining a set of identification vectors for the obtained set of separate incoming streams, these identification vectors contain the same first characteristic parameters as the first measurement vectors,
- проецирование указанного множества идентификационных векторов по меньшей мере в одно выбранное подпространство,- projecting the specified set of identification vectors into at least one selected subspace,
- идентификация по меньшей мере одного нелегитимного поступающего потока, этот нелегитимный поступающий поток соответствует поступающему потоку, ассоциированному с отклоняющейся от нормы проекцией идентификационного вектора, и- identifying at least one illegitimate incoming stream, this illegitimate incoming stream corresponds to the incoming stream associated with the abnormal projection of the identification vector, and
- фильтрация нелегитимного поступающего потока;- filtering illegitimate incoming stream;
- подпространство определено посредством первой оси и второй оси, первая ось соответствует первому характеристическому параметру и вторая ось соответствует второму характеристическому параметру, выбранным из совокупности первых характеристических параметров;- the subspace is defined by the first axis and the second axis, the first axis corresponds to the first characteristic parameter and the second axis corresponds to the second characteristic parameter selected from the set of the first characteristic parameters;
- по меньшей мере один из совокупности первых характеристических параметров содержит одни из следующих данных:- at least one of the set of first characteristic parameters contains one of the following data:
- число источников поступающих потоков,- the number of sources of incoming flows,
- среднее число источников поступающих потоков в расчете на одну подсеть,- the average number of sources of incoming flows per subnet,
- пропорция запросов передачи,is the proportion of transmission requests,
- пропорция принятых запросов относительно ошибок,- the proportion of accepted requests regarding errors,
- средний размер принятых запросов,- average size of accepted requests,
- среднее время жизни принятых запросов; и- average lifetime of accepted requests; and
- по меньшей мере один из совокупности других характеристических параметров содержит следующие данные:- at least one of the set of other characteristic parameters contains the following data:
- коэффициент попаданий, ассоциированный с доступом к кэш-памяти первого уровня,is the hit ratio associated with the first level cache access,
- коэффициент попаданий, ассоциированный с доступом к кэш-памяти второго уровня,is the hit ratio associated with the L2 cache access,
- коэффициент «непопаданий», ассоциированный с доступом к кэш-памяти другого уровня, иis the "miss" ratio associated with another level cache access, and
- пропорция используемого объема памяти.- the proportion of memory used.
Настоящее изобретение также предлагает устройство фильтрации атакующих потоков, нацеленных на модуль связи, из совокупности множества входящих потоков данных, при этом устройство содержит:The present invention also provides a device for filtering attack streams targeted at a communication module from a plurality of incoming data streams, the device comprising:
- модуль для определения множества агрегатов, где каждый агрегат является результатом комбинирования множества входящих потоков данных, принимаемых в течение заданного периода времени, причем период времени, учитываемый для определения каждого агрегата, отличается от периодов времени, учитываемых для определения других агрегатов, и периоды времени, учитываемые для определения совокупности указанного множества агрегатов, все укладываются в первое обсервационное временное окно,- a module for defining a set of aggregates, where each aggregate is the result of a combination of a plurality of incoming data streams received during a given period of time, and the period of time taken into account for determining each aggregate is different from the periods of time taken into account for determining other aggregates, and the periods of time, taken into account to determine the totality of the specified set of aggregates, all fit into the first observational time window,
- модуль для определения множества первых векторов измерений, каждый из которых ассоциирован с одним из указанных агрегатов и содержит величины первых характеристических параметров агрегата, с каким ассоциирован этот вектор,- a module for determining a set of first measurement vectors, each of which is associated with one of the specified aggregates and contains the values of the first characteristic parameters of the aggregate with which this vector is associated,
- модуль для проецирования указанного множества первых векторов измерений по меньшей мере в одно подпространство, определяемое указанными первыми характеристическими параметрами,- a module for projecting said set of first measurement vectors into at least one subspace defined by said first characteristic parameters,
- модуль для определения другого агрегата, являющегося результатом комбинирования множества входящих потоков данных, принимаемых в течение другого периода времени, где этот другой период времени следует за первым обсервационным временным окном,- a module for determining another aggregate resulting from the combination of a plurality of incoming data streams received during a different time period, where this other time period follows the first observational time window,
- модуль для определения другого первого вектора измерений, ассоциированного с указанным другим агрегатом и содержащего величины первых характеристических параметров этого другого агрегата,- a module for determining another first measurement vector associated with the specified other unit and containing the values of the first characteristic parameters of this other unit,
- модуль для проецирования указанного другого первого вектора измерений по меньшей мере в одно подпространство, определяемое первыми характеристическими параметрами,- a module for projecting said other first measurement vector into at least one subspace defined by the first characteristic parameters,
- модуль для определения оценки отклонения от нормы в зависимости от результатов проецирования указанного другого первого вектора измерений и проецирования совокупности указанного множества первых векторов измерений,- a module for determining an estimate of deviation from the norm depending on the results of projecting said other first measurement vector and projecting the totality of said plurality of first measurement vectors,
- решающий модуль, подходящий для определения, если оценка отклонения от нормы попадает в зону сомнений относительно присутствия атакующих потоков, множества вторых векторов измерений, каждый из которых ассоциирован с одним из указанных агрегатов и содержит величины других характеристических параметров агрегата, с которым он ассоциирован, эти другие характеристические параметры отличаются от указанных первых характеристических параметров,- a decision module suitable for determining if the deviation estimate falls into a zone of doubt regarding the presence of attacking flows, a set of second measurement vectors, each of which is associated with one of the specified aggregates and contains the values of other characteristic parameters of the aggregate with which it is associated, these other characteristic parameters differ from the first characteristic parameters indicated,
- модуль для определения другого второго вектора измерений, ассоциированного с другим агрегатом и содержащего величины других характеристических параметров указанного другого агрегата, и- a module for determining another second measurement vector associated with another unit and containing values of other characteristic parameters of said other unit, and
- модуль для обнаружения присутствия или отсутствия атаки посредством анализа другого второго вектора измерений.- a module for detecting the presence or absence of an attack by analyzing another second measurement vector.
Краткое описание чертежейBrief description of the drawings
Последующее описание при рассмотрении его со ссылками на прилагаемые чертежи, которые приведены здесь в качестве неисчерпывающего примера, позволит четко понять, что содержит настоящее изобретение и как его можно осуществить.The following description, when considered with reference to the accompanying drawings, which are given here as a non-exhaustive example, will clearly understand what the present invention contains and how it can be carried out.
