RU2781822C1 - System and method for automatic assessment of quality of network traffic signatures - Google Patents

System and method for automatic assessment of quality of network traffic signatures Download PDF

Info

Publication number
RU2781822C1
RU2781822C1 RU2021112789A RU2021112789A RU2781822C1 RU 2781822 C1 RU2781822 C1 RU 2781822C1 RU 2021112789 A RU2021112789 A RU 2021112789A RU 2021112789 A RU2021112789 A RU 2021112789A RU 2781822 C1 RU2781822 C1 RU 2781822C1
Authority
RU
Russia
Prior art keywords
module
network traffic
signatures
automated
quality
Prior art date
Application number
RU2021112789A
Other languages
Russian (ru)
Inventor
Антон Владимирович Чемякин
Original Assignee
Общество С Ограниченной Ответственностью "Варити+"
Filing date
Publication date
Application filed by Общество С Ограниченной Ответственностью "Варити+" filed Critical Общество С Ограниченной Ответственностью "Варити+"
Priority to CN202280031796.XA priority Critical patent/CN117897702A/en
Priority to US18/558,039 priority patent/US20240250974A1/en
Priority to PCT/RU2022/050138 priority patent/WO2022231480A2/en
Priority to EP22796264.4A priority patent/EP4332804A2/en
Application granted granted Critical
Publication of RU2781822C1 publication Critical patent/RU2781822C1/en

Links

Images

Abstract

FIELD: information security.
SUBSTANCE: system for automatic assessment of the quality of network traffic signatures, including an event collection module, a crucial signature list, an analyzing module, and a final aggregation module, differs in that it includes a preaggregation module, which is made with the possibility of continuous processing of unprocessed data and resource-intensive calculations, wherein the event collection module is connected to the preaggregation module, which is connected to the analyzing module and/or the final aggregation module, wherein the analyzing module is also connected to the final aggregation module, and the crucial signature list is connected to the event collection module and to the final aggregation module.
EFFECT: increase in the accuracy of detection of malicious activity in a network.
20 cl, 10 dwg

Description

Область техникиTechnical field

[0001] Настоящее изобретение относится к системам и способам автоматической оценки качества сигнатур сетевого трафика. Изобретение является обратной связью систем фильтрации сетевого трафика и производит группировку сетевого трафика по характерным сигнатурам с последующей оценкой доли автоматизированной и неавтоматизированной активности в каждой группе на основании статического анализа сетевого трафика, что позволяет детектировать наличие вредоносной активности в сетевом трафике.[0001] The present invention relates to systems and methods for automatically evaluating the quality of network traffic signatures. The invention is a feedback system for filtering network traffic and groups network traffic according to characteristic signatures, followed by an assessment of the proportion of automated and non-automated activity in each group based on a static analysis of network traffic, which makes it possible to detect the presence of malicious activity in network traffic.

Уровень техникиState of the art

[0002] Системы оценки качества сигнатур сетевого трафика и детектирования вредоносной активности в сетевом трафике зачастую состоят из нескольких модулей, содержащихся на сервере, таких, как модуль сбора данных, модуль базы данных, модуль идентификаторов сигнатур и модуль агрегации данных. Такие системы являются неавтоматизированными, т.к. в них не предусмотрены модули, способные автоматически генерировать дополнительные сигнатуры на основе проведенного статистического анализа собранных данных о сетевом трафике.[0002] Systems for assessing the quality of network traffic signatures and detecting malicious activity in network traffic often consist of several modules contained on the server, such as a data collection module, a database module, a signature identifier module, and a data aggregation module. Such systems are non-automated, because they do not provide modules that can automatically generate additional signatures based on a statistical analysis of the collected network traffic data.

[0003] Известны также автоматизированные, включающие не только вышеперечисленные модули или их аналоги, но и дополнительные модули, отвечающие за статистический анализ собранных данных, генерацию сигнатур и репозицию сигнатур. Эти дополнительные модули позволяют сделать систему автоматизированной и, тем самым, более эффективной в детектировании автоматизированной активности. Такие автоматизированные системы также называют системами с обратной связью.[0003] Automated ones are also known, including not only the above modules or their analogues, but also additional modules responsible for statistical analysis of the collected data, signature generation and signature repositioning. These additional modules make it possible to make the system automated and thus more efficient in detecting automated activity. Such automated systems are also called feedback systems.

[0004] В патенте RU2740027C1 (опубл. 30.12.2020; МПК: G06F 21/50; G06F 21/60; H04L 29/06) описано изобретение, относящееся к способу и системе предотвращения вредоносных автоматизированных атак. Технический результат заключается в обеспечении предотвращения вредоносных атак. В способе оценивают пользователя на основании полученного запроса к компьютерной системе о сессии, выполняя сбор числовых и статистических метрик запроса, счет метрик, характеризующих пользователя на основании статистики его общения с ресурсом, определение метрик на основании общей статистики по ресурсу, показывающих отклонение сессии пользователя от медианной и средней сессии, на основании этих данных получают оценку легитимности запроса посредством статистической модели, на основании которой определяют пользователя к одной из категорий легитимного, подозрительного или бота, для легитимного пользователя предоставляют доступ к ресурсу, для бота - блокируют доступ к ресурсу, осуществляют дополнительную проверку в отношении подозрительного пользователя, при этом на основании анализа его поведения предлагают ему задачу с применением криптографических алгоритмов с использованием ассиметричного шифрования, в случае отсутствия верного решения задачи определяют его к категории бота и блокируют доступ к ресурсу, в случае верного решения определяют к категории легитимного пользователя и предоставляют доступ. Первым недостатком данной системы является ее неавтоматизированность. Система и способ детектируют вредоносную активность по предварительно заданным сигнатурам и не предусматривают дополнительную генерацию сигнатур. Также в системе и способе отсутствует этап, на котором производится статистический анализ сетевого трафика, позволяющий более эффективно детектировать вредоносную автоматизированную активность в сетевом трафике. Еще одним недостатком системы и способа является отсутствие предагрегации необработанных данных и наиболее ресурсоемких вычислений и, соответственно, модуля предагрегации данных, реализующего предагрегацию необработанных данных и наиболее ресурсоемких вычислений. В настоящих системе и способе предусмотрен этап, выполняемый модулем предагрегации, на котором непрерывно производится предагрегация необработанных данных и наиболее ресурсоемких вычислений на основе каскада материализованных представлений, что приводит к уменьшению потребности в вычислительных мощностях для финальной агрегации данных на 2-3 порядка в зависимости от типа агрегации.[0004] Patent RU2740027C1 (publ. 12/30/2020; IPC: G06F 21/50; G06F 21/60; H04L 29/06) describes an invention related to a method and system for preventing malicious automated attacks. The technical result is to ensure the prevention of malicious attacks. In the method, the user is evaluated based on the received request to the computer system about the session, collecting numerical and statistical metrics of the request, counting the metrics characterizing the user based on the statistics of his communication with the resource, determining the metrics based on the general statistics on the resource, showing the deviation of the user session from the median and the average session, based on these data, an assessment of the legitimacy of the request is obtained using a statistical model, on the basis of which the user is determined to one of the categories of legitimate, suspicious or bot, for a legitimate user, access to the resource is provided, for the bot, access to the resource is blocked, additional checks are performed in relation to a suspicious user, while based on the analysis of his behavior, they offer him a task using cryptographic algorithms using asymmetric encryption, in the absence of a correct solution to the problem, they classify him as a bot and block t access to the resource, in case of a correct decision, it is categorized as a legitimate user and granted access. The first disadvantage of this system is its non-automation. The system and method detect malicious activity based on predefined signatures and do not provide for additional generation of signatures. Also, the system and method lacks a stage at which statistical analysis of network traffic is performed, which makes it possible to more effectively detect malicious automated activity in network traffic. Another disadvantage of the system and method is the lack of pre-aggregation of raw data and the most resource-intensive calculations and, accordingly, the data pre-aggregation module that implements the pre-aggregation of raw data and the most resource-intensive calculations. The present system and method provides for a stage performed by the pre-aggregation module, at which the pre-aggregation of raw data and the most resource-intensive calculations are continuously performed based on a cascade of materialized views, which leads to a decrease in the need for computing power for the final aggregation of data by 2-3 orders of magnitude, depending on the type aggregation.

[0005] В патенте RU2538292C1 (опубл. 27.01.2015; МПК: G06F 21/55) описывается изобретение, относящееся к вычислительной технике. Технический результат заключается в обнаружении компьютерных атак разных видов, комбинированных одновременных атак разных видов и определении видов атак. Способ обнаружения компьютерных атак на сетевую компьютерную систему, включающую, по крайней мере, один компьютер, подключенный к сети и имеющий установленную операционную систему и установленное прикладное программное обеспечение, включающее систему анализа трафика, в котором для анализа получаемых из сети пакетов выбираются определенные параметры и вычисляются их значения, которые затем сравниваются с эталонными значениями, а факт наличия одиночной или комбинированной одновременной атаки и определение видов атак определяется по сочетанию установленных условий для параметров. Для обработки получаемых из сети пакетов данных используется система анализа трафика, позволяющая вычислять параметры трафика в реальном масштабе времени. Первым недостатком данного способа является то, что детектирование вредоносной автоматизированной активности производится по предварительно заданным сигнатурам, соответственно, система является неавтоматизированной и детектирует вредоносную автоматизированную активность менее эффективно, чем автоматизированные аналоги, т.к. может детектировать лишь фиксированную часть вредоносной автоматизированной активности в сетевом трафике, которая попадает под предварительно заданные сигнатуры. Второй недостаток, связанный с первым недостатком, заключается в том, что в способе не предусмотрена генерация новых сигнатур. И последним недостатком является отсутствие предагрегации сырых данных и наиболее ресурсоемких вычислений и, соответственно, модуля предагрегации данных, реализующего предагрегацию сырых данных и наиболее ресурсоемких. В настоящих системе и способе предусмотрен этап, выполняемый модулем предагрегации, на котором непрерывно производится предагрегация сырых данных и наиболее ресурсоемких вычислений на основе каскада материализованных представлений, что приводит к уменьшению потребности в вычислительных мощностях для финальной агрегации данных на 2-3 порядка в зависимости от типа агрегации.[0005] Patent RU2538292C1 (publ. 01/27/2015; IPC: G06F 21/55) describes an invention related to computer technology. The technical result consists in detecting computer attacks of different types, combined simultaneous attacks of different types and determining the types of attacks. A method for detecting computer attacks on a network computer system, including at least one computer connected to the network and having an installed operating system and installed application software, including a traffic analysis system, in which certain parameters are selected to analyze packets received from the network and calculated their values, which are then compared with the reference values, and the fact of the presence of a single or combined simultaneous attack and the definition of types of attacks is determined by a combination of the established conditions for the parameters. To process data packets received from the network, a traffic analysis system is used, which allows calculating traffic parameters in real time. The first disadvantage of this method is that the detection of malicious automated activity is carried out according to predefined signatures, respectively, the system is non-automated and detects malicious automated activity less efficiently than automated counterparts, because can detect only a fixed portion of malicious automated activity in network traffic that falls under predefined signatures. The second disadvantage, related to the first disadvantage, is that the method does not provide for the generation of new signatures. And the last disadvantage is the lack of pre-aggregation of raw data and the most resource-intensive calculations and, accordingly, the data pre-aggregation module that implements the pre-aggregation of raw data and the most resource-intensive ones. The present system and method provides for a stage performed by the pre-aggregation module, at which the raw data and the most resource-intensive calculations are continuously pre-aggregated based on a cascade of materialized views, which leads to a decrease in the need for computing power for the final data aggregation by 2-3 orders of magnitude, depending on the type aggregation.

