ES2602802T3 - Detección de anomalía de red de inteligencia usando una red neuronal difusa de tipo II - Google Patents

Detección de anomalía de red de inteligencia usando una red neuronal difusa de tipo II Download PDF

Info

Publication number
ES2602802T3
ES2602802T3 ES07843575.7T ES07843575T ES2602802T3 ES 2602802 T3 ES2602802 T3 ES 2602802T3 ES 07843575 T ES07843575 T ES 07843575T ES 2602802 T3 ES2602802 T3 ES 2602802T3
Authority
ES
Spain
Prior art keywords
attack
network
collected
statistics
metrics
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES07843575.7T
Other languages
English (en)
Inventor
Chiang Yeh
Jeremy Touve
R. Leon Sangroniz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alcatel Lucent SAS
Original Assignee
Alcatel Lucent SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alcatel Lucent SAS filed Critical Alcatel Lucent SAS
Application granted granted Critical
Publication of ES2602802T3 publication Critical patent/ES2602802T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)
  • Devices For Executing Special Programs (AREA)

Abstract

Un detector (102) de anomalía que comprende una red neuronal difusa de tipo II que tiene una estructura (112) de control en tres niveles que rastrea síntomas de un ataque y sugiere escalar acciones (110) correctivas hasta que los síntomas del ataque empiezan a desaparecer, en el que la estructura de control incluye: un primer nivel (202) que incluye una pluralidad de funciones de pertenencia, donde cada función de pertenencia está adaptada para: recopilar una estadística (108) de red; y procesar la estadística recopilada en una métrica que es la estadística recopilada divida por un máximo teórico de la estadística recopilada; un segundo nivel (204) que incluye una pluralidad de sumadores, donde cada sumador está adaptado para: recibir un conjunto único de métricas asociadas con las funciones de pertenencia; y calcular una media basándose en el conjunto único de métricas y en una tasa de cambio de cada una de las métricas en el conjunto único; y un tercer nivel (206) que incluye al menos un agregador y al menos una tabla (2081, 208k), donde cada agregador está adaptado para: recibir un conjunto único de las medias calculadas; y sumar el conjunto único de las medias calculadas; y en el que cada tabla se usa para analizar las medias calculadas sumadas para determinar si es necesario un curso de la acción para tratar los síntomas del ataque.