На прилагаемых чертежах:On the attached drawings:
- Фиг. 1 показывает упрощенное представление пассажирского салона автомобиля, оборудованного устройством для фильтрации атакующих потоков согласно настоящему изобретению;- Fig. 1 shows a simplified representation of the passenger compartment of a vehicle equipped with an attack stream filtering device according to the present invention;
- Фиг. 2 показывает, в форме логической схемы, способ фильтрации атакующих потоков согласно настоящему изобретению;- Fig. 2 shows, in the form of a logical diagram, a method for filtering attack streams according to the present invention;
- Фиг. 3 – 10 показывают восемь примеров подпространств, используемых для реализации способа фильтрации атакующих потоков, показанного на Фиг. 2.- Fig. 3-10 show eight examples of subspaces used to implement the attack flow filtering method shown in FIG. 2.
Осуществление изобретенияImplementation of the invention
Фиг. 1 упрощенно показывает пассажирский салон автомобиля 1, оборудованного модулем 5 связи, подходящим для приема множества поступающий потоков данных, и устройством 2 для фильтрации атакующих потоков.Fig. 1 shows in a simplified way the passenger compartment of a
Поступающие потоки могут, например, приходить от серверов, позволяющих, например, осуществлять доступ в Интернет. Модуль 5 связи соединен, например, с процессором 10 мультимедиа, установленным в автомобиле 1, таким образом, позволяя человеку, находящемуся внутри автомобиля 1, получать доступ к расширенному предложению услуг мультимедиа.The incoming streams may, for example, come from servers allowing, for example, access to the Internet. The
Устройство 2 для фильтрации атакующих потоков подходит для анализа поступающих потоков, принимаемых модулем 5 связи, с целью идентификации потенциальных атак. Устройство 2 для фильтрации атакующих потоков также подходит для фильтрации обнаруженных атак.The attack
Как показано на Фиг. 1, устройство для фильтрации атакующих потоков входит, например, в модуль 5 связи. В качестве альтернативы, устройство может быть установлено в объекте, независимом от модуля 5 связи, но в прямой связи с этим модулем.As shown in FIG. 1, a device for filtering attack streams is included, for example, in the
Устройство 2 для фильтрации атакующих потоков содержит группу модулей (не показаны). Эти модули могут быть практически реализованы путем сочетания аппаратных элементов и программных элементов. Каждый из этих модулей обладает одной из функциональных возможностей, рассматриваемых применительно к способу согласно настоящему изобретению и описываемых ниже.
Фиг. 2 показывает, в форме логической схемы, пример способа, реализуемого в устройстве 2 для фильтрации атакующих потоков согласно настоящему изобретению.Fig. 2 shows, in the form of a logical diagram, an example of a method implemented in the
Выполнение способа начинается на этапе E2, с приема модулем 5 связи множества входящих потоков данных. Эти разнообразные входящие потоков данных могут приходить от единого объекта-источника (например, от одного сервера) или от множества дискретных объектов-источников.The execution of the method starts at step E2, with the
Для остальной части способа определено первое обсервационное временное окно , в котором должны быть реализованы этапы способа. Это первое обсервационное временное окно составляет, например, около 5 с.For the rest of the method, the first observational time window is determined , in which the steps of the method are to be implemented. This first observational time window is, for example, about 5 s.
Это первое обсервационное временное окно разделено на последовательные периоды времени. В контексте настоящего изобретения все эти периоды времени являются идентичными. Используемый период времени составляет, например, около 100 мс (первое обсервационное временное окно поэтому состоит из 50 дискретных периодов времени). Такой период времени соответствует периоду времени, в течение которого осуществляется анализ всех входящих потоков данных с целью определения ситуации, когда присутствует распределенная атака типа отказ в обслуживании.This first observational time window is divided into successive periods time. In the context of the present invention, all these periods times are identical. Used period time is, for example, about 100 ms (the first observational time window therefore consists of 50 discrete time periods). Such a period time corresponds to the period of time during which the analysis of all incoming data streams is carried out in order to determine the situation when a distributed denial of service attack is present.
На этапе E4, все входящие потоки данных, принятые в течение одного периода времени, комбинируют с целью получения единого потока, называемого здесь «агрегат». На этапе E4, поэтому получают по одному агрегату для каждого периода времени (поэтому в течение всего первого обсервационного временного окна получают около пятидесяти агрегатов).In step E4, all incoming data streams received during one period time, combined to obtain a single stream, here called "aggregate". In step E4, therefore, one aggregate is obtained for each time period (so during the entire first observational time window receive about fifty units).
На практике, каждый поступающий поток содержит последовательность данных, в частности, сюда входят данные, позволяющие осуществлять доступ в сеть связи. Процедура комбинирования всех входящих потоков данных тогда содержит группирование всех данных, заключенных во всех поступающих потоках, в одном потоке данных (называемом «агрегат» в настоящем описании).In practice, each incoming stream contains a sequence of data, in particular, this includes data that allows access to the communication network. The procedure for combining all incoming data streams then comprises grouping all the data contained in all incoming streams into one data stream (referred to as an "aggregate" in the present description).
Агрегат определяют посредством первого вектора измерений, содержащего множество измеренных величин. Например, в течение периода времени, ассоциированный первый вектор измерений записывают как , где обозначает переменную, соответствующую n-ому измерению в течение периода времени. Каждую переменную вычисляют по-разному в зависимости от типа исследуемых данных.The aggregate is defined by a first measurement vector containing a plurality of measured values. For example, during the period time, associated first measurement vector write as , where denotes the variable corresponding to the nth dimension during the period time. Every variable calculated differently depending on the type of data being examined.
Например, переменная может быть оценена путем вычисления средней величины рассматриваемых данных за период времени. Это представляет собой, например, случай, когда средний размер принятых запросов (также обычно называемых принятыми IP-пакетами) получают путем вычисления среднего размера всех принятых запросов по всем соединениям в течение периода времени.For example, a variable can be estimated by calculating the average value of the considered data for the period time. This is, for example, the case where the average size of received requests (also commonly referred to as received IP packets) is obtained by calculating the average size of all received requests over all connections during the period time.
В примере, когда имеются множество источников потоков, переменную определяют на основе числа адресов различных источников потоков данных, принимаемых в течение периода времени.In an example where there are multiple stream sources, the variable determined on the basis of the number of addresses of various sources of data streams received during the period time.