[0006] В патенте RU2722693C1 (опубл. 03.06.2020; МПК: G06F 21/56) предлагается компьютерно-реализуемый способ выявления инфраструктуры вредоносной программы или киберзлоумышленника, в котором: получают запрос, содержащий элемент инфраструктуры и тэг о принадлежности данного элемента вредоносной программе или киберзлоумышленнику; извлекают из базы данных параметр полученного элемента инфраструктуры, дополнительный элемент инфраструктуры, используемый той же вредоносной программой, что и полученный элемент инфраструктуры, и параметр дополнительного элемента инфраструктуры; анализируют полученный элемент инфраструктуры и взаимосвязанный с ним параметр и дополнительный элемент инфраструктуры и взаимосвязанный с ним параметр; на основе анализа выявляют статистические связи между параметром полученного элемента инфраструктуры и параметром дополнительного элемента инфраструктуры; формируют правила поиска новых элементов инфраструктуры на основании выявленной статистической связи и извлекают из базы данных новые элементы инфраструктуры; присваивают новым элементам тэги, соответствующие определенным вредоносным программам или киберзлоумышленникам, и сохраняют результаты в базе данных. Технический результат заключается в повышении эффективности выявления компьютерных атак. Недостатком данных системы и способа является отсутствие предагрегации сырых данных и наиболее ресурсоемких вычислений и, соответственно, модуля предагрегации данных, реализующего предагрегацию сырых данных и наиболее ресурсоемких вычислений. В настоящих системе и способе предусмотрен этап, выполняемый модулем предагрегации, на котором непрерывно производится предагрегация сырых данных и наиболее ресурсоемких вычислений на основе каскада материализованных представлений, что приводит к уменьшению потребности в вычислительных мощностях для финальной агрегации данных на 2-3 порядка в зависимости от типа агрегации.[0006] Patent RU2722693C1 (published on 06/03/2020; IPC: G06F 21/56) proposes a computer-implemented method for detecting the infrastructure of a malicious program or cyber attacker, in which: a request is received containing an infrastructure element and a tag about the belonging of this element to a malicious program or cyber attacker; extracting from the database a parameter of the acquired infrastructure element, an additional infrastructure element used by the same malware as the received infrastructure element, and a parameter of the additional infrastructure element; analyzing the received infrastructure element and its associated parameter and the additional infrastructure element and its associated parameter; based on the analysis, statistical relationships are identified between the parameter of the received infrastructure element and the parameter of the additional infrastructure element; forming rules for searching for new infrastructure elements based on the identified statistical relationship and extracting new infrastructure elements from the database; assign tags to the new elements corresponding to certain malware or cyber-intruders, and store the results in a database. The technical result consists in increasing the efficiency of detecting computer attacks. The disadvantage of the data of the system and method is the lack of pre-aggregation of raw data and the most resource-intensive calculations and, accordingly, the data pre-aggregation module that implements the pre-aggregation of raw data and the most resource-intensive calculations. The present system and method provides for a stage performed by the pre-aggregation module, at which the raw data and the most resource-intensive calculations are continuously pre-aggregated based on a cascade of materialized views, which leads to a decrease in the need for computing power for the final data aggregation by 2-3 orders of magnitude, depending on the type aggregation.

[0007] В патенте US7565693B2 (опубл. 21.07.2009; МПК: G06F 11/00) описывает изобретение, относящееся к системе обнаружения и предотвращения сетевых вторжений. Система включает в себя: детектирующее устройство на основе сигнатуры; устройство обнаружения аномального поведения; и новое устройство для создания и проверки сигнатуры, расположенное между устройством обнаружения на основе сигнатуры и устройством обнаружения на основе аномального поведения, при этом, если устройство обнаружения на основе аномального поведения обнаруживает пакеты, подозрительные на сетевую атаку, новое устройство создания и проверки сигнатуры собирает и выполняет поиск, обнаруживает подозрительные пакеты для общей информации, а затем создает новую сигнатуру на основе найденной общей информации и в то же время проверяет, применима ли созданная новая сигнатура к устройству обнаружения на основе сигнатуры, а затем регистрирует созданную новую сигнатуру к устройству обнаружения на основе сигнатуры, если определено, что созданная новая сигнатура применима. Недостатком данных системы и способа присутствует этап детектирования автоматизированной активности на основе выявления аномального поведения в трафике, выполняемый соответствующим модулем. Он позволяет системе обнаружения и предотвращения вторжений предварительно идентифицировать информацию о нормальном поведении обычного пользователя и отслеживать аномальные сетевые операции для поиска сетевых вторжений и т.п. в случае, когда аномальная сетевая работа противоречит нормальному поведению. генерируется на основе информации о нормальном поведении. Однако метод обнаружения, основанный на аномальном поведении, имеет недостаток в том, что нормальный пользователь ошибочно определяется как вторжение в сеть. Кроме того, метод обнаружения на основе аномального поведения имеет недостаток в том, что, поскольку для обнаружения вторжения в сеть требуется так много времени, в отличие от метода обнаружения на основе сигнатур, сетевое вторжение не может быть защищено. В исследуемом способе при помощи статистического анализа рассчитываются граничные значения характерной доли трафика для каждой группы сигнатур. Каждая группа сигнатур может встречаться во множестве пар подсеть-сервис. В способе рассчитывается доля трафика в каждой такой паре для каждой группы, 25-ый и 75-ый перцентили. Эти данные позволяют рассчитывать ожидаемую долю трафика каждой группы. А далее сравнивать подозрительную активность со статистически найденной средней пользовательской активностью. Этот подход позволяет более точно и быстро детектировать новые автоматизированные атаки, которые до этого не улавливались системой и способом, т.к. отсутствует привязка к предыдущим атакам. Вторым недостатком данных системы и способа является отсутствие предагрегации необработанных данных и наиболее ресурсоемких вычислений и, соотсветсвенно, модуля предагрегации данных, реализующего предагрегацию необработанных данных и наиболее ресурсоемких вычислений. В настоящих системе и способе предусмотрен этап, выполняемый модулем предагрегации, на котором непрерывно производится предагрегация необработанных данных и наиболее ресурсоемких вычислений на основе каскада материализованных представлений, что приводит к уменьшению потребности в вычислительных мощностях для финальной агрегации данных на 2-3 порядка в зависимости от типа агрегации.[0007] US7565693B2 (publ. 21.07.2009; IPC: G06F 11/00) describes an invention related to a network intrusion detection and prevention system. The system includes: a signature-based detection device; abnormal behavior detection device; and a new signature generation and verification device disposed between the signature detection device and the abnormal behavior detection device, wherein if the abnormal behavior detection device detects packets suspected of a network attack, the new signature generation and verification device collects and searches, detects suspicious packets for common information, and then creates a new signature based on the found common information, and at the same time checks whether the created new signature is applicable to the signature-based detection device, and then registers the created new signature to the detection device based on signatures if it is determined that the generated new signature is applicable. The disadvantage of the data of the system and method is the stage of detecting automated activity based on the detection of anomalous behavior in traffic, performed by the corresponding module. It allows the intrusion detection and prevention system to pre-identify information about the normal behavior of a normal user and monitor abnormal network operations to search for network intrusions and the like. in the case where anomalous network activity conflicts with normal behavior. generated based on information about normal behavior. However, the detection method based on anomalous behavior has the disadvantage that a normal user is erroneously identified as a network intrusion. In addition, the abnormal behavior detection method has a disadvantage in that because it takes so long to detect a network intrusion, unlike the signature-based detection method, a network intrusion cannot be protected. In the method under study, using statistical analysis, the boundary values of the characteristic share of traffic for each group of signatures are calculated. Each signature group may occur in multiple subnet-service pairs. The method calculates the share of traffic in each such pair for each group, the 25th and 75th percentiles. This data allows you to calculate the expected share of traffic for each group. And then compare the suspicious activity with the statistically found average user activity. This approach makes it possible to more accurately and quickly detect new automated attacks that were previously not caught by the system and method, since there is no link to previous attacks. The second disadvantage of the system and method data is the lack of pre-aggregation of raw data and the most resource-intensive calculations and, accordingly, the data pre-aggregation module that implements the pre-aggregation of raw data and the most resource-intensive calculations. The present system and method provides for a stage performed by the pre-aggregation module, at which the pre-aggregation of raw data and the most resource-intensive calculations are continuously performed based on a cascade of materialized views, which leads to a decrease in the need for computing power for the final aggregation of data by 2-3 orders of magnitude, depending on the type aggregation.