Description

5
10
15
20
25
30
35
40
45
50
55
DESCRIPCION
Deteccion de anoma^a de red de inteligencia usando una red neuronal difusa de tipo II Campo tecnico
La presente invencion se refiere a un detector de anoma^a y a un procedimiento para usar una red neuronal difusa de tipo II para identificar smtomas de un ataque/anomalfa (que se dirige a una red privada) y para sugerir escalar acciones correctivas (que pueden implementarse por un dispositivo de red) hasta que empiecen a desaparecer los smtomas del ataque/anomalfa.
Antecedentes
Los dispositivos de interconexion en red actuales (por ejemplo, conmutador de Ethernet de capa 3) a menudo usan tecnica post mortem o tecnica de medidas preventivas para detectar y corregir anomalfas/ataques de red. En el primer caso, el dispositivo de interconexion en red recopila una cantidad extensiva de estadfsticas de red y a continuacion envfa esta informacion a una instalacion externa para identificar patrones conocidos o firmas de ataques/anomalfas organizados o actividades de red indeseables. Puesto que los requisitos para cotejar, contabilizar y analizar estas estadfsticas de red exigen una cantidad exhaustiva de numero de capacidades de compresion y busqueda, esta instalacion externa identifica la anomalfa/ataque despues de que ya ha danado la red.
En el ultimo caso, el dispositivo de interconexion en red esta programado con un conjunto de mascaras de filtro, arboles de decision, o heunstica complicada que corresponde a patrones conocidos o firmas de ataques/anomalfas organizados o actividades de red indeseables. Estos mecanismos unicamente reconocen los ataques/anomalfas usando reglas permanentes y rapidas que son bastante eficaces en rastreo fijo y patrones organizados de ataques/anomalfas. Una vez identificados, el dispositivo de interconexion en red toma las etapas apropiadas para tratar los smtomas de los ataques/anomalfas ofensores. Esta tecnica particular funciona bien si el ataque/anomalfa tiene un intervalo estricto de comportamientos y deja una firma bien conocida.
Algunos dispositivos de interconexion en red usan una combinacion de la tecnica post mortem y la tecnica de medidas preventivas para detectar y corregir anomalfas/ataques de red. Puesto que los procedimientos de ataque mas daninos y reconocibles, por ejemplo, denegacion de servicio, exploracion de puertos, etc., tienen firmas muy distintas, este tipo de dispositivo de interconexion en red puede identificar satisfactoriamente y corregir muchos de estos ataques/anomalfas. Por ejemplo, un administrador de red puede programar facilmente un conjunto de mascaras de filtro, arboles de decision, o heunstica complicada para detectar y corregir los problemas producidos por un ataque/anomalfa que muestra un intervalo estricto de comportamientos y deja una firma bien conocida. Sin embargo, los tipos mas nuevos de ataques/anomalfas que se usan comunmente hoy en dfa no se comportan de una manera predecible o dejan una firma distinta. Por ejemplo, existe una nueva generacion de gusanos que tienen un intervalo de actividades que no son facilmente identificables cuando migran a traves de una red, puesto que estos gusanos mas nuevos usan algoritmos biologicos que les produce que transmuten sus comportamientos a medida que migran y se reproducen en una red.
Como resultado, estas tecnicas bien conocidas pueden no rendir muy bien puesto que dependen del conocimiento mtimo acerca de la causa del ataque/anomalfa antes de que puedan reconocer el ataque/anomalfa y tomar acciones correctivas para corregir los smtomas del ataque/anomalfa. Ademas, estas tecnicas a menudo necesitan tomar un curso discreto de acciones correctivas independientemente del grado del ataque/anomalfa (a menos que el administrador de red defina espedficamente cada grado del ataque que desea tratar, que, en esencia, presenta cada grado del ataque como una nueva clase de ataque). Por consiguiente, existe una necesidad para una nueva tecnica que pueda detectar un ataque/anomalfa (especialmente uno de los tipos mas nuevos de gusanos transmutables) y sugiera escalar acciones hasta que los smtomas del ataque/anomalfa empiecen a desaparecer. Esta y otras necesidades se tratan por el detector de anomalfa y el procedimiento de deteccion de anomaifa de la presente invencion.
La publicacion de Solicitud de Patente de Estados Unidos N. ° 2004/0250124 A1 desvela un procedimiento para proteger una red de un ataque que incluye medir una propiedad de trafico que entra en la red, y analizar la propiedad usando al menos un algoritmo de logica difusa para detectar el ataque.
Breve descripcion de la invencion
Un detector de anomalfa y un procedimiento se indican en las reivindicaciones independientes 1 y 7, respectivamente. La presente invencion incluye un detector de anomalfa y un procedimiento para usar una red neuronal difusa de tipo II que puede rastrear smtomas de un ataque y sugerir escalar acciones correctivas hasta que los smtomas del ataque empiecen a desaparecer. En una realizacion, el detector de anomalfa usa una red neuronal difusa de tipo II en tres niveles donde el primer nivel tiene multiples funciones de pertenencia |n-|i que recopilan estadfsticas acerca de diferentes aspectos de la “salud” de un dispositivo de red y procesan estos numeros en metricas que tienen valores entre 0 y 1. El segundo nivel tiene multiples sumadores n-i-Qm cada uno de los cuales interconecta con funciones de pertenencia seleccionadas |n-|i para obtener sus metricas y a continuacion emiten una suma continua (probabilfstica, no numerica). El tercer nivel 206 tiene multiples agregadores Z-rZk cada uno de
5
10
15
20
25
30
35
40
45
50
55