В примере со средним числом источников потоков данных для одной подсети, переменную определяют на основе числа адресов различных источников потоков данных, принимаемых в течение периода времени, и на основе числа подсетей (обозначено как ниже) из совокупности запросов, принимаемых в течение этого периода времени. На практике учитывают только 24 первых бита адреса источника потока данных (этот адрес источника потока данных обозначают как IP/24). Затем для каждого адреса IP/24 источника потока данных, определяют число различных источников потоков данных и число принятых запросов (или принятых IP-пакетов). Наконец, среднее число источников потоков данных для одной подсети (обозначено в формуле ниже) получают путем взвешивания числа различных источников потоков данных для одного адреса IP/24 источника (обозначено в следующей формуле) с числом принятых запросов для одного адреса IP/24 источника (обозначено в следующей формуле):In the example with the average number of data flow sources per subnet, the variable determined on the basis of the number of addresses of various sources of data streams received during the period time, and based on the number of subnets (denoted as below) from the total of requests received during this period time. In practice, only the first 24 bits of the data stream source address are taken into account (this data stream source address is referred to as IP/24). Then, for each IP/24 address of the data stream source, the number of different data stream sources and the number of received requests (or received IP packets) are determined. Finally, the average number of data stream sources per subnet (denoted in the formula below) is obtained by weighting the number of different sources of data streams for a single source IP/24 address (denoted in the following formula) with the number of accepted requests for a single source IP/24 address (denoted in the following formula):
В отношении пропорции принятых запросов передачи (которые также называются запросами соединений TCP, где TCP представляет собой аббревиатуру от «transmission control protocol» (протокол управления передачей)), переменная определена как отношение между числом запросов передачи, принятых в течение периода времени и общим числом принятых запросов.With respect to the proportion of received transmission requests (also called TCP connection requests, where TCP is an acronym for "transmission control protocol"), the variable defined as the ratio between the number of transmission requests received during the period time and the total number of requests received.
В примере пропорции принятых запросов относительно ошибок (которая также называется пропорцией пакетов согласно протоколу ICMP, где ICMP представляет собой аббревиатуру от «Internet control message protocol» (протокол управления сообщениями в сети Интернет)), переменная определена как отношение между числом запросов относительно ошибок, принятых в течение периода времени и общим числом принятых запросов.In the example of the proportion of received requests for errors (also called the proportion of packets according to the ICMP protocol, where ICMP is an abbreviation for "Internet control message protocol"), the variable defined as the ratio between the number of requests for errors received during the period time and the total number of requests received.
Как можно видеть на Фиг. 2, выполнение способа продолжается на этапе E6. На этом этапе, для каждого полученного агрегата (для каждого периода времени в пределах первого обсервационного временного окна), определяют первый вектор измерений. Этот первый вектор измерений характеризует агрегат, с которым этот вектор ассоциирован, посредством характеристических параметров.As can be seen in FIG. 2, the execution of the method continues at step E6. At this stage, for each received aggregate (for each time period within the first observational time window), the first vector is determined measurements. This first vector measurements characterizes the aggregate with which this vector is associated, by means of characteristic parameters.
Эти характеристические параметры позволяют охарактеризовать принятые потоки данных Интернет связи (или IP-потоки, здесь IP – общепринятая аббревиатура для «Internet protocol» (Интернет-протокол)). Эти принятые поступающие потоки в частности зависят от типа действующих соединений или от типа данных, передаваемых посредством поступающих потоков. Среди этих характеристических параметров в последующем различают, например, между: числом источников поступающих потоков данных (параметр, обозначенный ниже), средним числом источников потоков данных на одну подсеть (параметр, обозначенный ), пропорцией запросов передачи данных (обычно определяемое через число TCP-пакетов, какой параметр обозначен ), пропорцией запросов контроля ошибок (обычно называются ICMP-пакетами, какой параметр обозначен ), средним размером передаваемых запросов (обычно определяют на основе принятых IP-пакетов, какой параметр обозначен ), среднего времени жизни запросов (или принятых IP-пакетов) во время передачи данных (или TTL для времени жизни) или числа подсетей.These characteristic parameters make it possible to characterize the received Internet communication data streams (or IP streams, here IP is the common abbreviation for "Internet protocol" (Internet Protocol)). These received incoming streams depend in particular on the type of active connections or on the type of data transmitted by the incoming streams. Among these characteristic parameters, a distinction is made in the following, for example, between: the number of sources of incoming data streams (parameter denoted below), the average number of data stream sources per subnet (the parameter denoted ), the proportion of data transfer requests (usually determined by the number of TCP packets, which parameter is indicated ), the proportion of error control requests (usually called ICMP packets, which parameter is indicated ), the average size of transmitted requests (usually determined based on the received IP packets, which parameter is indicated ), the average lifetime of requests (or received IP packets) during a data transfer (or TTL for lifetime), or the number of subnets.
Эти характеристические параметры являются критерием распознаванием, чтобы позволить идентифицировать распределенную атаку типа отказ в обслуживании на модуль связи.These characteristic parameters are recognition criteria to allow the identification of a distributed denial of service attack on the communication module.
Здесь первый вектор измерений содержит пять параметров, обозначенных как , , , , .Here is the first vector measurements contains five parameters, denoted as , , , , .
В конце этапа E6, первый вектор измерений определяют для каждого периода времени и поэтому в первом обсервационном временном окне получают множество первых векторов измерений. Таким образом, например, для периода времени 100 мс и первого обсервационного временного окна в 5 с получают 50 первых векторов измерений.At the end of step E6, the first measurement vector determined for each period time and therefore in the first observational time window get the set of first vectors measurements. Thus, for example, for a time period of 100 ms and a first observational time window of 5 s, 50 first measurement vectors are obtained.
Эти первые векторы измерений используются затем на этапе E8. Такие характеристические параметры позволяют определить проекционные подпространства. Подпространство определяют в виде сетки ячеек. Для этой сетки первая ось, например ось абсцисс, соответствует первому характеристическому параметру, и вторая ось, например ось ординат, соответствует второму характеристическому параметру. На практике, попарно выбираемые характеристические параметры позволяют определять двумерные подпространства. В качестве варианта можно также рассматривать подпространства, имеющие больше измерений.These first vectors measurements are then used in step E8. Such characteristic parameters make it possible to define projection subspaces. The subspace is defined as a grid of cells. For this grid, the first axis, such as the x-axis, corresponds to the first characteristic parameter, and the second axis, such as the y-axis, corresponds to the second characteristic parameter. In practice, pairwise chosen characteristic parameters allow one to define two-dimensional subspaces. As a variant one can also consider subspaces having more dimensions.