[0008] Наиболее близким аналогом является патент RU2634209C1 (опубл. 24.10.2017; МПК: G06F 21/35), в котором описано изобретение, относящееся к области обнаружения компьютерных атак. Техническим результатом является повышение эффективности выявления компьютерных атак. Способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью, выполняемый на сервере, включает, по крайней мере, следующие шаги: получают, по крайней мере, одно событие из базы данных событий, сформированной данными, полученными от, по крайней мере, одного сенсора; анализируют полученное, по крайней мере, одно событие на принадлежность к классу взаимодействия с центрами управления вредоносных программ; извлекают из, по крайней мере, одного вышеупомянутого события, относящегося к классу взаимодействия с центрами управления вредоносных программ, по крайней мере, один признак, используемый для формирования решающих правил; формируют решающие правила с использованием, по крайней мере, одного вышеупомянутого извлеченного признака; сохраняют сформированные решающие правила и предоставляют возможность получения обновления решающих правил для, по крайней мере, одного сенсора; сенсоры циклично проверяют доступность обновлений на центральном узле и при наличии обновлений получают их для использования, при этом в случае получения обновлений на сенсорах срабатывает триггер, осуществляющий перезагрузку решающих правил. Отличием и недостатком данных системы и способа является отсутствие предагрегации необработанных данных и наиболее ресурсоемких вычислений и, соответственно, модуля предагрегации данных, реализующего предагрегацию необработанных данных и наиболее ресурсоемких вычислений. В настоящих системе и способе предусмотрен этап, выполняемый модулем предагрегации, на котором непрерывно производится предагрегация необработанных данных и наиболее ресурсоемких вычислений на основе каскада материализованных представлений, что приводит к уменьшению потребности в вычислительных мощностях для финальной агрегации данных на 2-3 порядка в зависимости от типа агрегации.[0008] The closest analogue is patent RU2634209C1 (publ. 10/24/2017; IPC: G06F 21/35), which describes an invention related to the field of detecting computer attacks. The technical result is to increase the efficiency of detecting computer attacks. A method for auto-generation of decision rules for feedback intrusion detection systems, performed on a server, includes at least the following steps: receive at least one event from an event database formed by data received from at least one sensor ; analyzing the received at least one event for belonging to the class of interaction with malware control centers; extracting from at least one of the above events related to the class of interaction with malware control centers, at least one feature used to generate decision rules; generating decision rules using at least one of the above extracted features; storing the generated decision rules and providing an opportunity to obtain an update of the decision rules for at least one sensor; sensors cyclically check the availability of updates on the central node and, if updates are available, receive them for use; in this case, if updates are received on the sensors, a trigger fires that reloads the decision rules. The difference and disadvantage of the data of the system and method is the lack of pre-aggregation of raw data and the most resource-intensive calculations and, accordingly, the data pre-aggregation module that implements the pre-aggregation of raw data and the most resource-intensive calculations. The present system and method provides for a stage performed by the pre-aggregation module, at which the pre-aggregation of raw data and the most resource-intensive calculations are continuously performed based on a cascade of materialized views, which leads to a decrease in the need for computing power for the final aggregation of data by 2-3 orders of magnitude, depending on the type aggregation.

Сущность изобретенияThe essence of the invention

[0009] Задачей настоящего изобретения является создание и разработка системы и способа автоматической оценки качества сигнатур сетевого трафика, обеспечивающей высокоэффективное детектирование автоматизированной активности в сетевом трафике и уменьшение потребности в вычислительных мощностях для финальной агрегации данных.[0009] The objective of the present invention is to create and develop a system and method for automatically assessing the quality of network traffic signatures, providing highly efficient detection of automated activity in network traffic and reducing the need for computing power for the final data aggregation.

[0010] Указанная задача достигается благодаря такому техническому результату, как высокая эффективность детектирования автоматизированной активности, возможность обратной связи и обеспечение уменьшения потребности в вычислительных мощностях для финальной агрегации данных. Технический результат достигается в том числе, но не ограничиваясь, благодаря:[0010] This task is achieved due to such a technical result as a high efficiency of detection of automated activity, the possibility of feedback and reducing the need for computing power for the final aggregation of data. The technical result is achieved including, but not limited to, due to:

• использованию статистического анализа для автоматизации системы;• use of statistical analysis for system automation;

• использованию статистического анализа для детектирования наличия вредоносной автоматизированной активности в сети;• using statistical analysis to detect the presence of malicious automated activity on the network;

• использованию статистического анализа для формирования и обновления решающих сигнатур;• the use of statistical analysis for the formation and updating of decisive signatures;

• использованию конвейера предагрегации необработанных данных и наиболее ресурсоемких вычислений;• use of the raw data pre-aggregation pipeline and the most resource-intensive calculations;

• наличию этапа финальной агрегации данных с группировкой и оценкой пропорциональности автоматизированной и неавтоматизированной активности.• the presence of a stage of final aggregation of data with grouping and assessment of the proportionality of automated and non-automated activity.

[0011] Более полно, технический результат достигается системой автоматической оценки качества сигнатур сетевого трафика, включающей модуль сбора событий, список решающих сигнатур, анализирующий модуль и модуль финальной агрегации, и отличающейся тем, что включает модуль предагрегации, который выполнен с возможностью непрерывной обработки необработанных данных и наиболее ресурсоемких вычислений, причем модуль сбора событий подключен к модулю предагрегации, который подключён к анализирующему модулю и/или модулю финальной агрегации, причем анализирующий модуль также подключен к модулю финальной агрегации, а список решающих сигнатур подключен к модулю сбора событий и к модулю финальной агрегации.[0011] More fully, the technical result is achieved by a system for automatically assessing the quality of network traffic signatures, including an event collection module, a list of decisive signatures, an analyzing module and a final aggregation module, and characterized in that it includes a pre-aggregation module that is configured to continuously process raw data and the most resource-intensive calculations, moreover, the event collection module is connected to the pre-aggregation module, which is connected to the analyzing module and/or the final aggregation module, and the analyzing module is also connected to the final aggregation module, and the list of decision signatures is connected to the event collection module and to the final aggregation module .

[0012] При этом модуль сбора событий необходим для сбора событий в сетевом трафике и их группировки по сигнатурам. Список решающих сигнатур необходим для хранения решающих сигнатур, по которым производится детектирование автоматизированной активности в сетевом трафике. Анализирующий модуль необходим для вычисления характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, а также формирования граничных значений и решающих сигнатур с применением методов статистического анализа. Модуль финальной агрегации необходим для оценки качества трафика для каждой группы параметров, например, подсеть-источник, сервис-приемник, TCP/IP-сигнатура, SSL/TLS-сигнатура, HTTP-сигнатура. Модуль предагрегации данных необходим для формирования непрерывного конвейера предагрегации необработанных данных и наиболее ресурсоемких вычислений, что значительно увеличивает быстродейственность системы, а также уменьшает потребности в вычислительных мощностях для финальной агрегации данных.[0012] In this case, the event collection module is needed to collect events in network traffic and group them by signatures. The list of decision signatures is needed to store the decision signatures that are used to detect automated activity in network traffic. The analyzing module is required to calculate the characteristic share of automated and non-automated activity in network traffic, as well as the formation of boundary values and decisive signatures using statistical analysis methods. The final aggregation module is required to evaluate the quality of traffic for each group of parameters, for example, source subnet, destination service, TCP/IP signature, SSL/TLS signature, HTTP signature. The data pre-aggregation module is required to form a continuous raw data pre-aggregation pipeline and the most resource-intensive calculations, which significantly increases the system performance and reduces the need for computing power for the final data aggregation.

[0013] Дополнительно модуль сбора событий может быть выполнен с возможностью сбора событий в сетевом трафике, отправленном с по крайней мере одного компьютера, компьютерной системы и/или сервера, выполненных с возможностью подключения к сети.[0013] Additionally, the event collection module may be configured to collect events in network traffic sent from at least one network-capable computer, computer system, and/or server.

[0014] Модуль сбора событий также может дополнительно включать модуль группировки для группировки событий по набору сигнатур.[0014] The event collection module may also further include a grouping module for grouping events by a set of signatures.

[0015] Анализирующий модуль может дополнительно включать в себя список граничных значений и модуль репозитория граничных значений, выполненный с возможностью автоматического обновления списка граничных значений на основе непрерывно поступающих новых данных.[0015] The analysis module may further include a list of boundary values and a boundary value repository module configured to automatically update the list of boundary values based on continuously new data.

[0016] Также анализирующий модуль может дополнительно включать модуль оценки, который оценивает наличие статистических выбросов. Это позволяет более точно определять граничные значения для всех событий с учетом погрешностей вычислений.[0016] Also, the analysis module may further include an evaluation module that evaluates the presence of statistical outliers. This allows you to more accurately determine the boundary values for all events, taking into account calculation errors.

[0017] Модуль финальной агрегации может включать в себя модуль репозитория сигнатур, выполненный с возможностью обновления списка решающих сигнатур. Это обеспечивает возможность более точного определения автоматизированной вредоносной активности в сети, т.к. происходит статистическая оценка неизвестных и формально-легитимных сигнатур, решающих на основе постоянно обновляющихся данных.[0017] The final aggregation module may include a signature repository module configured to update the decision signature list. This provides the ability to more accurately identify automated malicious activity on the network, as there is a statistical evaluation of unknown and formally legitimate signatures, solving on the basis of constantly updated data.

[0018] Также заявленный технический результат достигается способом автоматической оценки качества сигнатур сетевого трафика, реализованным программно и циклично на сервере, по которому собирают события в сетевом трафике при помощи модуля сбора событий, производят предагрегацию необработанных данных и наиболее ресурсоемких вычислений при помощи модуля предагрегации, рассчитывают, на основании собранных событий, граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике для каждого из событий при помощи анализирующего модуля и производят финальную агрегацию всех событий, собранных в сетевом трафике, при помощи модуля финальной агрегации.[0018] Also, the claimed technical result is achieved by a method for automatically assessing the quality of network traffic signatures, implemented programmatically and cyclically on the server, which collects events in network traffic using the event collection module, pre-aggregates raw data and the most resource-intensive calculations using the pre-aggregation module, calculates , based on the collected events, the boundary values of the characteristic share of automated and non-automated activity in network traffic for each of the events using the analyzing module and perform the final aggregation of all events collected in network traffic using the final aggregation module.