los cuales agrega las sumas de los sumadores seleccionados Q1-Qm y calcula una media continua que se compara a reglas de control de logica difusa (localizadas dentro de una tabla si-entonces-sino) para determinar un curso particular de accion que el dispositivo de red puede seguir para tratar los smtomas de un ataque.
Breve descripcion de los dibujos
Un entendimiento mas completo de la presente invencion puede obtenerse por referencia a la siguiente descripcion detallada cuando se toma en conjunto con los dibujos adjuntos en los que:
La Figura 1 es un diagrama de un dispositivo de red que interactua con un detector de anomalfa que funciona
para proteger una red privada de acuerdo con la presente invencion;
La Figura 2 es un diagrama del detector de anomalfa que usa una red neuronal difusa de tipo II en tres niveles
para proteger la red privada de acuerdo con una realizacion de la presente invencion; y
La Figura 3 es un diagrama que ilustra las etapas basicas que pueden realizarse por el detector de anomalfa que
usa la red neuronal difusa de tipo II en tres niveles para proteger la red privada de acuerdo con una realizacion
de la presente invencion.
Descripcion detallada de las figuras
Haciendo referencia a la Figura 1, se muestra un diagrama que se usa para ayudar a explicar como un dispositivo 100 de red puede interconectar con un detector 102 de anomalfa que identifica smtomas de un ataque y sugiere escalar acciones correctivas que el dispositivo 100 de red puede a continuacion seguir para tratar los smtomas del ataque de acuerdo con la presente invencion. En este escenario ejemplar, el dispositivo 100 de red interconectando con el detector 102 de anomalfa (que tambien puede estar localizado en el dispositivo 100 de red) puede proteger una red 104 privada de ataques y posibles amenazas que se originan desde una red 106 publica. Ademas, el dispositivo 100 de red interconectando con el detector 102 de anomalfa puede proteger la red 104 privada de ataques y abusos potenciales de sus propios usuarios. Se proporciona un analisis detallado a continuacion para explicar como el detector 102 de anomalfa recibe estadfsticas 108 de red, procesa estas estadfsticas 108 de red y a continuacion emite la accion o acciones 110 correctivas que pueden implementarse por el dispositivo 100 de red para proteger la red 104 privada.
El detector 102 de anomalfa usa inteligencia artificial para introducir una medida de adaptabilidad en el procedimiento de deteccion de anomalfa que es deseable debido a que la naturaleza de los ataques de red mas nuevos (por ejemplo, gusanos transmutables) a menudo es convoluta, y mas a menudo, desconocida. En una realizacion, el detector 102 de anomalfa posibilita esta medida de adaptabilidad usando una forma de inteligencia artificial denominada en el presente documento como una red 112 neuronal difusa de tipo II (veanse las Figuras 2 y 3). La red 112 neuronal difusa de tipo II puede usar conocimiento parcial tomado a partir de las estadfsticas 108 de red recopiladas para identificar y rastrear los smtomas de un ataque antes de que sugiera escalar acciones 110 correctivas para tratar los smtomas del ataque. Por lo tanto, la red 112 neuronal difusa de tipo II no necesita deducir la causa rafz de un ataque antes de que pueda detectar un ataque y sugerir las acciones 110 correctivas necesarias para tratar los smtomas del ataque.
La red 112 neuronal difusa de tipo II es diferente de una red neuronal tradicional en que sus condiciones para aprender estan basadas en heunstica sencilla en lugar de filtros adaptativos complicados. Esta heunstica sencilla permite errores numericos indefinidos en la adaptacion denominados “difusividad”. Es esta naturaleza “difusa” la que permite al detector 102 de anomalfa rastrear un problema esquivo descubriendo una tendencia general sin necesitar tener la precision de datos que se requieren por una red neuronal tradicional que usa filtros adaptativos complicados. Una realizacion ejemplar de una red 112 neuronal difusa de tipo II que tiene una estructura de control en tres niveles se analiza a continuacion con respecto a las Figuras 2 y 3.
Haciendo referencia a la Figura 2, se muestra un diagrama de una red 112 neuronal difusa de tipo II en tres niveles ejemplar que se usa por el detector 102 de anomalfa para identificar smtomas de un ataque y para sugerir escalar acciones correctivas que pueden implementarse hasta que los smtomas del ataque empiecen a desaparecer de acuerdo con la presente invencion. Como se muestra, el primer nivel 202 tiene multiples funciones de pertenencia in-|ii que recopilan estadfsticas 108 acerca de diferentes aspectos de la “salud” del dispositivo 100 de red y procesan estos numeros en metricas que tienen valores que estan entre 0 y 1. El segundo nivel 204 tiene multiples sumadores ni-Qm cada uno de los cuales interconecta con funciones de pertenencia seleccionadas |n-|i para obtener sus metricas y a continuacion procesa/emite una suma continua (probabilfstica, no numerica). El tercer nivel 206 tiene multiples agregadores Z1-Zk cada uno de los cuales agrega las sumas de los sumadores seleccionados Q1- Qm y calcula una media continua que se compara a reglas de control de logica difusa localizadas dentro de una correspondiente tabla 2081 y 208k si-entonces-sino para determinar un curso de la accion 110 que el dispositivo 100 de red puede a continuacion seguir para tratar los smtomas de un ataque. En particular, el tercer nivel 206 tiene multiples tablas 2081 y 208k si-entonces-sino cada una de las cuales recibe una media continua desde un respectivo agregador ZrZk y basandose en esa entrada realiza un analisis si-entonces-sino y a continuacion emite la accion 110 que el dispositivo 100 de red puede a continuacion implementar para tratar los smtomas de un ataque.
5
10
15
20
25
30
35
40
45