На Фиг. 3 – 10 показаны подпространства, получаемые с использованием характеристических параметров, перечисленных выше. Здесь каждое подпространство определено в виде сетки размером 10 ячеек на 10 ячеек. На Фиг. 3 и 7 показаны, например, подпространства, соответствующие пропорции запросов передачи данных () в функции пропорции запросов контроля ошибок (). На Фиг. 4 и 8 показаны подпространства, соответствующие пропорции запросов передачи данных () в функции среднего числа передаваемых запросов (или принятых IP-пакетов) (). На Фиг. 5 и 9 показаны подпространства, соответствующие пропорции запросов передачи данных () в функции числа источников поступающих потоков данных (). На Фиг. 6 и 10 показаны подпространства, соответствующие пропорции запросов контроля ошибок () в функции числа источников поступающих потоков данных ().On FIG. 3-10 show the subspaces obtained using the characteristic parameters listed above. Here, each subspace is defined as a grid of 10 cells by 10 cells. On FIG. 3 and 7 show, for example, subspaces corresponding to the proportion of data transfer requests ( ) in the error control request proportion function ( ). On FIG. 4 and 8 show the subspaces corresponding to the proportion of data transfer requests ( ) as a function of the average number of transmitted requests (or received IP packets) ( ). On FIG. Figures 5 and 9 show the subspaces corresponding to the proportion of data transfer requests ( ) as a function of the number of sources of incoming data streams ( ). On FIG. 6 and 10 show the subspaces corresponding to the proportion of error control requests ( ) as a function of the number of sources of incoming data streams ( ).
На этапе E8, первый вектор измерений проецируют в подпространства, определяемые характеристическими параметрами. Все первые векторы измерений, получаемые в пределах первого обсервационного временного окна проецируют в эти подпространства. Под проецированием понимают идентификацию ячейки в сетке, которой принадлежит величина проецируемого первого вектора измерений. Другими словами, для подпространства, определяемого двумя данными n и m, проекция соответствует идентификации ячейки сетки, которой принадлежит точка (;) первого вектора измерений . At step E8, the first vector measurements are projected into subspaces determined by the characteristic parameters. All first vectors measurements obtained within the first observational time window project into these subspaces. Projection is understood as the identification of a cell in the grid, which belongs to the value of the projected first vector measurements. In other words, for a subspace defined by two given n and m, the projection corresponds to identifying the grid cell to which the point belongs ( ; ) of the first measurement vector .
На практике, прежде проецирования первые векторы измерений нормируют с целью обеспечения релевантного сравнения характеристических параметров. Здесь каждый из характеристических параметров первого вектора измерений нормируют по заданной величине соответствующего параметра. Эти используемые заданные величины соответствуют, например, разумно максимальным величинам характеристических параметров. Термин «максимальный» определен относительно ограничивающего поступающего потока, который модуль связи, находящийся в автомобиле, может принять. Например, для среднего размера передаваемых запросов (или принимаемых IP-пакетов), какой параметр обозначен , величина 1500 будет использована в качестве нормирующей величины для IPv4-версии IP-протокола. Величина 8000 будет использована в качестве нормирующей величины для IPv6-версии IP-протокола.In practice, before projecting the first vectors measurements are normalized to provide a relevant comparison of characteristic parameters. Here, each of the characteristic parameters of the first vector measurements are normalized according to the given value of the corresponding parameter. These predetermined values used correspond, for example, to reasonable maximum values of the characteristic parameters. The term "maximum" is defined in relation to the limiting incoming flow that the vehicle-mounted communication module can accept. For example, for the average size of transmitted requests (or received IP packets), which parameter is indicated by , the value 1500 will be used as the normalization value for the IPv4 version of the IP protocol. The value 8000 will be used as the normalization value for the IPv6 version of the IP protocol.
На Фиг. 3 – 10 показаны примеры проецирования первых векторов измерений в различные подпространства для первого обсервационного временного окна . В конце проецирования первых векторов измерений ячейки остаются пустыми, если в рассматриваемую ячейку не был спроецирован ни один из первых векторов измерений.On FIG. 3 - 10 show examples of the projection of the first vectors measurements into different subspaces for the first observational time window . At the end of the projection of the first vectors cell dimensions remain empty if none of the first vectors has been projected into the considered cell measurements.
Плотность ячеек определяют в соответствии с пропорцией первых векторов измерений, проецируемых в эти ячейки. Ячейка называется плотной, если пропорция первых векторов измерений, проецируемых в эту ячейку, выше заданной пропорции. Эта заданная пропорция равна, например, 5%.Cell density is determined in accordance with the proportion of the first vectors measurements projected into those cells. A cell is called dense if the proportion of the first vectors measurements projected into that cell is higher than the specified proportion. This predetermined proportion is, for example, 5%.
Множество соседних плотных ячеек могут образовать кластер. Под «соседними ячейками» здесь понимают ячейки, имеющие общую границу. На Фиг. 3 – 10, кластеры, как определено выше, обозначены ячейками, содержащими наклонную штриховку. Например, на Фиг 3, все проекции первых векторов измерений в это подпространство сконцентрированы в одной ячейке.Many neighboring dense cells can form a cluster. By "adjacent cells" is here meant cells having a common boundary. On FIG. 3–10, clusters, as defined above, are indicated by cells containing oblique shading. For example, in Fig 3, all projections of the first vectors measurements in this subspace are concentrated in one cell.
Горизонтальная штриховка, какая, например, присутствует на Фиг. 4, 8, 9 и 10, обозначает ячейки, которые не являются пустыми, но имеют плотность ниже заданной пропорции (здесь ниже 5%). Чем больше число горизонтальных линий, тем выше плотность соответствующей ячейки (оставаясь при этом ниже заданной пропорции).Horizontal shading, such as that present in FIG. 4, 8, 9 and 10 denotes cells that are not empty but have a density below a predetermined proportion (here below 5%). The greater the number of horizontal lines, the higher the density of the corresponding cell (while remaining below the specified proportion).
Крестики, представленные на Фиг. 7 – 10, обозначают присутствие атаки (обнаружение атаки будет подробно рассмотрено ниже).The crosses shown in Fig. 7 - 10 indicate the presence of an attack (attack detection will be discussed in detail below).
Как можно видеть на Фиг. 2, осуществление способа затем продолжается этапом E10. На этом этапе определяют оценку отклонения от нормы для каждого из подпространств, в которые были спроецированы первые векторы измерений.As can be seen in FIG. 2, the implementation of the method then continues with step E10. At this stage, the evaluation deviations from the norm for each of the subspaces into which the first vectors were projected measurements.
В подпространстве (обозначенном ниже как подпространство k), отклонение некоторой точки от нормы определяют как расстояние между ячейкой j, которой принадлежит эта точка, и ближайшим кластером. Другими словами, отклонение от нормы соответствует расстоянию между этой ячейкой j и ближайшей (или несколькими ближайшими) к ней плотной ячейкой (ами) (т.е. ячейкой (ами), для которой пропорция спроецированных в нее первых векторов измерений больше 5%). Вычисленное расстояние представляет собой либо евклидово расстояние, либо расстояние Махалонобиса. In a subspace (denoted below as subspace k), the deviation of a certain point from the norm is defined as the distance between the cell j, to which this point belongs, and the nearest cluster. In other words, deviation from the norm corresponds to the distance between this cell j and the dense cell (s) closest (or several closest) to it (i.e., the cell (s) for which the proportion of the first vectors projected into it measurements are greater than 5%). The calculated distance is either the Euclidean distance or the Mahalanobis distance.