[0019] При этом этап, на котором собирают события в сетевом трафике необходим для формирования базы данных событий сетевого трафика, среди которых будут проверять наличие автоматизированной вредоносной активности. Этап, на котором производят предагрегацию необработанных данных и наиболее ресурсоемких вычислений необходим для увеличения быстродейственности способа, а также уменьшения потребности в вычислительных мощностях для этапа финальной агрегации данных. Этап, на котором рассчитывают граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике необходим для формирования граничных значений и определения доли вредоносной автоматизированной активности в сетевом трафике с использованием методов статистического анализа. Этап, на котором производится финальная агрегация всех событий, необходим для формирования решающих сигнатур.[0019] At the same time, the stage at which network traffic events are collected is necessary to form a database of network traffic events, among which they will check for automated malicious activity. The stage at which the raw data and the most resource-intensive calculations are pre-aggregated is necessary to increase the speed of the method, as well as reduce the need for computing power for the final data aggregation stage. The stage at which the boundary values of the characteristic share of automated and non-automated activity in network traffic are calculated is necessary to form the boundary values and determine the share of malicious automated activity in network traffic using statistical analysis methods. The stage at which the final aggregation of all events is performed is necessary for the formation of decisive signatures.

[0020] Дополнительно после этапа, на котором собирают события в сетевом трафике, может производиться этап, на котором группируют события по сигнатурам. Это позволяет удобнее сравнивать сигнатуры со списком решающих сигнатур и формировать новые решающие сигнатуры.[0020] Additionally, after the step at which events are collected in network traffic, a step may be performed at which events are grouped by signatures. This makes it easier to compare signatures with a list of decision signatures and generate new decision signatures.

[0021] Дополнительно после этапа, на котором рассчитывают, на основании собранных событий, граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, могут производить автоматическое обновление списка граничных значений для каждого из событий при помощи модуля репозитория граничных значений. Это делает систему более эффективной в детектировании и определении вредоносной автоматизированной активности.[0021] Additionally, after the step of calculating, on the basis of the collected events, the threshold values of the characteristic proportion of automated and manual activity in network traffic, you can automatically update the list of threshold values for each of the events using the boundary value repository module. This makes the system more efficient in detecting and identifying malicious automated activity.

[0022] Дополнительно после этапа, на котором рассчитывают на основании собранных событий, граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, могут производить оценку наличия статистических выбросов для каждого из событий при помощи модуля оценки. Это позволяет более точно определять граничные значения для каждого из событий с учетом погрешностей вычислений.[0022] Additionally, after the step of calculating, based on the collected events, the threshold values of the characteristic proportion of automated and manual activity in network traffic, can evaluate the presence of statistical outliers for each of the events using the estimation module. This makes it possible to more accurately determine the boundary values for each of the events, taking into account the calculation errors.

[0023] На этапе, на котором производят предагрегацию необработанных данных при помощи модуля предагрегации, могут дополнительно записывать необработанные данные и производить ресурсоемкие вычисления с записанными необработанными данными, что увеличивает быстродейственность способа, а также уменьшает потребности в вычислительных мощностях для этапа финальной агрегации данных.[0023] At the stage at which raw data is pre-aggregated using the pre-aggregation module, raw data can be additionally recorded and resource-intensive calculations can be performed with the recorded raw data, which increases the speed of the method, and also reduces the need for computing power for the final data aggregation stage.

[0024] На этапе, на котором производят предагрегацию необработанных данных, после этапа, на котором производят ресурсоемкие вычисления с записанными необработанными данными могут дополнительно производить при помощи модуля предагрегации по крайней мере отправку предобработанных данных в анализирующих модуль и/или отправку предобработанных данных в модуль финальной агрегации, что увеличивает быстродейственность способа, а также уменьшает потребности в вычислительных мощностях для этапа финальной агрегации данных и этапа статистического анализа.[0024] At the stage at which the raw data is pre-aggregated, after the stage at which resource-intensive calculations are performed with the recorded raw data, it can additionally be performed using the pre-aggregation module at least sending the pre-processed data to the analyzing module and / or sending the pre-processed data to the final module aggregation, which increases the speed of the method, and also reduces the need for computing power for the stage of the final data aggregation and the stage of statistical analysis.

[0025] Дополнительно на этапе, на котором производят финальную агрегацию всех событий, могут производить сопоставление рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике. Это позволяет оценить наличие потенциальной вредоносной активности в сетевом трафике.[0025] Additionally, at the stage at which the final aggregation of all events is performed, the calculated boundary values of the characteristic share of automated and non-automated activity in network traffic can be compared. This allows you to assess the presence of potential malicious activity in network traffic.

[0026] Дополнительно на этапе, на котором производят финальную агрегацию всех событий, могут производить сопоставление рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике с граничными значениями характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, рассчитанными на по крайней мере одном предыдущем цикле. Это позволяет сравнить новые полученные данные с данными, полученными на предыдущих циклах, что, в свою очередь,[0026] Additionally, at the stage at which the final aggregation of all events is performed, the calculated boundary values of the characteristic share of automated and non-automated activity in network traffic can be compared with the boundary values of the characteristic share of automated and non-automated activity in network traffic calculated for at least one previous cycle. This allows you to compare the new received data with the data obtained in previous cycles, which, in turn,

дает более точную информацию о наличии или отсутствии вредоносной активности в сетевом трафике.provides more accurate information about the presence or absence of malicious activity in network traffic.

[0027] Дополнительно на этапе, на котором производят финальную агрегацию всех событий, могут производить оценку, на основании рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, отношения автоматизированной и неавтоматизированной активности в сетевом трафике. Оценка позволяет понять какова доля автоматизированной активности в сетевом трафике и проверить не выходит ли она за рамки нормы, что также позволяет отследить наличие или отсутствие вредоносной активности в сетевом трафике.[0027] Additionally, at the stage at which the final aggregation of all events is performed, an assessment can be made, based on the calculated boundary values of the characteristic share of automated and non-automated activity in network traffic, the ratio of automated and non-automated activity in network traffic. The assessment allows you to understand what is the share of automated activity in network traffic and check if it is out of the norm, which also allows you to track the presence or absence of malicious activity in network traffic.

[0028] Дополнительно на этапе, на котором производят финальную агрегацию всех событий, могут производить формирование решающих сигнатур. Это позволяет обозначить найденную вредоносную сетевую активность.[0028] Additionally, at the stage at which the final aggregation of all events is performed, the formation of decisive signatures can be performed. This allows you to identify the detected malicious network activity.

[0029] Дополнительно на этапе, на котором производят финальную агрегацию всех событий, могут производить сохранение сформированных решающих сигнатур в список решающих сигнатур, что позволяет запомнить найденную вредоносную сетевую активность.[0029] Additionally, at the stage at which the final aggregation of all events is performed, the generated decisive signatures can be saved to the list of decisive signatures, which allows you to remember the found malicious network activity.

[0030] Дополнительно на этапе, на котором производят финальную агрегацию всех событий, могут производить обновление списка решающих сигнатур сформированными решающими сигнатурами при помощи модуля репозитория сигнатур, включающегося в модуль финальной агрегации. Это позволяет автоматически удалять и сохранять новые сформированные решающие сигнатуры, которые впоследствии будут полезны для детектирования вредоносной сетевой активности.[0030] Additionally, at the stage at which the final aggregation of all events is performed, the decision signature list can be updated with the generated decision signatures using the signature repository module included in the final aggregation module. This allows you to automatically delete and save newly generated decisive signatures, which will later be useful for detecting malicious network activity.

[0031] Также процесс финальной агрегации может поэтапно осуществляться следующим образом. Сначала могут производить сопоставление рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, затем сопоставление рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике с граничными значениями характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, рассчитанными на по крайней мере одном предыдущем цикле. После чего может производиться оценка, на основании рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, отношения автоматизированной и неавтоматизированной активности в сетевом трафике. На основании этой оценки могу формировать решающие сигнатуры, сохранять решающие сигнатуры в список решающих сигнатур и/или обновлять список решающих сигнатур сформированными решающими сигнатурами при помощи модуля репозитория сигнатур.[0031] Also, the final aggregation process can be carried out step by step as follows. First, they can compare the calculated boundary values of the characteristic share of automated and manual activity in network traffic, then compare the calculated boundary values of the characteristic share of automated and manual activity in network traffic with the boundary values of the characteristic share of automated and manual activity in network traffic, calculated on at least one previous cycle. After that, an assessment can be made, based on the calculated boundary values of the characteristic share of automated and non-automated activity in network traffic, the ratio of automated and non-automated activity in network traffic. Based on this evaluation, I can generate decision signatures, store decision signatures in the decision signature list, and/or update the decision signature list with generated decision signatures using the signature repository module.

[0032] Дополнительно любой из вышеописанных этапов может производиться отдельно для каждой из сформированных групп событий по сигнатурам для удобства сравнения сигнатур со списком решающих сигнатур и формирования новых решающих сигнатур.[0032] In addition, any of the above steps can be performed separately for each of the generated groups of events by signatures for the convenience of comparing signatures with a list of decisive signatures and generating new decisive signatures.

Описание чертежейDescription of drawings

[0033] Объект притязаний по настоящей заявке описан по пунктам и четко заявлен в формуле изобретения. Упомянутые выше задачи, признаки и преимущества изобретения очевидны и нижеследующего подробного описания, в сочетании с прилагаемыми чертежами, на которых показано:[0033] The subject matter of the present application is described point by point and clearly stated in the claims. The objects, features and advantages of the invention mentioned above are apparent from the following detailed description, in conjunction with the accompanying drawings, which show:

[0034] На Фиг. 1А представлен схематичный вид системы автоматической оценки качества сигнатур сетевого трафика.[0034] In FIG. 1A is a schematic view of a system for automatically evaluating the quality of network traffic signatures.