En una aplicacion particular, cada funcion de pertenencia |1-|i recopila las estad^sticas 108 acerca de un aspecto espedfico del dispositivo 100 de red y a continuacion produce una unica metrica para representar la “salud” de ese aspecto particular del dispositivo 100 de red. Esta metrica tiene una puntuacion entre 0 y 1 que significa que la correspondiente funcion de pertenencia puede representarse como | e {0..1}. La puntuacion de metrica es una fraccion de una estadfstica de red que el dispositivo 100 de red esta recopilando actualmente, por ejemplo el numero de paquetes a traves de una interfaz particular, el numero de bits a traves de una interfaz particular, el numero de conexiones de http a traves de una interfaz particular, etc..., frente a un maximo teorico. Por ejemplo: i = caudal del puerto A = (numero de bits transmitidos por el puerto A/segundo)/(velocidad de enlace por segundo del puerto A). Por lo tanto, una puntuacion mas alta de una metrica es mas deseable que una puntuacion mas baja puesto que la primera es indicativa de un estado superior de salud. Como puede apreciarse, no hay lfmite en cuanto a que tipo de aspecto (estadfstica asociada con el dispositivo 100 de red) puede transmitir una funcion de pertenencia en su valor de |. Ademas, cuanto mas precisas define un administrador de red las funciones de pertenencia |1-|i mejor va a comportarse el detector 102 de anomalfa total.
En el segundo nivel 204, las metricas a partir de funciones de pertenencia seleccionadas |1-|i se suman por uno de los sumadores n1-nm para producir una puntuacion total |total. Puesto que ciertas funciones de pertenencia individuales |1-|i pueden influenciar la puntuacion total de diferentes maneras. Los sumadores n1-nm pueden modelar una o mas de las funciones de pertenencia individuales |1-|i con pesos variables “w” por lo que pueden tener un efecto compensatorio deseado en la puntuacion total |total. En un ejemplo, esta puntuacion total |total puede calcularse como sigue (ecuacion n.°1):
Ptotal
= (n tPiw(i> * p'iw(i)) )p
(i - n (d - Pi)
w(i)
p'i)
w(i)
))
donde p = y -1, |i e {0..1}, w(i) = i-esimo peso para i
La ecuacion anterior resulta ser una media geometrica ponderada de i y |’i, donde ui es el i-esimo factor que afecta a la puntuacion total |total, y |’i es la tasa de cambio de |i, es decir I = d|Vdt
En el tercer nivel 206, se suman las seleccionadas de las medias geometricas ponderadas (puntuaciones totales Itotal) por uno de los agregadores Z1-Zk y el resultado se compara frente a una correspondiente tabla 2081 y 208k de acciones si-entonces-sino. Como se muestra, cada agregador Z1-Zk tiene unicamente una asociacion de tabla y cada tabla 2081 y 208k puede haberse programado para buscar un ataque/anomalfa espedfico y para tratar los smtomas de ese ataque/anomalfa espedfico. Lo siguiente es una ilustracion de una tabla 2081 y 208k de muestra:
TABLA 1
Si Sum1 > Th1
Y si Summ > Th4 Entonces tomar accion 1 Sino no hacer nada
Si (Sum1 < Th1 & Sum1 > Th2)
Y si (Summ < Th4 & Summ > Th5) Entonces tomar accion 2 Sino no hacer nada
Entonces tomar accion 3 Sino tomar accion 4
Si Sum1 < Th3
Y si (Summ < Th6) Entonces tomar accion 5 Sino tomar accion 6
Nota: la tabla 2081 y 208k puede contener tambien multiples acciones, por ejemplo si (agregador 1 > umbral 1) entonces hacer (accion 1 y accion 2 y accion 3) sino hacer (accion 4 y accion 5).
Las acciones 110 anteriormente ilustradas son las etapas que puede tomar el dispositivo 100 de interconexion en red para protegerse a sf mismo de un ataque/anomalfa. Por ejemplo, el detector 102 de anomalfa puede haber detectado congestion de red potencial en una interfaz particular en el dispositivo 100 de red basandose en el patron de trafico actual, es decir cuando su agregador Z1 para congestion supera un umbral particular. Si esta suma del agregador esta entre un umbral grave y un umbral leve, entonces la accion 110 desencadenada por el agregador Z1 puede ser tener que marcar el dispositivo 100 de interconexion en red todo el trafico posterior con una prioridad de Punto de Codigo de Servicios Diferenciados (DSCP) baja. Si la suma del agregador supera el umbral grave, entonces la accion 110 desencadenada por el agregador Z1 puede ser tener que interrumpir el dispositivo 100 de interconexion en red todo el trafico posterior en la interfaz bajo congestion.
En otro ejemplo, el dispositivo 100 de interconexion en red puede presenciar un numero sospechosamente grande de solicitudes de Protocolo de Transferencia de Hipertexto (HTTP), seguido por un numero grande de abortos de HTTP de un pequeno numero de direcciones de Protocolo de Internet (IP), en un patron predictivo e intervalo fijo. El detector 102 de anomalfa podna rastrear este patron agregando ambas de estas variables y a continuacion tratar este problema emitiendo una accion 110 que puede implementarse por el dispositivo 100 de interconexion en red. En este ejemplo, se supone que el operador de red tiene conocimiento a priori acerca de esta anomalfa particular, por lo tanto puede configurar apropiadamente las funciones de pertenencia |1-|n (y ponderar tambien las funciones de pertenencia |1-|n), los sumadores n1-Qm, los agregadores Z1-Zk y/o las tablas 2081 y 208k si-entonces-sino. Como alternativa, el detector 102 de anomalfa podna usarse tambien para detectar y tratar ataques/anomalfas
5
10
15
20
25
30
35
40
45
50
55
60
inesperados (esta capacidad particular se analiza en mas detalle a continuacion).