Если какая-либо точка находится в кластере, отклонение от нормы для этой точки равно нулю. Если в рассматриваемом подпространстве нет ни одного кластера (т.е. ни одна ячейка, например, не содержит более 5% спроецированных первых векторов измерений), величина отклонения от нормы соответствует расстоянию между ячейкой j и ячейкой, имеющей наивысшую плотность (которая, однако, все равно будет ниже 5%) в рассматриваемом подпространстве k.If any point is in a cluster, the deviation from the norm for this point is zero. If there is not a single cluster in the subspace under consideration (i.e., no cell, for example, contains more than 5% of the projected first measurement vectors), the deviation value from the norm corresponds to the distance between cell j and the cell with the highest density (which, however, will still be below 5%) in the considered subspace k.
На основе величины отклонения от нормы, определяемой для каждой ячейки j в подпространстве k, можно определить среднюю величину отклонения от нормы для всех ячеек j в рассматриваемом подпространстве k. Эта средняя величина отклонения от нормы имеет вид:Based on the amount of deflection from the norm determined for each cell j in the subspace k, it is possible to determine the average deviation from the norm for all cells j in the considered subspace k. This average deviation from the norm has the form:
где соответствует отклонению от нормы (как определено выше) для ячейки j в подпространстве k, соответствует плотности ячейки j в подпространстве k и обозначает число ячеек в подпространстве k.where corresponds to the deviation from the norm (as defined above) for cell j in subspace k, corresponds to the cell density j in the subspace k and denotes the number of cells in subspace k.
В соответствии с этим определением, чем ближе средняя величина отклонения от нормы подходит к 0, тем больше точек (соответствующих проекциям первых векторов измерений) в пределах первого обсервационного временного окна распределены в концентрических кластерах. В качестве примера, средняя величина отклонения от нормы, оцениваемая для подпространства, показанного на Фиг. 3, равна нулю, поскольку все точки распределены в одном кластере. То же самое относится к подпространству, показанному на Фиг. 5, и к подпространству, показанному на Фиг. 6.According to this definition, the closer the mean deviation from the norm approaches 0, the more points (corresponding to the projections of the first vectors measurements) within the first observational time window distributed in concentric clusters. As an example, the average deviation from the norm estimated for the subspace shown in FIG. 3 is zero because all points are distributed in one cluster. The same applies to the subspace shown in FIG. 5 and to the subspace shown in FIG. 6.
В отличие от этого, чем выше средняя величина отклонения от нормы, том больше точек равномерно распределены в рассматриваемом подпространстве.In contrast, the higher the average deviations from the norm, that is, more points are evenly distributed in the considered subspace.
Для определения оценки отклонения от нормы, введена функция отклонения от нормы для первого вектора измерений в подпространстве k:To determine the score deviations from the norm, the function deviations from the norm for the first vector measurements in subspace k:
где обозначает величину отклонения от нормы для проекции первого вектора измерений в подпространство k. Средняя величина отклонения от нормы здесь позволяет нормировать величину отклонения от нормы для проекции рассматриваемого первого вектора в подпространстве k (с целью позволить одинаково рассматривать и обрабатывать все подпространства).where denotes the amount of deviation from the norm for the projection first vector measurements into subspace k. average value deviation from the norm here allows you to normalize the magnitude of the deviation from the norm for projection considered first vector in the subspace k (in order to allow all subspaces to be treated and treated equally).
На основе этих функций отклонения от нормы можно определить оценку отклонения от нормы для первого вектора измерений путем суммирования по всем подпространствам всех функций отклонения от нормы, определяемых для каждого подпространства k:Based on these features deviations from the norm, you can determine the assessment deviations from the norm for the first vector measurements by summing over all subspaces of all functions deviations from the norm, determined for each subspace k:
Такая оценка отклонения от нормы поэтому соответствует сумме функций отклонения от нормы, полученных для проекций первого вектора измерений в различные подпространства.Such an assessment deviations from the norm therefore corresponds to the sum of the functions deviations from the norm obtained for the projections of the first vector measurements into different subspaces.
Затем способ переходит к этапу E12, на котором определяют новый период времени. Этот новый период времени представляет собой период времени, следующий сразу же после первого обсервационного временного окна .The method then proceeds to step E12 where a new period is determined time. This new period time is the time period immediately after the first observational time window .
Все входящие потоки данных, принятые в течение указанного нового периода времени, комбинируют с целью получения нового агрегата (с применением способа, аналогичного тому, который был использован на этапе E4, описанном выше).All incoming data streams received during the specified new period time, combined to obtain a new aggregate (using a method similar to that used in step E4, described above).
Новый первый вектор измерений содержит характеристические параметры указанного нового агрегата.New first vector measurements contains the characteristic parameters of the specified new unit.
Оценка отклонения от нормы, определяемая для нового первого вектора с использованием способа, описанного выше, представляет собой величину, которая позволит определить, присутствуют ли или отсутствуют атакующие потоки среди входящих потоков данных, принятых модулем 5 связи в течение временного окна . Эта оценка отклонения от нормы измеряет степень отклонения от нормы для всех поступающих потоков, принятых в течение периода времени, (и характеризуемых новым агрегатом) относительно первого обсервационного временного окна (которое предшествует периоду времени).Grade deviation from the norm, determined for the new first vector using the method described above, is a value that will determine whether there are or are not attacking streams among the incoming data streams received by the
С графической точки зрения, если эта оценка отклонения от нормы высока, это означает, что проекции нового первого вектора измерений в различные подпространства значительно отличаются от кластеров, образованных в течение первого обсервационного периода и идентифицированных в различных подпространствах на этапе E8. Группа поступающих потоков, соответствующих новому агрегату, кажется в этом случае подозрительной, так что необходимо провести более глубокий анализ, чтобы подтвердить или отвергнуть присутствие атаки.From a graphical point of view, if this estimate deviation from the norm is high, which means that the projections of the new first vector measurements into different subspaces are significantly different from the clusters formed during the first observational period and identified in various subspaces in step E8. The group of incoming streams corresponding to the new aggregate seems suspicious in this case, so more analysis is needed to confirm or deny the presence of an attack.
Для этого, на этапе E14, оценку отклонения от нормы сравнивают с первой пороговой величиной и со второй пороговой величиной . Первая пороговая величина меньше второй пороговой величины . Описаны три разных случая.For this, at step E14, the evaluation deviations from the norm are compared with the first threshold value and with the second threshold value . First Threshold less than the second threshold . Three different cases have been described.