[0035] На Фиг. 1Б представлен схематичный вид системы автоматической оценки качества сигнатур сетевого трафика с дополнительными элементами.[0035] In FIG. 1B shows a schematic view of a system for automatic evaluation of the quality of network traffic signatures with additional elements.

[0036] На Фиг. 2А представлена блок-схема, описывающая один из вариантов реализации способа автоматической оценки качества сигнатур сетевого трафика.[0036] In FIG. 2A is a block diagram describing one embodiment of a method for automatically evaluating the quality of network traffic signatures.

[0037] На Фиг. 2Б представлена блок-схема, описывающая один из вариантов реализации способа автоматической оценки качества сигнатур сетевого трафика с дополнительным этапом группировки событий.[0037] In FIG. 2B is a block diagram describing one of the options for implementing a method for automatically assessing the quality of network traffic signatures with an additional step of grouping events.

[0038] На Фиг. 2В представлена блок-схема, описывающая один из вариантов реализации способа автоматической оценки качества сигнатур сетевого трафика с дополнительным этапом автоматического обновления списка граничных значений.[0038] In FIG. 2B is a flowchart describing one embodiment of a method for automatically evaluating the quality of network traffic signatures with an additional step of automatically updating the list of boundary values.

[0039] На Фиг. 2Г представлена блок-схема, описывающая один из вариантов реализации способа автоматической оценки качества сигнатур сетевого трафика с дополнительным этапом оценки наличия статистических выбросов.[0039] In FIG. 2D shows a block diagram describing one of the options for implementing a method for automatically assessing the quality of network traffic signatures with an additional step of assessing the presence of statistical outliers.

[0040] На Фиг. 2Д представлена блок-схема, описывающая один из вариантов реализации способа автоматической оценки качества сигнатур сетевого трафика с вариантом процесса предагрегации необработанных данных.[0040] In FIG. 2D shows a block diagram describing one of the options for implementing a method for automatically assessing the quality of network traffic signatures with a variant of the raw data pre-aggregation process.

[0041] На Фиг. 2Е представлена блок-схема, описывающая один из вариантов реализации способа автоматической оценки качества сигнатур сетевого трафика с дополнительным вариантом последовательности обработки данных.[0041] In FIG. 2E is a flowchart describing one implementation of a method for automatically evaluating the quality of network traffic signatures with an additional data processing sequencing option.

[0042] На Фиг. 2Ё представлена блок-схема, описывающая один из вариантов реализации способа автоматической оценки качества сигнатур сетевого трафика с вариантами реализации процесса финальной агрегации.[0042] In FIG. 2Ё shows a block diagram describing one of the options for implementing the method for automatically assessing the quality of network traffic signatures with options for implementing the final aggregation process.

[0043] На Фиг. 2Ж представлена блок-схема, описывающая один из вариантов реализации способа автоматической оценки качества сигнатур сетевого трафика, объединяющий все вышеупомянутые варианты.[0043] In FIG. 2G is a flowchart describing one implementation of a method for automatically evaluating the quality of network traffic signatures, combining all of the above options.

Подробное описаниеDetailed description

[0044] В приведенном ниже подробном описании реализации изобретения приведены многочисленные детали реализации, призванные обеспечить отчетливое понимание настоящего изобретения. Однако, квалифицированному в предметной области специалисту очевидно, каким образом можно использовать настоящее изобретение, как с данными деталями реализации, так и без них. В других случаях, хорошо известные методы, процедуры и компоненты не описаны подробно, чтобы не затруднять излишнее понимание особенностей настоящего изобретения.[0044] In the following detailed description of the invention, numerous implementation details are provided to provide a clear understanding of the present invention. However, it will be obvious to one skilled in the art how the present invention can be used, both with and without these implementation details. In other cases, well-known methods, procedures and components are not described in detail so as not to obscure the features of the present invention.

[0045] Кроме того, из приведенного изложения ясно, что изобретение не ограничивается приведенной реализацией. Многочисленные возможные модификации, изменения, вариации и замены, сохраняющие суть и форму настоящего изобретения, очевидны для квалифицированных в предметной области специалистов.[0045] In addition, from the foregoing it is clear that the invention is not limited to the above implementation. Numerous possible modifications, alterations, variations, and substitutions that retain the spirit and form of the present invention will be apparent to those skilled in the art.

[0046] На Фиг. 1А представлен схематичный вид системы автоматической оценки качества сетевого трафика. Система автоматической оценки качества сигнатур сетевого трафика включает в себя модуль сбора событий 100, модуль предагрегации 200, анализирующий модуль 300, модуль финальной агрегации 400 и список решающих сигнатур 500. Модуль сбора событий 100 подключен к модулю предагрегации 200, который, в свою очередь подключен к анализирующему модулю 300 и/или модулю финальной агрегации 400. Анализирующий модуль 300 также подключен к модулю финальной агрегации 400, а модуль финальной агрегации 400 подключен к списку решающих сигнатур 500. Список решающих сигнатур подключен к модулю сбора событий 100. При этом, модуль предагрегации данных 200 выполнен с возможностью непрерывной обработки необработанных данных и наиболее ресурсоемких вычислений.[0046] In FIG. 1A is a schematic view of an automatic network traffic quality assessment system. The system for automatic quality assessment of network traffic signatures includes an event collection module 100, a pre-aggregation module 200, an analysis module 300, a final aggregation module 400, and a decision signature list 500. The event collection module 100 is connected to the pre-aggregation module 200, which, in turn, is connected to the analysis module 300 and/or the final aggregation module 400. The analysis module 300 is also connected to the final aggregation module 400, and the final aggregation module 400 is connected to the decision signature list 500. The decision signature list is connected to the event collection module 100. In this case, the data pre-aggregation module 200 is designed to continuously process raw data and the most resource intensive calculations.

[0047] Система работает следующим образом. Собирают события при помощи модуля сбора событий 100. Далее, собранные события отправляют в модуль предагрегации 200 для выполнения процесса предагрегации необработанных данных и наиболее ресурсоемких вычислений. После этого, предобработанные данные отправляют в анализирующий модуль 300 и/или в модуль финальной агрегации 400. В случае, если предобработанные данные были отправлены в анализирующий модуль 300, в анализирующем модуле 300 с ними производится расчет граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике. А далее, предобработанные ресурсоемкие данные вместе с рассчитанными граничными значениями отправляют в модуль финальной агрегации 400, который, в свою очередь, производит с ними процесс финальной агрегации данных. В случае, если модуль предагрегации 200 отправил предобработанные данные сразу на модуль финальной агрегации 400, то с ними производят процесс финальной агрегации без предварительного расчета граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике. После того, как предобработанные данные проходят процесс финальной агрегации, формируют решающие сигнатуры и сохраняют их в список решающих сигнатур 500, который далее используется в процессе сбора событий модулем сбора событий 100.[0047] The system operates as follows. Events are collected using the event collection module 100. Next, the collected events are sent to the pre-aggregation module 200 to perform the raw data pre-aggregation process and the most resource-intensive calculations. After that, the preprocessed data is sent to the analyzing module 300 and/or to the final aggregation module 400. If the preprocessed data was sent to the analyzing module 300, in the analyzing module 300, the boundary values of the characteristic share of automated and non-automated activity in the network are calculated with them. traffic. And then, the pre-processed resource-intensive data, together with the calculated boundary values, is sent to the final aggregation module 400, which, in turn, performs the final data aggregation process with them. If the pre-aggregation module 200 sent the preprocessed data immediately to the final aggregation module 400, then the final aggregation process is carried out with them without preliminary calculation of the boundary values of the characteristic share of automated and non-automated activity in network traffic. After the pre-processed data goes through the final aggregation process, decision signatures are generated and stored in the decision signature list 500, which is further used in the event collection process by the event collection module 100.

[0048] Система автоматической оценки качества сигнатур сетевого трафика также может включать в себя дополнительные подмодули, ранее и далее именуемые модулями, показанные на Фиг. 1Б.[0048] The system for automatically evaluating the quality of network traffic signatures may also include additional submodules, hereinafter referred to as modules, shown in FIG. 1B.

[0049] Модуль сбора событий 100 системы автоматической оценки качества сигнатур сетевого трафика может дополнительно быть подключен к удаленному устройству 600 и быть выполнен с возможностью сбора событий в сетевом трафике с по крайней мере удаленного устройства 600. В качестве удаленного устройства 600 может использоваться компьютер, компьютерная система и/или сервер, выполненные с возможностью подключения к сети[0049] The event collection module 100 of the system for automatically evaluating the quality of network traffic signatures can additionally be connected to the remote device 600 and be configured to collect events in network traffic from at least the remote device 600. The remote device 600 can be a computer, computer system and/or server configured to connect to a network

[0050] Также модуль сбора событий 100 может дополнительно включать в себя модуль группировки 101, предназначенный для группировки собранных событий по сигнатурам.[0050] Also, the event collection module 100 may further include a grouping module 101 for grouping collected events by signature.

[0051] Анализирующий модуль 300 может дополнительно включать в себя список граничных значений 301 и модуль репозитория граничных значений 302. При этом список граничных значений предназначен для хранения рассчитанных анализирующим модулем 300 граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике. Модуль репозитория граничных значений 302 предназначен для обновления списка граничных значений 301 в случае, если анализирующим модулем 300 были рассчитаны новые граничные значений характерной доли автоматизированной и неавторизированной активности в сетевом трафике.[0051] The parsing module 300 may further include a threshold value list 301 and a threshold value repository module 302. The threshold list is for storing threshold values calculated by the parsing module 300 of a characteristic proportion of automated and non-automated activity in network traffic. The threshold repository module 302 is designed to update the list of thresholds 301 in case new thresholds have been calculated by the parsing module 300 for a characteristic proportion of automated and unauthorized activity in network traffic.

[0052] Также анализирующий модуль 300 может дополнительно включать в себя модуль оценки 303, предназначенный для оценки наличия статистических выбросов.[0052] Also, the analysis module 300 may further include an evaluation module 303 for evaluating the presence of statistical outliers.