Como una realizacion de muestra, se puede implementar la red 112 neuronal difusa de tipo II en tres niveles en una pieza de un equipo 100 de interconexion en red, por ejemplo, un conmutador 100 de Ethernet de capa 3, que ya mantiene un extenso conjunto de estadfsticas. En este caso, las funciones de pertenencia de nivel 1 n-i tomanan periodicamente estas estadfsticas y las convertinan en metricas/fracciones que se alimentan en uno o mas sumadores de nivel 2 n-i-Qm. Por ejemplo, una de las funciones de pertenencia i podna tomar la estadfstica relacionada con el numero de bits que pasa una interfaz por segundo y dividir este numero frente a la velocidad de puerto para producir una metrica/fraccion entre {0..1} que sena indicativa de la utilizacion de enlace. Ademas, para calcular la primera metrica/fraccion (n), la funcion de pertenencia de nivel 1 i calculana tambien el diferencial de tiempo de esa metrica/fraccion (in’). Para conseguir esto, la funcion de pertenencia i podna calcular por ejemplo la pendiente de puntos sucesivos n(t), extraer un valor angular de manera trigonometrica, y dividir el angulo frente a 2n.
Posteriormente, los sumadores de nivel 2 Q1-Qm reciben cada uno un conjunto unico de metricas/fracciones (|1-|i) y sus correspondientes metricas/fracciones diferenciales de tiempo (n’-|i’) y calculan la media geometrica ponderada itotal basandose en la ecuacion n. ° 1 (por ejemplo). Si se desea, los sumadores Q1-Qm pueden ponderar cada uno las metricas/fracciones (|1-|i) con un numero entre 0 y 1. El peso asignado de las metricas/fracciones (|1-|i) indica la importancia relativa de la correspondiente funcion de pertenencia n-m Por ejemplo, si se desea rastrear la congestion de red, entonces se ponderana la utilizacion de enlace con una potencia superior que el numero de conexiones de Protocolo de Control de Transmision (TCP) abiertas. Por supuesto, la red 112 neuronal difusa de tipo II debena converger independientemente de los pesos asignados a las funciones de pertenencia n-m Sin embargo, la red 112 neuronal difusa de tipo II se adaptana mas rapido si las funciones de pertenencia n-|i hubieran elegido apropiadamente pesos en lugar de si las funciones de pertenencia n-|i hubieran elegido pesos malos. Finalmente, los sumadores Q1-Qm alimentan sus salidas itotales en las seleccionadas de los agregadores de nivel 3 Z1-Zk cada uno de los cuales agrega las itotales recibidas y calcula una media continua que se compara a reglas de control de logica difusa (localizadas en la correspondiente tabla 2081 y 208k si-entonces-sino) para determinar un curso de la accion 110 que el dispositivo 100 de red puede implementar para tratar los smtomas de un ataque.
Haciendo referencia a la Figura 3, existe un diagrama que se usa para explicar de una manera diferente como la red 112 neuronal difusa de tipo II en tres niveles ejemplar funciona para ayudar a proteger la red 104 privada de acuerdo con la presente invencion. En la etapa 302, las entidades 202 de primer nivel funcionan para observar el estado de sistema recopilando estadfsticas y procesandolas en valores fraccionales que pueden manipularse usando matematica de logica difusa. En la etapa 304, las entidades 204 de segundo nivel funcionan para vincular diversas estadfsticas para extraer inferencias. En la etapa 306, las entidades 206 de tercer nivel (unicamente se muestra un Z1 y una tabla 2081 si-entonces-sino) funcionan para usar una serie de las sospechas recibidas desde las entidades 204 de segundo nivel seleccionadas para tomar una decision acerca de que accion 110 puede tomar el dispositivo 100 de red para proteger la red 104 privada.
Una ventaja de usar una red 112 neuronal difusa de tipo II es que se puede entrenar la red 112 neuronal difusa de tipo II para aprender acerca de ataques y problemas de red futuros. Por ejemplo, cuando un administrador de red anticipa un brote de nuevos ataques de gusano en la red 106 publica, a continuacion pueden soltar el gusano sospechoso en una red experimental y usar este mecanismo para rastrear el patron del ataque. Posteriormente, el administrador de red puede programar este patron nuevamente aprendido en un detector 102 de anomalfa en directo y entonces la red 104 privada estana inoculada a tales ataques. El operador puede efectuar la inoculacion de dos maneras: (1) puede modificar las tablas 2081-208k de reglas con acciones que pueden suprimir el ataque inminente; y/o (2) puede alterar como evalua el segundo nivel 204 la observacion u observaciones actualizando la funcion o funciones de pertenencia n-|n (por ejemplo, la ponderacion de una observacion) o anadiendo nueva funcion o funciones de pertenencia.
En otro ejemplo, si un administrador de red desea entrenar la red 112 neuronal difusa de tipo II para buscar un nuevo ataque/anomalfa, podna programar una de las tablas 2081 si-entonces-sino para no tomar ninguna accion y a continuacion simplemente observar las salidas del agregador correspondiente Z1. A continuacion, puede disenar un conjunto espedfico de acciones que estan adaptadas para ese nuevo ataque/anomalfa particular. Ademas, si la red 112 neuronal difusa de tipo II se entrena para proteger frente a amenazas espedficas, entonces el procedimiento de entrenamiento en sf mismo junto con las modificaciones de los parametros difusos puede ayudar tambien frente a ataques nunca vistos antes. Estos ataques inesperados unicamente necesitan compartir alguno de los mismos elementos asociados con los ataques conocidos para la red neuronal difusa 112 para decidir que son “malos” y aprobar una respuesta. Estos elementos pueden medirse e identificarse facilmente (por ejemplo pueden ser los paquetes por segundo de un tipo de trafico espedfico) y cuantos mas de ellos esten agregando el mecanismo, mas variados seran los tipos de ataques inesperados que pueden identificarse.
Aunque se ha ilustrado una realizacion de la presente invencion en los dibujos adjuntos y se ha descrito en la anterior descripcion detallada, debena entenderse que la presente invencion no esta limitada a la realizacion desvelada, sino que pueden hacerse numerosas reorganizaciones, modificaciones y sustituciones sin alejarse de la invencion como se expone y define mediante las siguientes reivindicaciones.