Первый случай соответствует ситуации, когда оценка отклонения от нормы ниже первой пороговой величины .В этом случае определяют, что в новом временном окне отсутствует атака, и способ переходит к этапу E20. Это случай примеров, показанных на Фиг. 3 – 6, на которых все проекции сконцентрированы в соседних ячейках, являющихся плотными или очень плотными (Фиг. 4). На этих чертежах вычисления оценок отклонений от нормы не выявили изолированной величины.The first case corresponds to the situation when the estimate deviations from the norm below the first threshold value .In this case, it is determined that in the new time window there is no attack, and the method proceeds to step E20. This is the case of the examples shown in FIG. 3 - 6, on which all projections are concentrated in neighboring cells that are dense or very dense (Fig. 4). In these drawings, the calculation of the estimates of deviations from the norm did not reveal an isolated value.
На этапе E20, определяют второе обсервационное временное окно . Это второе обсервационное временное окно соответствует первому обсервационному временному окну , сдвинутому на один период времени. Другими словами, первое обсервационное временное окно представляет собой подвижное окно, увеличиваемое на один период времени для определения второго обсервационного временного окна . Это второе обсервационное временное окно присоединяет новый первый вектор измерений. Наконец, эти два обсервационных временных окна имеют в общем множество периодов времени. Первый период времени в первом обсервационном временном окне (ниже называется старым периодом времени) не входит во второе обсервационное временное окно . Кроме того, последний период времени второго обсервационного временного окна (выше называется новым периодом времени) не входит в первое обсервационное временное окно .In step E20, a second observational time window is determined . This is the second observational time window corresponds to the first observational time window shifted by one period time. In other words, the first observational time window is a moving window that increases by one period time to determine the second observational time window . This is the second observational time window appends a new first vector measurements. Finally, these two observational time windows have many time periods in common. The first time period in the first observational time window (hereinafter referred to as the old time period) is not included in the second observational time window . In addition, the last time period of the second observational time window (above called new period time) is not included in the first observational time window .
В подпространствах, рассматриваемых на этапе E8, проекция первого вектора измерений, соответствующего старому периоду времени, удалена на этапе E22.In the subspaces considered in step E8, the projection of the first measurement vector corresponding to the old time period is removed in step E22.
На этапе E24, новый первый вектор измерений проецируют в эти подпространства. Кластеры, присутствующие в этих подпространствах, снова идентифицируют с использованием способа, рассмотренного со ссылками на этап E8. Этапы E22 и E24, на основе результатов, полученных ранее с использованием этого способа, позволяют ограничить время выполнения способа. Они позволяют также ограничить вычислительные мощности (в частности, мощность процессора, входящего в устройство 2 для фильтрации атакующих потоков), требуемые для осуществления этого способа.At step E24, new first vector measurements are projected into these subspaces. The clusters present in these subspaces are again identified using the method discussed with reference to step E8. Steps E22 and E24, based on the results obtained earlier using this method, allow you to limit the execution time of the method. They also make it possible to limit the computing power (in particular, the power of the processor included in the
Как показано на Фиг. 2 способ переходит к этапу E26, где определяют средние величины отклонений от нормы после того, как новый первый вектор измерений был спроецирован во все рассматриваемые подпространства, и после того, как первый вектор измерений, ассоциированный со старым периодом времени, был удален.As shown in FIG. 2 method proceeds to step E26 where average values are determined deviations from the norm after the new first vector dimension has been projected into all subspaces under consideration, and after the first dimension vector associated with the old time period has been removed.
После этого осуществление этого способы производится итеративно снова и снова, начиная с этапа E12.Thereafter, the implementation of this method is iteratively performed again and again, starting from step E12.
Второй случай сравнения соответствует ситуации, когда оценка отклонения от нормы выше второй пороговой величины . В этом случае присутствие атаки определяют в новом периоде времени и способ переходит к этапу E60.The second case of comparison corresponds to the situation when the deviation from the norm is higher than the second threshold . In this case, the presence of an attack is determined in a new period time and the method proceeds to step E60.
Этот второй случай соответствует примерам, показанным на Фиг. 7 – 10. Оценки отклонений от нормы, вычисленные для этих примеров, становятся высокими.This second case corresponds to the examples shown in FIG. 7 - 10. The deviation scores calculated for these examples become high.
Этот этап E60 позволяет сравнивать функции отклонения от нормы, найденные на этапе E10 для нового первого вектора измерений.This step E60 allows you to compare functions deviations from the norm found in step E10 for the new first vector measurements.
Из всей совокупности рассматриваемых подпространств на этапе E62 выбирают по меньшей мере два подпространства. На практике выбирают одно или два подпространства. Здесь рассматривают подпространства с наибольшими величинами функций отклонения от нормы . На основе исследования, выполненного в этих выбранных подпространствах, затем идентифицируют один (или больше одного) атакующий поток (и), в частности, с использованием кластеров, присутствующих в выбранных подпространствах (и характеризующих номинальные рабочие условии), для первого обсервационного временного окна (предшествующего новому периоду времени). В качестве примера, на Фиг. 7 – 10, кластеры идентифицированы наклонной штриховкой (как описано выше).From the entire set of subspaces under consideration, at least two subspaces are selected at step E62. In practice, one or two subspaces are chosen. Here we consider subspaces with the largest values of the functions of deviation from the norm . Based on the exploration performed in these selected subspaces, one (or more than one) attack stream(s) is then identified (and), in particular, using the clusters present in the selected subspaces (and characterizing the nominal operating conditions), for the first observational time window (preceding the new period time). As an example, in FIG. 7–10, clusters are identified by oblique shading (as described above).