[0053] Модуль финальной агрегации 400 может дополнительно включать в себя модуль репозитория сигнатур 401, выполненный с возможностью обновления списка решающих сигнатур 500 в случае, если на этапе финальной агрегации были сформированы новые решающие сигнатуры.[0053] The final aggregation module 400 may further include a signature repository module 401 configured to update the decision signature list 500 in case new decision signatures were generated in the final aggregation step.

[0054] Вышеописанные дополнительные модули и списки, включенные в какой-либо из основных модулей и списков, могут быть интегрированы в систему как все вместе, так и по отдельности, в зависимости от нужд системы. Ниже будет описан один из образов работы системы, который включает каждый из вышеописанных дополнительных модулей и списков, однако, очевидно, что некоторые из нижеописанных моментов могут быть заменены и/или исключены из системы без существенных потерь для технического результата.[0054] The above-described additional modules and lists, included in any of the main modules and lists, can be integrated into the system as a whole or separately, depending on the needs of the system. One of the images of the system operation will be described below, which includes each of the above additional modules and lists, however, it is obvious that some of the points described below can be replaced and / or excluded from the system without significant losses for the technical result.

[0055] Система автоматической оценки качества сигнатур сетевого трафика, согласно схеме на Фиг. 1Б, работает следующим образом. При помощи модуля сбора событий 100 собирают события в сетевом трафике с удаленного устройства 600. Группируют собранные события по сигнатурам при помощи модуля группировки 101, включенного в модуль сбора событий 100. Сгруппированные по сигнатурам события отправляют в модуль предагрегации 200, где происходит процесс предагрегации необработанных данных и наиболее ресурсоемких вычислений по группам сигнатур. После этого, предобработанные данные отправляют в анализирующий модуль 300 и/или в модуль финальной агрегации 400. В случае, если предобработанные данные были отправлены в анализирующий модуль 300, в анализирующем модуле 300 с ними производится расчет граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике. В случае, если граничные значения были рассчитаны первый раз, рассчитанные граничные значения сохраняют в список граничных значений 301. А в случае, если были рассчитаны новые граничные значения, отличные от тех, которые уже хранятся в списке граничных значений 301, то обновляют список граничных значений 301 новыми граничными значениями при помощи модуля репозитория граничных значений 302. Также производится оценка статистических выбросов при помощи модуля оценки 303, включенном в анализирующий модуль 300. А далее, предобработанные данные вместе с рассчитанными граничными значениями отправляют в модуль финальной агрегации 400, который, в свою очередь, производит с ними процесс финальной агрегации данных. В случае, если модуль предагрегации 200 отправил предобработанные данные сразу на модуль финальной агрегации 400, то с ними производят процесс финальной агрегации без предварительного расчета граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике. После того, как предобработанные данные проходят процесс финальной агрегации, формируют решающие сигнатуры и сохраняют их в список решающих сигнатур 500, который далее используется в процессе сбора событий модулем сбора событий 100. В случае, если в списке решающих сигнатур 500 уже хранились ранее сформированные решающие сигнатуры, обновляют список решающих сигнатур 500 при помощи модуля репозитория решающих сигнатур 401, включенном в модуль финальной агрегации 400.[0055] A system for automatically evaluating the quality of network traffic signatures, according to the diagram in FIG. 1B works as follows. Using the event collection module 100, events are collected in network traffic from the remote device 600. The collected events are grouped by signatures using the grouping module 101 included in the event collection module 100. The events grouped by signatures are sent to the pre-aggregation module 200, where the raw data pre-aggregation process takes place and the most resource-intensive calculations by groups of signatures. After that, the preprocessed data is sent to the analyzing module 300 and/or to the final aggregation module 400. If the preprocessed data was sent to the analyzing module 300, in the analyzing module 300, the boundary values of the characteristic share of automated and non-automated activity in the network are calculated with them. traffic. If the limit values have been calculated for the first time, the calculated limit values are stored in the limit value list 301. And if new limit values have been calculated that are different from those already stored in the limit value list 301, then the limit value list is updated. 301 with new breakpoints using the breakpoint repository module 302. Statistical outliers are also estimated using the estimator 303 included in the parsing module 300. And then, the preprocessed data, together with the calculated breakpoints, is sent to the final aggregation module 400, which in turn turn, performs the process of final data aggregation with them. If the pre-aggregation module 200 sent the preprocessed data immediately to the final aggregation module 400, then the final aggregation process is carried out with them without preliminary calculation of the boundary values of the characteristic share of automated and non-automated activity in network traffic. After the pre-processed data goes through the final aggregation process, the decision signatures are generated and stored in the decision signature list 500, which is further used in the event collection process by the event collection module 100. In the event that the decision signature list 500 has already stored previously generated decision signatures update the decision signature list 500 with the decision signature repository module 401 included in the final aggregation module 400.

[0056] На Фиг. 2А изображена блок-схема, иллюстрирующая способ автоматической оценки качества сигнатур сетевого трафика. Согласно предложенному способу, сначала собирают события в сетевом трафике при помощи модуля сбора событий 100. Далее, с собранными событиями производят предагрегацию необработанных данных при помощи модуля предагрегации 200. После чего, рассчитывают граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, на основании собранных событий, при помощи анализирующего модуля 300. Затем производят финальную агрегацию всех событий, собранных в сетевом трафике, при помощи модуля финальной агрегации 400. Вышеописанная последовательность производится программно и циклично.[0056] In FIG. 2A is a flowchart illustrating a method for automatically evaluating the quality of network traffic signatures. According to the proposed method, first, events are collected in network traffic using the event collection module 100. Then, with the collected events, the raw data is pre-aggregated using the pre-aggregation module 200. After that, the boundary values of the characteristic share of automated and non-automated activity in network traffic are calculated, based on collected events, using the analyzing module 300. Then, the final aggregation of all events collected in the network traffic is performed using the final aggregation module 400. The above sequence is performed programmatically and cyclically.

[0057] На Фиг. 2Б изображена блок-схема, иллюстрирующая способ автоматической оценки качества сигнатур сетевого трафика, с дополнительным этапом, на котором после этапа, на котором собирают события в сетевом трафике при помощи модуля сбора событий 100, группируют события по сигнатурам при помощи модуля группировки 101, включающегося в модуль сбора событий 100.[0057] In FIG. 2B is a flowchart illustrating a method for automatically evaluating the quality of network traffic signatures, with an additional step in which, after the step in which events in network traffic are collected using the event collection module 100, events are grouped by signatures using the grouping module 101 included in event collection module 100.

[0058] На Фиг. 2В изображена блок-схема, иллюстрирующая способ автоматической оценки качества сигнатур сетевого трафика, с дополнительным этапом, на котором после этапа, на котором рассчитывают, на основании собранных событий, граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, производят автоматическое обновление списка граничных значений 301 при помощи модуля репозитория граничных значений 302.[0058] In FIG. 2B is a flowchart illustrating a method for automatically evaluating the quality of network traffic signatures, with an additional step in which, after the step in which, based on the collected events, the boundary values of the characteristic proportion of automated and manual activity in network traffic are calculated, the list of boundary values is automatically updated. values 301 using the boundary value repository module 302.

[0059] На Фиг. 2Г изображена блок-схема, иллюстрирующая способ автоматической оценки качества сигнатур сетевого трафика, с дополнительным этапом, на котором после этапа, на котором рассчитывают на основании собранных событий, граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, оценивают наличие статистических выбросов при помощи модуля оценки 303, включающегося в анализирующий модуль 300.[0059] In FIG. 2D is a flowchart illustrating a method for automatically estimating the quality of network traffic signatures, with an additional step in which, after the step in which, based on the collected events, the boundary values of the characteristic share of automated and manual activity in network traffic are estimated, the presence of statistical outliers is estimated using evaluation module 303 included in the analysis module 300.

[0060] Этап, на котором производится предагрегация данных может быть реализована многими способами, но предпочтительным является способ, изображенный на Фиг. 2Д. Здесь изображена блок-схема, иллюстрирующая способ автоматической оценки качества сигнатур сетевого трафика, с возможным вариантом реализации этапа, на котором производится предагрегация необработанных данных, по которому записывают необработанные данные, собранные из событий, а затем производят ресурсоемкие вычисления с записанными необработанными данными, собранными из событий. Этот этап может производится также без записи необработанных данных. Необработанные данные перед осуществлением ресурсоемких вычислений с ними могут храниться на удаленном компьютере, мониторинг сетевого трафика которого производится в это время, могут храниться во временной памяти, в сторонней базе данных и т.д., т.е. в любом месте, откуда модуль предагрегации сможет производить с ними ресурсоемкие вычисления.[0060] The step in which the data is pre-aggregated can be implemented in many ways, but the preferred one is the one depicted in FIG. 2D. Here is a flowchart illustrating a method for automatically evaluating the quality of network traffic signatures, with a possible implementation of a step that pre-aggregates the raw data, writes the raw data collected from events, and then performs resource-intensive calculations with the recorded raw data collected from events. This step can also be performed without recording raw data. Raw data before performing resource-intensive calculations with them can be stored on a remote computer, the network traffic of which is being monitored at that time, can be stored in temporary memory, in a third-party database, etc., i.e. in any place where the pre-aggregation module can perform resource-intensive calculations with them.

[0061] На Фиг. 2Е изображена блок-схема, иллюстрирующая способ автоматической оценки качества сигнатур сетевого трафика, с дополнительным этапом, на котором после этапа, на котором производят ресурсоемкие вычисления с записанными необработанными данными производят при помощи модуля предагрегации 200, отправляют предобработанные данные в анализирующий модуль 300 или в модуль финальной агрегации 400.[0061] In FIG. 2E is a flowchart illustrating a method for automatically evaluating the quality of network traffic signatures, with the additional step of sending the preprocessed data to the parsing module 300 or to the module final aggregation 400.