Claims (10)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    REIVINDICACIONES
    1. Un detector (102) de anoma^a que comprende una red neuronal difusa de tipo II que tiene una estructura (112) de control en tres niveles que rastrea smtomas de un ataque y sugiere escalar acciones (110) correctivas hasta que los smtomas del ataque empiezan a desaparecer, en el que la estructura de control incluye:
    un primer nivel (202) que incluye una pluralidad de funciones de pertenencia, donde cada funcion de pertenencia esta adaptada para:
    recopilar una estadfstica (108) de red; y procesar la estadfstica recopilada en una metrica
    que es la estadfstica recopilada divida por un maximo teorico de la estadfstica recopilada;
    un segundo nivel (204) que incluye una pluralidad de sumadores, donde cada sumador esta adaptado para:
    recibir un conjunto unico de metricas asociadas con las funciones de pertenencia; y calcular una media basandose en el conjunto unico
    de metricas y en una tasa de cambio de cada una de las metricas en el conjunto unico; y
    un tercer nivel (206) que incluye al menos un agregador y al menos una tabla (2081, 208k), donde cada agregador esta adaptado para:
    recibir un conjunto unico de las medias calculadas; y sumar el conjunto unico de las medias calculadas; y
    en el que cada tabla se usa para analizar las medias calculadas sumadas para determinar si es necesario un curso de la accion para tratar los smtomas del ataque.
  2. 2. El detector de anomalfa de la reivindicacion 1, en el que dicha estadfstica de red recopilada incluye:
    un numero de paquetes a traves de una interfaz particular en un dispositivo de red;
    un numero de bits a traves de una interfaz particular en dicho dispositivo de red; o
    un numero de conexiones de HTTP a traves de una interfaz particular en dicho dispositivo de red.
  3. 3. El detector de anomalfa de la reivindicacion 1, en el que dicho cada sumador calcula una media que es una media calculada geometrica ponderada.
  4. 4. El detector de anomalfa de la reivindicacion 1, en el que dicho ataque es un gusano de transmutacion que implementa una pluralidad de algoritmos biologicos.
  5. 5. El detector de anomalfa de la reivindicacion 1, en el que dicho ataque es un ataque inesperado.
  6. 6. El detector de anomalfa de la reivindicacion 1, en el que dicho ataque es un ataque esperado.
  7. 7. Un procedimiento para tratar un smtoma de un ataque usando una red neuronal difusa de tipo II, comprendiendo dicho procedimiento las etapas de:
    recopilar (302) una pluralidad de estadfsticas (108) de red;
    procesar (302) cada una de las estadfsticas de red recopiladas en una metrica que es una fraccion de la estadfstica de red recopilada
    dividida por un maximo teorico de la estadfstica de red recopilada;
    calcular (304) una pluralidad de medias cada una de las cuales esta basada en un conjunto unico de las metricas y una tasa de cambio del conjunto unico de las metricas; agregar (306) un conjunto unico de las medias calculadas; y
    comparar (306) las medias calculadas agregadas con los valores en una tabla de reglas de decision si-entonces- sino para determinar una accion para tratar el smtoma del ataque.
  8. 8. El procedimiento de la reivindicacion 7, en el que dicha etapa de comparacion incluye adicionalmente revisar la tabla de reglas de decision si-entonces-sino para tratar mejor el smtoma del ataque despues de revisar las estadfsticas de red recopiladas, las medias calculadas y/o las medias calculadas agregadas.
  9. 9. El procedimiento de la reivindicacion 7, en el que dichas estadfsticas de red recopiladas incluyen:
    un numero de paquetes a traves de una interfaz particular en dicho dispositivo de red;
    un numero de bits a traves de una interfaz particular en dicho dispositivo de red; o
    un numero de conexiones de HTTP a traves de una interfaz particular en dicho dispositivo de red.
  10. 10. El procedimiento de la reivindicacion 7, en el que dicho ataque es un gusano de transmutacion que implementa una pluralidad de algoritmos biologicos.
ES07843575.7T 2006-09-29 2007-09-29 Detección de anomalía de red de inteligencia usando una red neuronal difusa de tipo II Active ES2602802T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US536842 2006-09-29
US11/536,842 US20080083029A1 (en) 2006-09-29 2006-09-29 Intelligence Network Anomaly Detection Using A Type II Fuzzy Neural Network
PCT/US2007/080023 WO2008042824A2 (en) 2006-09-29 2007-09-29 Intelligence network anomaly detection using a type ii fuzzy neural network