Для того, чтобы позволить идентифицировать атакующие потоки, новый агрегат, представляющий собой комбинацию нескольких входящих потоков данных, принятых в течение нового периода времени, каковые входящие потоки данных были скомбинированы для формирования такой комбинации на этапе E12, разлагают на множество потоков, называемых отдельными поступающими потоками, на этапе E64. Все входящие потоки данных, принятые в течение нового периода времени модулем 5 связи, принимают во внимание для комбинирования на этапе E12 с целью формирования нового агрегата. Этот новый агрегат разделяют посредством комбинирования с адресами источников поступающих потоков, принятых в течение нового периода времени. Поэтому можно определить множество раздельных агрегатов, которые считаются подозрительными. На практике, здесь присутствуют столько отдельных агрегатов, сколько имеется адресов источников.In order to allow attacker streams to be identified, a new aggregate, which is a combination of several incoming data streams received during the new period time, which incoming data streams have been combined to form such a combination in step E12 is decomposed into a plurality of streams, called separate incoming streams, in step E64. All incoming data streams received during the new period time by the
На этапе E66, каждый из отдельных агрегатов характеризуют вектором, который называется идентификационным векторов. Эти идентификационные векторы построены из параметров, идентифицированных на этапе E62 посредством выбора подпространств. Поэтому идентификационные векторы содержат небольшое число параметров по сравнению, например, с новым первым вектором измерений, определенным выше. Например, если на этапе E62 выбрано только подпространство, определяемое параметрами и , идентификационные векторы будут содержать только эти два параметра (эти два параметра определяют для каждого отдельного агрегата в течение нового периода времени).In step E66, each of the individual aggregates is characterized by a vector, which is called an identification vector. These identification vectors are constructed from the parameters identified in step E62 through subspace selection. Therefore, identification vectors contain a small number of parameters compared to, for example, the new first vector measurements defined above. For example, if in step E62 only the subspace defined by the parameters and , the identification vectors will contain only these two parameters (these two parameters are determined for each individual aggregate during the new period time).
Эти идентификационные векторы затем проецируют в одно или множество выбранных подпространств на этапе E68. Когда эти идентификационные векторы оказываются спроецированы в ячейки подпространств, образующие кластер, ассоциированный отдельный поступающий поток не считается атакующим потоком. В отличие от этого, если идентификационный вектор оказывается спроецирован вне какого-либо кластера, этот отдельный агрегат считается атакой.These identification vectors are then projected into one or more selected subspaces in step E68. When these identification vectors are projected into subspace cells forming a cluster, the associated single incoming stream is not considered an attacking stream. In contrast, if an identity vector is projected outside of any cluster, that single aggregate is considered an attack.
В конце этого этапа идентифицируют атаку в рассматриваемых подпространствах. На Фиг. 7 – 10, это символически обозначено ячейками, содержащими крестик.At the end of this stage, the attack is identified in the considered subspaces. On FIG. 7 - 10, this is symbolically indicated by cells containing a cross.
По самому построению, отдельный агрегат, соответствующий атаке, ассоциирован с группой отдельных поступающих потоков, приходящих от одного и того же адреса источника. Обнаружение отдельного агрегата, соответствующего атаке, тогда позволяет идентифицировать адрес источника, генерирующего так называемые нелегитимные поступающие потоки, на этапе E70.By design, a single aggregate corresponding to an attack is associated with a group of distinct incoming streams coming from the same source address. The discovery of a distinct aggregate corresponding to the attack then allows the source address generating the so-called illegitimate incoming streams to be identified at step E70.
Эти нелегитимные поступающие потоки затем фильтруют на этапе E72 способа. Такая фильтрация осуществляется, например, посредством блокирования нелегитимных поступающих потоков на входе модуля 5 связи. На практике, например, эти потоки блокируют путем добавления адреса источника, ассоциированного с указанными нелегитимными поступающими потоками, в список блокируемых адресов источников. Любой запрос, исходящий от указанного адреса источника, после этого отбрасывается.These illegitimate incoming streams are then filtered in step E72 of the method. Such filtering is carried out, for example, by blocking illegitimate incoming streams at the input of the
На этапе E74, после того, как нелегитимные поступающие потоки были отфильтрованы, отдельные поступающие потоки рекомбинируют для формирования объекта, называемого фильтрованным агрегатом. И определяют ассоциированный с ним фильтрованный первый вектор измерений. Этот фильтрованный первый вектор измерений проецируют во все рассматриваемые подпространства. Более того, поскольку атакующие потоки уже были отфильтрованы (поэтому атакующие потоки не обнаруживаются в новом периоде времени), способ переходит к этапу E20, который был описан выше (и которой соответствует остальной части способа для случая, когда никакие атаки не были обнаружены).In step E74, after the illegitimate incoming streams have been filtered out, the individual incoming streams are recombined to form an entity called a filtered aggregate. And define the filtered first vector associated with it measurements. This filtered first vector measurements are projected into all considered subspaces. Moreover, since attack flows have already been filtered out (so attack flows are not detected in the new time period), the method proceeds to step E20, which was described above (and which corresponds to the rest of the method for the case where no attacks were detected).
Третий случай сравнения оценки отклонения от нормы с первой пороговой величиной и со второй пороговой величиной соответствует ситуации, когда оценка отклонения от нормы попадает в зону сомнений. Эта зона сомнений определена для величины оценки отклонения от нормы, находящейся между первой пороговой величиной и второй пороговой величиной . В этом случае невозможно непосредственно прийти к какому-либо заключению относительно присутствия или отсутствия атаки в течение нового периода времени. Тогда способ переходит к этапу E40.Third case of evaluation comparison deviations from the norm with the first threshold and with the second threshold value corresponds to the situation when the evaluation deviation from the norm falls into the zone of doubt. This zone of doubt is defined for the assessment value deviations from the norm, which is between the first threshold value and the second threshold . In this case, it is not possible to directly reach any conclusion regarding the presence or absence of an attack during the new period. time. The method then proceeds to step E40.
На этом этапе E40, для каждого агрегата, полученного на этапе E4 (для каждого периода времени в пределах первого обсервационного временного окна ), определяют второй вектор измерений. Этот второй вектор измерений характеризует агрегат, с которым он ассоциирован, посредством других характеристических параметров. Эти другие характеристические параметры отличаются от характеристических параметров, ассоциированных с первым вектором измерений.At this stage E40, for each aggregate obtained at stage E4 (for each period time within the first observational time window ), define the second vector measurements. This second vector measurement characterizes the aggregate with which it is associated through other characteristic parameters. These other characteristic parameters are different from the characteristic parameters associated with the first vector measurements.
Эти другие характеристические параметры в этот раз позволяют охарактеризовать не поступающие IP-потоки, а выполнение программного обеспечения, встроенного в устройство 2 для фильтрации атакующих потоков. Эти другие характеристические параметры позволяют, в частности, описать распределение команд и данных относительно различных уровней памяти, имеющихся в устройстве 2 для фильтрации атакующих потоков. Среди этих других характеристических параметров обычно различают, например, следующие: коэффициент попаданий, ассоциированный с доступом в кэш-память первого уровня (обычно измеряется коэффициентом попаданий в кэш-память «данных» и «команд» уровня-1), коэффициент попаданий, ассоциированный с доступом в кэш-память второго уровня (обычно измеряется коэффициентом попаданий в объединенную кэш-память уровня-2), коэффициент «непопаданий», ассоциированный с кэш-памятью третьего уровня, или даже пропорцию используемого объема памяти.These other characteristic parameters, this time, do not characterize the incoming IP streams, but the execution of the software built into the
Известно использование этих характеристических параметров для того, чтобы охарактеризовать выполнение программного обеспечения на каком-либо конкретном процессоре.It is known to use these characteristic parameters to characterize the execution of software on any particular processor.