[0062] На Фиг. 2Ё изображена блок-схема, иллюстрирующая способ автоматической оценки качества сигнатур сетевого трафика, с возможными вариантами реализации этапа, на котором производится финальная агрегация данных. Согласно первому из вариантов, на этапе финальной агрегации сопоставляют рассчитанные граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике при помощи модуля финальной агрегации 400. Согласно второму варианту реализации, на этапе финальной агрегации сопоставляют рассчитанные граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике с граничными значениями характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, рассчитанными на по крайней мере одном предыдущем цикле. Согласно третьему варианту реализации, на этапе финальной агрегации оценивают, на основании рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, отношение автоматизированной и неавтоматизированной активности в сетевом трафике. Согласно четвертому варианту реализации, на этапе финальной агрегации формируют решающие сигнатуры, сохраняют сформированные решающие сигнатуры в список решающих сигнатур 500 или обновляют список решающих сигнатур 500 сформированными решающими сигнатурами при помощи модуля репозитория сигнатур 401. Вышеописанные варианты реализации этапа финальной агрегации могут выполняться как отдельно, так и в любой комбинации.[0062] In FIG. 2E shows a block diagram illustrating a method for automatically assessing the quality of network traffic signatures, with possible implementation options for the stage at which the final data aggregation is performed. According to the first option, at the final aggregation stage, the calculated boundary values of the characteristic share of automated and non-automated activity in network traffic are compared using the final aggregation module 400. traffic with boundary values of the characteristic share of automated and non-automated activity in network traffic calculated for at least one previous cycle. According to the third implementation option, at the stage of final aggregation, based on the calculated boundary values of the characteristic share of automated and non-automated activity in network traffic, the ratio of automated and non-automated activity in network traffic is estimated. According to the fourth embodiment, at the final aggregation step, decision signatures are generated, the generated decision signatures are stored in the decision signature list 500, or the decision signature list 500 is updated with the generated decision signatures using the signature repository module 401. The above-described implementations of the final aggregation step can be performed either separately or and in any combination.

[0063] На Фиг. 2Ж изображена блок-схема, иллюстрирующая способ автоматической оценки качества сигнатур сетевого трафика, объединяющий все вышеописанные этапы, как основные, так и дополнительные.[0063] In FIG. 2G is a flowchart illustrating a method for automatically evaluating the quality of network traffic signatures, integrating all of the above steps, both basic and optional.

[0064] Также каждый из этапов способа автоматической оценки качества сигнатур сетевого трафика, следующий после этапа, на котором группируют собранные события по сигнатурам при помощи модуля группировки 101, включающегося в модуль сбора событий 100, может производится отдельно для каждой из групп сигнатур.[0064] Also, each of the steps of the method for automatically estimating the quality of network traffic signatures following the step of grouping the collected events by signatures using the grouping module 101 included in the event collecting module 100 can be performed separately for each of the signature groups.

[0065] В материалах настоящей заявки для раскрытия изобретения используются такие термины, как: «оценка качества сигнатур сетевого трафика», подразумевающая под собой оценку долей автоматизированной и неавтоматизированной активности в сетевом трафике,[0065] In the materials of the present application for the disclosure of the invention, terms such as: “assessment of the quality of network traffic signatures”, implying an assessment of the shares of automated and non-automated activity in network traffic,

[0066] «автоматизированная активность», подразумевающая под собой трафик, созданные «нечеловеческими средствами», то есть при помощи автоматизированного сценария, программного обеспечения или алгоритма,[0066] "automated activity", meaning traffic created by "non-human means", that is, using an automated script, software or algorithm,

[0067] «неавтоматизированная активность», подразумевающая под собой активность, производимую пользователем, т.е. человеком,[0067] "Manual activity", meaning an activity performed by a user, i.e. man,

[0068] «характерные доли», подразумевающие под собой «нормальные» доли трафика, не вызванные вредоносной или запрещенной ботовой активностью,[0068] "characteristic shares", meaning "normal" traffic shares that are not caused by malicious or prohibited bot activity,

[0069] «граничные значения», подразумевающие под собой границы диапазона доли автоматизированной активности, которые не будут восприняты как вредоносная активность, и[0069] "boundary values", meaning the limits of the range of the proportion of automated activity that will not be perceived as malicious activity, and

[0070] «статистические выбросы», подразумевающие результат сбора событий, выделяющийся из общей выборки.[0070] "statistical outliers", meaning the result of the collection of events that stands out from the total sample.

[0071] В настоящих материалах заявки представлено предпочтительное раскрытие осуществления заявленного технического решения, которое не должно использоваться как ограничивающее иные, частные воплощения его реализации, которые не выходят за рамки запрашиваемого объема правовой охраны и являются очевидными для специалистов в соответствующей области техники.[0071] The present application materials provide a preferred disclosure of the implementation of the claimed technical solution, which should not be used as limiting other, private embodiments of its implementation that do not go beyond the requested scope of legal protection and are obvious to specialists in the relevant field of technology.

Claims (33)