Publications (1)

Publication Number Publication Date
ES2602802T3 true ES2602802T3 (es) 2017-02-22

Family

ID=39156334

Family Applications (1)

Application Number Title Priority Date Filing Date
ES07843575.7T Active ES2602802T3 (es) 2006-09-29 2007-09-29 Detección de anomalía de red de inteligencia usando una red neuronal difusa de tipo II

Country Status (7)

Country Link
US (1) US20080083029A1 (es)
EP (1) EP2082555B1 (es)
JP (1) JP5405305B2 (es)
KR (1) KR101323074B1 (es)
CN (1) CN101523848B (es)
ES (1) ES2602802T3 (es)
WO (1) WO2008042824A2 (es)

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7877644B2 (en) * 2007-04-19 2011-01-25 International Business Machines Corporation Computer application performance optimization system
US8291495B1 (en) * 2007-08-08 2012-10-16 Juniper Networks, Inc. Identifying applications for intrusion detection systems
CN101873638B (zh) * 2010-07-15 2013-04-17 吉林大学 基于模糊神经网络的异构无线网络接入选择方法
US20140068761A1 (en) * 2012-09-06 2014-03-06 Microsoft Corporation Abuse identification of front-end based services
US9191400B1 (en) * 2013-06-12 2015-11-17 The United States Of America, As Represented By The Secretary Of The Navy Cyphertext (CT) analytic engine and method for network anomaly detection
US9563854B2 (en) 2014-01-06 2017-02-07 Cisco Technology, Inc. Distributed model training
US9450978B2 (en) 2014-01-06 2016-09-20 Cisco Technology, Inc. Hierarchical event detection in a computer network
US9870537B2 (en) 2014-01-06 2018-01-16 Cisco Technology, Inc. Distributed learning in a computer network
CN103957203B (zh) * 2014-04-19 2015-10-21 盐城工学院 一种网络安全防御***
US10038713B2 (en) * 2014-05-06 2018-07-31 Cisco Technology, Inc. Predicted attack detection rates along a network path
US9230104B2 (en) 2014-05-09 2016-01-05 Cisco Technology, Inc. Distributed voting mechanism for attack detection
US9559918B2 (en) 2014-05-15 2017-01-31 Cisco Technology, Inc. Ground truth evaluation for voting optimization
US9641542B2 (en) 2014-07-21 2017-05-02 Cisco Technology, Inc. Dynamic tuning of attack detector performance
US9705914B2 (en) 2014-07-23 2017-07-11 Cisco Technology, Inc. Signature creation for unknown attacks
US9686312B2 (en) * 2014-07-23 2017-06-20 Cisco Technology, Inc. Verifying network attack detector effectiveness
US9407646B2 (en) 2014-07-23 2016-08-02 Cisco Technology, Inc. Applying a mitigation specific attack detector using machine learning
US9450972B2 (en) 2014-07-23 2016-09-20 Cisco Technology, Inc. Network attack detection using combined probabilities
US9800592B2 (en) 2014-08-04 2017-10-24 Microsoft Technology Licensing, Llc Data center architecture that supports attack detection and mitigation
US10217017B2 (en) * 2015-09-17 2019-02-26 Board Of Regents, The University Of Texas System Systems and methods for containerizing multilayer image segmentation
CN106789831B (zh) * 2015-11-19 2020-10-23 阿里巴巴集团控股有限公司 识别网络攻击的方法和装置
CN105517070B (zh) * 2015-12-25 2019-03-22 上海交通大学 基于用户使用习惯的异构网络切换方法
WO2018008605A1 (ja) * 2016-07-04 2018-01-11 株式会社Seltech 人工知能を有するシステム
CN107645478B (zh) * 2016-07-22 2020-12-22 阿里巴巴集团控股有限公司 网络攻击防御***、方法及装置
KR101927100B1 (ko) * 2016-10-17 2018-12-10 국민대학교산학협력단 순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법, 이를 수행하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치
US10397258B2 (en) * 2017-01-30 2019-08-27 Microsoft Technology Licensing, Llc Continuous learning for intrusion detection
US10887341B2 (en) * 2017-03-06 2021-01-05 Radware, Ltd. Detection and mitigation of slow application layer DDoS attacks
KR102413096B1 (ko) 2018-01-08 2022-06-27 삼성전자주식회사 전자 장치 및 그 제어 방법
CN108897334B (zh) * 2018-07-19 2020-03-17 上海交通大学 一种基于模糊神经网络的仿昆虫扑翼飞行器姿态控制方法
US11050770B2 (en) * 2018-08-02 2021-06-29 Bae Systems Information And Electronic Systems Integration Inc. Network defense system and method thereof
CN110719289B (zh) * 2019-10-14 2020-12-22 北京理工大学 一种基于多层特征融合神经网络的工控网络入侵检测方法
CN110995761B (zh) * 2019-12-19 2021-07-13 长沙理工大学 检测虚假数据注入攻击的方法、装置及可读存储介质
US11743272B2 (en) * 2020-08-10 2023-08-29 International Business Machines Corporation Low-latency identification of network-device properties
US12045713B2 (en) 2020-11-17 2024-07-23 International Business Machines Corporation Detecting adversary attacks on a deep neural network (DNN)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NZ516346A (en) * 2001-12-21 2004-09-24 Esphion Ltd A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack
JP2004312064A (ja) * 2003-02-21 2004-11-04 Intelligent Cosmos Research Institute ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム
US7681235B2 (en) * 2003-05-19 2010-03-16 Radware Ltd. Dynamic network protection
CN1555156A (zh) * 2003-12-25 2004-12-15 上海交通大学 基于自组织映射网络的自适应入侵检测方法
JP4509904B2 (ja) * 2005-09-29 2010-07-21 富士通株式会社 ネットワークセキュリティ装置
CN1809000A (zh) * 2006-02-13 2006-07-26 成都三零盛安信息***有限公司 一种网络入侵的检测方法