В конце этапа E40, определяют по одному второму вектору измерений для каждого периода времени, вследствие чего получают множество вторых векторов измерений в первом обсервационном временном окне . Таким образом, например, для периода времени в 100 мс и первого обсервационного временного окна в 5 с, получают 50 вторых векторов измерений.At the end of step E40, one second vector is determined measurements for each period time, resulting in a set of second vectors measurements in the first observational time window . Thus, for example, for a time period of 100 ms and a first observational time window of 5 s, 50 second measurement vectors are obtained.
Эти вторые векторы измерений после этого используют при осуществлении способа на этапе E42, на котором анализируют векторы, что позволить устранить сомнения при обнаружении присутствия или отсутствия атаки. These second vectors the measurements are then used in the implementation of the method at step E42, in which the vectors are analyzed, which will allow to eliminate doubts when detecting the presence or absence of an attack.
Целью анализа таких вторых векторов измерений является обнаружение аномальных операций при выполнении программного обеспечения.The purpose of the analysis of such second vectors measurements is to detect anomalous operations while executing the software.
Таким же образом, как первый вектор измерений на этапе E6, вторые векторы измерений проецируют в двумерные подпространства. Можно также идентифицировать и определить по одной другой средней величине отклонения от нормы для каждого подпространства (по такому же принципу, как определение средней величины отклонения от нормы).In the same way as the first vector measurements in step E6, second vectors measurements are projected into two-dimensional subspaces. Can also be identified and determined from one other average deviations from the norm for each subspace (on the same principle as determining the average value deviations from the norm).
Когда предшествующие этапы способа идентифицируют сомнение относительно присутствия или отсутствия атаки в течение нового периода времени на основе анализа нового первого вектора , вычисляют другую оценку отклонения от нормы для нового второго вектора измерений, ассоциированного с новым периодом времени, с использованием способа, рассмотренного выше. When the preceding steps of the method identify doubt as to the presence or absence of an attack during the new period time based on the analysis of the new first vector , compute another estimate deviations from the norm for the new second vector measurements associated with the new period time using the method discussed above.
Эту другую оценку отклонения от нормы затем сравнивают с третьей пороговой величиной . Если другая оценка отклонения от нормы выше третьей пороговой величины , подтверждают присутствие атаки в течение нового периода времени.This other estimate deviations from the norm are then compared with the third threshold value . If another estimate deviations from the norm above the third threshold , confirm the presence of an attack during the new period time.
Как показано на Фиг. 2, после этого этапа E42, если обнаружено отсутствие атаки, способ переходит к этапу E20, рассмотренному выше. Если в конце анализа вторых векторов измерений было обнаружено присутствие атаки, способ переходит к этапу E60, рассмотренному выше.As shown in FIG. 2, after this step E42, if no attack is detected, the method proceeds to step E20 discussed above. If at the end of the analysis of the second measurement vectors the presence of an attack was detected, the method proceeds to step E60 discussed above.
Claims (55)
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR1853343 | 2018-04-17 |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2020137399A RU2020137399A (en) | 2022-05-17 |
RU2777839C2 true RU2777839C2 (en) | 2022-08-11 |
Family
ID=
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2480937C2 (en) * | 2011-04-19 | 2013-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of reducing false responses when detecting network attack |
US8544087B1 (en) * | 2001-12-14 | 2013-09-24 | The Trustess Of Columbia University In The City Of New York | Methods of unsupervised anomaly detection using a geometric framework |
US20170134401A1 (en) * | 2015-11-05 | 2017-05-11 | Radware, Ltd. | System and method for detecting abnormal traffic behavior using infinite decaying clusters |
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8544087B1 (en) * | 2001-12-14 | 2013-09-24 | The Trustess Of Columbia University In The City Of New York | Methods of unsupervised anomaly detection using a geometric framework |
RU2480937C2 (en) * | 2011-04-19 | 2013-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of reducing false responses when detecting network attack |
US20170134401A1 (en) * | 2015-11-05 | 2017-05-11 | Radware, Ltd. | System and method for detecting abnormal traffic behavior using infinite decaying clusters |
Non-Patent Citations (1)
Title |
---|
Pedro Casas et al, UNADA: Unsupervised Network Anomaly Detection Using Sub-space Outliers Ranking", NETWORKING 2011, 10th International IFIP TC 6 Networking Conference Valencia, Spain, May 9-13, 2011, Proceedings, Part I, c. 40-51, 01.10.2011, 11 c. * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9160761B2 (en) | Selection of a countermeasure | |
CN108289088B (en) | Abnormal flow detection system and method based on business model | |
KR101519623B1 (en) | DDoS detection apparatus and method, DDoS detection and prevention apparatus for reducing positive false | |
US8634717B2 (en) | DDoS attack detection and defense apparatus and method using packet data | |
US20200137112A1 (en) | Detection and mitigation solution using honeypots | |
Shamsolmoali et al. | Statistical-based filtering system against DDOS attacks in cloud computing | |
JP2019021294A (en) | SYSTEM AND METHOD OF DETERMINING DDoS ATTACKS | |
US20130139214A1 (en) | Multi dimensional attack decision system and method thereof | |
JP2004312064A (en) | Apparatus, method , and program for detecting network abnormity | |
KR102643547B1 (en) | How to filter attack flows targeting access modules | |
Irum et al. | DDoS detection and prevention in internet of things | |
WO2009064114A2 (en) | Protection method and system for distributed denial of service attack | |
RU2777839C2 (en) | Method for filtering attacking streams aimed at the communication module | |
US11895146B2 (en) | Infection-spreading attack detection system and method, and program | |
Hariri et al. | Quality-of-protection (QoP)-an online monitoring and self-protection mechanism | |
Li et al. | Detecting saturation attacks in software-defined networks | |
KR100803029B1 (en) | Method for cooperatively defending of ddos attack using statistical detection | |
JP4551316B2 (en) | Relay device and relay device program | |
Bojjagani et al. | Early DDoS Detection and Prevention with Traced-Back Blocking in SDN Environment. | |
KR101701310B1 (en) | DEVICE AND METHOD FOR DETECTING DDoS ATTACK | |
Mosharraf et al. | Using a History-based Profile to Detect and Respond to DDoS Attacks. | |
Elsayed et al. | Detection and Countermeasures of DDoS Attacks in Cloud Computing | |
JP2006325091A (en) | Network attach defense system | |
Song et al. | Collaborative defense mechanism using statistical detection method against DDoS attacks | |
Bou-Harb et al. | On detecting and clustering distributed cyber scanning |