1. Система автоматической оценки качества сигнатур сетевого трафика, включающая модуль сбора событий, список решающих сигнатур, анализирующий модуль и модуль финальной агрегации, отличающаяся тем, что включает модуль предагрегации, который выполнен с возможностью непрерывной обработки необработанных данных и ресурсоемких вычислений, причем модуль сбора событий подключен к модулю предагрегации, который подключен к анализирующему модулю и/или модулю финальной агрегации, причем анализирующий модуль также подключен к модулю финальной агрегации, а список решающих сигнатур подключен к модулю сбора событий и к модулю финальной агрегации.1. A system for automatically assessing the quality of network traffic signatures, including an event collection module, a list of decisive signatures, an analyzing module and a final aggregation module, characterized in that it includes a pre-aggregation module, which is configured to continuously process raw data and resource-intensive calculations, moreover, the event collection module connected to the pre-aggregation module, which is connected to the analyzing module and/or the final aggregation module, the analyzing module is also connected to the final aggregation module, and the decision signature list is connected to the event collection module and to the final aggregation module. 2. Система автоматической оценки качества сигнатур сетевого трафика по п. 1, отличающаяся тем, что модуль сбора событий выполнен с возможностью сбора событий в сетевом трафике с по крайней мере одного компьютера, компьютерной системы и/или сервера, выполненных с возможностью подключения к сети.2. The system for automatically assessing the quality of network traffic signatures according to claim 1, characterized in that the event collection module is configured to collect events in network traffic from at least one computer, computer system and/or server configured to connect to the network. 3. Система автоматической оценки качества сигнатур сетевого трафика по пп. 1 и 2, отличающаяся тем, что модуль сбора событий включает модуль группировки.3. The system for automatic assessment of the quality of network traffic signatures according to paragraphs. 1 and 2, characterized in that the event collection module includes a grouping module. 4. Система автоматической оценки качества сигнатур сетевого трафика по п. 1, отличающаяся тем, что анализирующий модуль включает список граничных значений и модуль репозитория граничных значений, который выполнен с возможностью обновления списка граничных значений.4. The system for automatic assessment of the quality of network traffic signatures according to claim 1, characterized in that the analyzing module includes a list of boundary values and a repository module of boundary values, which is configured to update the list of boundary values. 5. Система автоматической оценки качества сигнатур сетевого трафика по п. 1, отличающаяся тем, что анализирующий модуль включает модуль оценки, который выполнен с возможностью оценки наличия статистических выбросов.5. The system for automatic evaluation of the quality of network traffic signatures according to claim 1, characterized in that the analyzing module includes an evaluation module, which is configured to evaluate the presence of statistical outliers. 6. Система автоматической оценки качества сигнатур сетевого трафика по п. 1, отличающаяся тем, что модуль финальной агрегации включает модуль репозитория сигнатур, выполненный с возможностью обновления списка решающих сигнатур.6. The system for automatic quality assessment of network traffic signatures according to claim 1, characterized in that the final aggregation module includes a signature repository module configured to update the list of decisive signatures. 7. Способ автоматической оценки качества сигнатур сетевого трафика, по которому циклично:7. A method for automatically assessing the quality of network traffic signatures, according to which cyclically: - собирают события в сетевом трафике при помощи модуля сбора событий;- collect events in network traffic using the event collection module; - производят предагрегацию необработанных данных при помощи модуля предагрегации;- perform pre-aggregation of raw data using the pre-aggregation module; - рассчитывают, на основании собранных событий, граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике при помощи анализирующего модуля;- calculate, on the basis of the collected events, the boundary values of the characteristic share of automated and non-automated activity in network traffic using the analyzing module; - производят финальную агрегацию всех событий, собранных в сетевом трафике, при помощи модуля финальной агрегации.- perform the final aggregation of all events collected in the network traffic using the final aggregation module. 8. Способ автоматической оценки качества сигнатур сетевого трафика по п. 7, отличающийся тем, что после этапа, на котором собирают события в сетевом трафике при помощи модуля сбора событий, группируют события по сигнатурам при помощи модуля группировки, включающегося в модуль сбора событий.8. The method for automatically assessing the quality of network traffic signatures according to claim 7, characterized in that after the stage at which events in network traffic are collected using the event collection module, events are grouped by signatures using the grouping module included in the event collection module. 9. Способ автоматической оценки качества сигнатур сетевого трафика по пп. 7 и 8, отличающийся тем, что после этапа, на котором рассчитывают, на основании собранных событий, граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, производят автоматическое обновление списка граничных значений при помощи модуля репозитория граничных значений.9. A method for automatically assessing the quality of network traffic signatures according to paragraphs. 7 and 8, characterized in that after the stage at which, based on the collected events, the boundary values of the characteristic share of automated and non-automated activity in network traffic are calculated, the list of boundary values is automatically updated using the boundary values repository module. 10. Способ автоматической оценки качества сигнатур сетевого трафика по пп. 7 и 8, отличающийся тем, что после этапа, на котором рассчитывают, на основании собранных событий, граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, оценивают наличие статистических выбросов при помощи модуля оценки.10. A method for automatically assessing the quality of network traffic signatures according to paragraphs. 7 and 8, characterized in that after the stage at which, based on the collected events, the boundary values of the characteristic share of automated and non-automated activity in network traffic are calculated, the presence of statistical outliers is estimated using the evaluation module. 11. Способ автоматической оценки качества сигнатур сетевого трафика по п. 7, отличающийся тем, что этап, на котором производят предагрегацию необработанных данных при помощи модуля предагрегации, осуществляют следующим образом:11. The method for automatically assessing the quality of network traffic signatures according to claim 7, characterized in that the stage at which raw data is pre-aggregated using the pre-aggregation module is carried out as follows: - записывают необработанные ресурсоемкие данные, собранные из событий;- record raw resource-intensive data collected from events; - производят ресурсоемкие вычисления с записанными необработанными данными, собранными из событий.- perform resource-intensive calculations with recorded raw data collected from events. 12. Способ автоматической оценки качества сигнатур сетевого трафика по пп. 7 и 10, отличающийся тем, что на этапе, на котором производят предагрегацию необработанных данных, после этапа, на котором производят ресурсоемкие вычисления с записанными необработанными данными, производят при помощи модуля предагрегации по крайней мере одно из нижеперечисленного:12. A method for automatically assessing the quality of network traffic signatures according to paragraphs. 7 and 10, characterized in that at the stage at which the raw data is pre-aggregated, after the stage at which resource-intensive calculations are performed with the recorded raw data, at least one of the following is performed using the pre-aggregation module: - отправляют предобработанные данные в анализирующий модуль;- send the preprocessed data to the analyzing module; - отправляют предобработанные данные в модуль финальной агрегации.- send the preprocessed data to the final aggregation module. 13. Способ автоматической оценки качества сигнатур сетевого трафика по п. 7, отличающийся тем, что финальную агрегацию всех событий при помощи модуля финальной агрегации осуществляют путем сопоставления рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике.13. A method for automatically assessing the quality of network traffic signatures according to claim 7, characterized in that the final aggregation of all events using the final aggregation module is carried out by comparing the calculated boundary values of the characteristic share of automated and non-automated activity in network traffic. 14. Способ автоматической оценки качества сигнатур сетевого трафика по п. 7, отличающийся тем, что финальную агрегацию всех событий при помощи модуля финальной агрегации осуществляют путем сопоставления рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике с граничными значениями характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, рассчитанными на по крайней мере одном предыдущем цикле.14. A method for automatically assessing the quality of network traffic signatures according to claim 7, characterized in that the final aggregation of all events using the final aggregation module is carried out by comparing the calculated boundary values of the characteristic share of automated and non-automated activity in network traffic with the boundary values of the characteristic share of automated and non-automated activity in network traffic calculated for at least one previous cycle. 15. Способ автоматической оценки качества сигнатур сетевого трафика по п. 7, отличающийся тем, что финальную агрегацию всех событий при помощи модуля финальной агрегации осуществляют путем оценки, на основании рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, отношения автоматизированной и неавтоматизированной активности в сетевом трафике.15. A method for automatically assessing the quality of network traffic signatures according to claim 7, characterized in that the final aggregation of all events using the final aggregation module is carried out by evaluating, based on the calculated boundary values of the characteristic share of automated and non-automated activity in network traffic, the ratio of automated and non-automated activity in network traffic. 16. Способ автоматической оценки качества сигнатур сетевого трафика по пп. 14 и 15, отличающийся тем, что финальную агрегацию всех событий при помощи модуля финальной агрегации решающие сигнатуры формируют на основании произведенной оценки.16. A method for automatically assessing the quality of network traffic signatures according to paragraphs. 14 and 15, characterized in that the final aggregation of all events using the final aggregation module, the decisive signatures are formed based on the evaluation. 17. Способ автоматической оценки качества сигнатур сетевого трафика по п. 16, отличающийся тем, что для финальной агрегации всех событий при помощи модуля финальной агрегации сохраняют сформированные решающие сигнатуры в список решающих сигнатур.17. The method for automatically assessing the quality of network traffic signatures according to claim 16, characterized in that for the final aggregation of all events, the final aggregation module saves the generated decisive signatures to the list of decisive signatures. 18. Способ автоматической оценки качества сигнатур сетевого трафика по пп. 16 и 17, отличающийся тем, что для финальной агрегации всех событий при помощи модуля финальной агрегации обновляют список решающих сигнатур сформированными решающими сигнатурами при помощи модуля репозитория сигнатур, включающегося в модуль финальной агрегации.18. A method for automatically assessing the quality of network traffic signatures according to paragraphs. 16 and 17, characterized in that for the final aggregation of all events using the final aggregation module, the list of decisive signatures is updated with the generated decisive signatures using the signature repository module included in the final aggregation module. 19. Способ автоматической оценки качества сигнатур сетевого трафика по п. 7, отличающийся тем, что финальную агрегацию всех событий при помощи модуля финальной агрегации осуществляют следующим образом:19. The method for automatically assessing the quality of network traffic signatures according to claim 7, characterized in that the final aggregation of all events using the final aggregation module is carried out as follows: - сопоставляют рассчитанные граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике с граничными значениями характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, рассчитанными на по крайней мере одном предыдущем цикле;- compare the calculated boundary values of the characteristic share of automated and non-automated activity in network traffic with the boundary values of the characteristic share of automated and non-automated activity in network traffic calculated for at least one previous cycle; - оценивают, на основании рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, отношение автоматизированной и неавтоматизированной активности в сетевом трафике;- evaluate, based on the calculated boundary values of the characteristic share of automated and non-automated activity in network traffic, the ratio of automated and non-automated activity in network traffic; - формируют, на основании произведенной оценки, решающие сигнатуры;- form, on the basis of the evaluation, the decisive signatures; - сохраняют сформированные решающие сигнатуры в список решающих сигнатур;- save generated decisive signatures in the list of decisive signatures; - обновляют список решающих сигнатур сформированными решающими сигнатурами при помощи модуля репозитория сигнатур, включающегося в модуль финальной агрегации.- updating the list of decision signatures with the generated decision signatures using the signature repository module included in the final aggregation module. 20. Способ автоматической оценки качества сигнатур сетевого трафика по любому из пп. 7-19, отличающийся тем, что каждый из этапов производят отдельно по каждой из групп событий, сформированной при помощи модуля группировки, по сигнатурам.20. A method for automatically assessing the quality of network traffic signatures according to any one of paragraphs. 7-19, characterized in that each of the stages is performed separately for each of the event groups formed using the grouping module, according to signatures.
RU2021112789A 2021-04-30 2021-04-30 System and method for automatic assessment of quality of network traffic signatures RU2781822C1 (en)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN202280031796.XA CN117897702A (en) 2021-04-30 2022-04-26 System and method for automatically evaluating quality of network traffic signatures
US18/558,039 US20240250974A1 (en) 2021-04-30 2022-04-26 System for automatically evaluating the quality of network traffic signatures
PCT/RU2022/050138 WO2022231480A2 (en) 2021-04-30 2022-04-26 System and method for automatically evaluating the quality of network traffic signatures
EP22796264.4A EP4332804A2 (en) 2021-04-30 2022-04-26 System for automatically evaluating the quality of network traffic signatures

Publications (1)

Publication Number Publication Date
RU2781822C1 true RU2781822C1 (en) 2022-10-18

Family

ID=

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7565693B2 (en) * 2004-10-19 2009-07-21 Electronics And Telecommunications Research Institute Network intrusion detection and prevention system and method thereof
RU2538292C1 (en) * 2013-07-24 2015-01-10 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Method of detecting computer attacks to networked computer system
RU2634209C1 (en) * 2016-09-19 2017-10-24 Общество с ограниченной ответственностью "Группа АйБи ТДС" System and method of autogeneration of decision rules for intrusion detection systems with feedback
RU2722693C1 (en) * 2020-01-27 2020-06-03 Общество с ограниченной ответственностью «Группа АйБи ТДС» Method and system for detecting the infrastructure of a malicious software or a cybercriminal

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7565693B2 (en) * 2004-10-19 2009-07-21 Electronics And Telecommunications Research Institute Network intrusion detection and prevention system and method thereof
RU2538292C1 (en) * 2013-07-24 2015-01-10 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Method of detecting computer attacks to networked computer system
RU2634209C1 (en) * 2016-09-19 2017-10-24 Общество с ограниченной ответственностью "Группа АйБи ТДС" System and method of autogeneration of decision rules for intrusion detection systems with feedback
RU2722693C1 (en) * 2020-01-27 2020-06-03 Общество с ограниченной ответственностью «Группа АйБи ТДС» Method and system for detecting the infrastructure of a malicious software or a cybercriminal

Similar Documents

Publication Publication Date Title
US11178165B2 (en) Method for protecting IoT devices from intrusions by performing statistical analysis
JP6201614B2 (en) Log analysis apparatus, method and program
US20220014560A1 (en) Correlating network event anomalies using active and passive external reconnaissance to identify attack information
JP6703613B2 (en) Anomaly detection in data stream
US9386030B2 (en) System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks
CN106341414B (en) A kind of multi-step attack safety situation evaluation method based on Bayesian network
US7962611B2 (en) Methods, systems and computer program products for detecting flow-level network traffic anomalies via abstraction levels
Rahal et al. A distributed architecture for DDoS prediction and bot detection
JP6574332B2 (en) Data analysis system
JP2018533897A5 (en)
EP3068095A2 (en) Monitoring apparatus and method
CN114978568A (en) Data center management using machine learning
RU2757597C1 (en) Systems and methods for reporting computer security incidents
EA031992B1 (en) Log analysis system
US20230087309A1 (en) Cyberattack identification in a network environment
Angelini et al. An attack graph-based on-line multi-step attack detector
CN113645215B (en) Abnormal network traffic data detection method, device, equipment and storage medium
RU2781822C1 (en) System and method for automatic assessment of quality of network traffic signatures
KR20190027122A (en) Apparatus and method for analyzing network attack pattern
KR102038926B1 (en) Aggressor selecting device and control method thereof
WO2022231480A2 (en) System and method for automatically evaluating the quality of network traffic signatures
CN115801307A (en) Method and system for carrying out port scanning detection by using server log
Miani et al. A practical experience on evaluating intrusion prevention system event data as indicators of security issues
CN116155519A (en) Threat alert information processing method, threat alert information processing device, computer equipment and storage medium
Fessi et al. Data collection for information security system