Also Published As

Publication number Publication date
KR20090058533A (ko) 2009-06-09
EP2082555B1 (en) 2016-08-17
CN101523848A (zh) 2009-09-02
EP2082555A2 (en) 2009-07-29
WO2008042824A2 (en) 2008-04-10
CN101523848B (zh) 2013-03-27
US20080083029A1 (en) 2008-04-03
JP2010506460A (ja) 2010-02-25
JP5405305B2 (ja) 2014-02-05
WO2008042824A3 (en) 2008-05-22
KR101323074B1 (ko) 2013-10-29

Similar Documents

Publication Publication Date Title
ES2602802T3 (es) Detección de anomalía de red de inteligencia usando una red neuronal difusa de tipo II
Iqbal et al. A feed-forward and pattern recognition ANN model for network intrusion detection
ES2393501B1 (es) Método y sistema para clasificación de tráfico.
Van Efferen et al. A multi-layer perceptron approach for flow-based anomaly detection
Zhang et al. Security defense decision method based on potential differential game for complex networks
CN104394015B (zh) 一种网络安全态势评估方法
Chaudhary et al. Analysis of fuzzy logic based intrusion detection systems in mobile ad hoc networks
Berral et al. Adaptive distributed mechanism against flooding network attacks based on machine learning
Saied et al. Artificial neural networks in the detection of known and unknown DDoS attacks: proof-of-concept
Dang et al. Studying the Reinforcement Learning techniques for the problem of intrusion detection
Yi et al. A rule generation model using S-PSO for Misuse Intrusion Detection
Nunner et al. Prioritizing high-contact occupations raises effectiveness of vaccination campaigns
Huang et al. Social influence or risk perception? A mathematical model of self-protection against asymptomatic infection in multilayer network
Megzari et al. Applications, challenges, and solutions to single-and multi-objective critical node detection problems: a survey
ES2913434T3 (es) Reconociendo desviaciones en el comportamiento de la seguridad de unidades automatizadas
Gan et al. The combined impact of external computers and network topology on the spread of computer viruses
Chen et al. Using learning time as metrics: an artificial intelligence driven risk assess framework to evaluate DDoS cyber attack
Spyridopoulos et al. A game theoretical method for cost-benefit analysis of malware dissemination prevention
Gautam et al. Anomaly detection system using entropy based technique
Molinaro et al. Using the lens model and cognitive continuum theory to understand the effects of cognition on phishing victimization
Mahboubian et al. A naturally inspired statistical intrusion detection model
Murthy et al. Hybrid intelligent intrusion detection system using bayesian and genetic algorithm (baga): comparitive study
Devarakonda et al. Integrated Bayes network and hidden Markov model for host based IDS
Sharma et al. Knowledge Analytics in IOMT‐MANET Through QoS Optimization for Sustainability
Tulkun et al. Analysis of Integrated Neural Network Attack Detection System and User Behavior Models