RU2630415C2 - Method for detecting anomalous work of network server (options) - Google Patents

Method for detecting anomalous work of network server (options) Download PDF

Info

Publication number
RU2630415C2
RU2630415C2 RU2016105967A RU2016105967A RU2630415C2 RU 2630415 C2 RU2630415 C2 RU 2630415C2 RU 2016105967 A RU2016105967 A RU 2016105967A RU 2016105967 A RU2016105967 A RU 2016105967A RU 2630415 C2 RU2630415 C2 RU 2630415C2
Authority
RU
Russia
Prior art keywords
server
network
vectors
dynamic response
neural network
Prior art date
Application number
RU2016105967A
Other languages
Russian (ru)
Other versions
RU2016105967A (en
Inventor
Владимир Леонидович Елисеев
Юрий Дмитриевич Шабалин
Original Assignee
Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" filed Critical Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы"
Priority to RU2016105967A priority Critical patent/RU2630415C2/en
Publication of RU2016105967A publication Critical patent/RU2016105967A/en
Application granted granted Critical
Publication of RU2630415C2 publication Critical patent/RU2630415C2/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Debugging And Monitoring (AREA)
  • Hardware Redundancy (AREA)

Abstract

FIELD: information technology.
SUBSTANCE: server is started in the controlled normal operation mode; neural network is formed in anomalous work detection tool by performing the following actions: storing and accumulating in a unit of time values of the server's dynamic response vectors, calculated based on the following parameters: number, size and type of input and output packets for all protocols served by the server; server workload level; level of server random access memory usage; level of server virtual memory usage; number of input-output operations in the server's disk devices; learning set of neural network is formed; neural network is taught to minimize the error in classifying the learning set vectors; server is started in production mode; anomalous work of server is detected.
EFFECT: increasing the security of data transmission.
4 cl

Description

Область техники, к которой относится изобретениеFIELD OF THE INVENTION

Предлагаемое изобретение относится к области мониторинга и защиты информационных систем и, в частности, к способам обнаружения нарушений в работе сетевых серверов, вызванных как внутренними неисправностями, возникшими в процессе функционирования, так и являющихся следствием компьютерных атак.The present invention relates to the field of monitoring and protection of information systems and, in particular, to methods for detecting irregularities in the operation of network servers caused by both internal malfunctions that arose during operation and are the result of computer attacks.

Уровень техникиState of the art

Сетевые серверы являются основным элементом структуры корпоративных, коммерческих, общественных и государственных публичных сетей. Ключевая роль сетевых серверов делает их критичным элементом инфраструктуры современного информационного общества.Network servers are the main element of the structure of corporate, commercial, public and state public networks. The key role of network servers makes them a critical element in the infrastructure of the modern information society.

К типичным событиям, имеющим критический статус для сетевых серверов, относятся:Typical critical events for network servers include:

Figure 00000001
аппаратные неисправности (выход из строя сетевого адаптера);
Figure 00000001
hardware malfunctions (failure of the network adapter);

Figure 00000001
перегрузка аппаратных ресурсов (исчерпание оперативной памяти, полная (100%) загрузка центрального процессора, полная (100%) загрузка доступной памяти дисковой подсистемы);
Figure 00000001
overload of hardware resources (exhaustion of RAM, full (100%) load of the central processor, full (100%) load of available memory of the disk subsystem);

Figure 00000001
программные ошибки и сбои в ключевых компонентах обработки сетевых запросов (драйвер сетевого адаптера, веб-сервер, система управления (СУ) базой данных (БД), сервер распределения запросов).
Figure 00000001
software errors and failures in the key components of processing network requests (network adapter driver, web server, database management system (DB), request distribution server).

Подобные события в существующих программных или аппаратных системах мониторинга обнаруживаются на основе превышения порога срабатывания, задаваемого индивидуально для каждого критического параметра, либо на основе факта обнаружения тех или иных событий в протоколах работы подсистем сетевого сервера.Similar events in existing software or hardware monitoring systems are detected on the basis of exceeding the response threshold, set individually for each critical parameter, or on the basis of the fact of the detection of certain events in the protocols of the network server subsystems.

Известен способ обнаружения компьютерных атак на сетевую компьютерную систему [1], включающую по крайней мере один компьютер, подключенный к сети и имеющийA known method of detecting computer attacks on a network computer system [1], including at least one computer connected to the network and having

Figure 00000001
установленную операционную систему;
Figure 00000001
installed operating system;

Figure 00000001
установленное прикладное программное обеспечение, включающее систему анализа трафика, которая выполнена с возможностью
Figure 00000001
installed application software including a traffic analysis system that is configured to

Figure 00000002
приема из сети и запоминания пакетов сообщений;
Figure 00000002
receiving from the network and storing message packets;

Figure 00000002
определения характеристик пакетов сообщений;
Figure 00000002
characterization of message packets;

Figure 00000002
проведения расчетов для пакетов сообщений и их характеристик;
Figure 00000002
calculations for message packets and their characteristics;

Figure 00000002
формирования сигналов о наличии атаки по результатам расчетов; заключающийся в том что
Figure 00000002
formation of signals about the presence of an attack according to the results of calculations; consisting in the fact that

Figure 00000001
устанавливают и запоминают пороговые значения параметров, причем в качестве параметров, рассчитываемых в единицу времени, выбираются следующие:
Figure 00000001
threshold parameters are set and stored, and the following are selected as parameters calculated per unit time:

RIP=VIN/VOUT,R IP = V IN / V OUT ,

где VIN - объем входящего трафика, принятого по протоколу IP;where V IN is the amount of incoming traffic received over IP;

VOUT - объем исходящего трафика, отправленного по протоколу IP;V OUT - the amount of outgoing traffic sent over IP;

NCR - количество потоков критических приложений;N CR is the number of threads of critical applications;

Figure 00000003
,
Figure 00000003
,

где NOUT - количество исходящих ACK-флагов в ТСР-трафике;where N OUT is the number of outgoing ACK flags in TCP traffic;

NIN - количество входящих ACK-флагов в ТСР-трафике;N IN is the number of incoming ACK flags in TCP traffic;

RUDP=VUDP/VTCP,R UDP = V UDP / V TCP ,

где VUDP - объем входящего UDP-трафика;where V UDP is the amount of incoming UDP traffic;

VTCP - объем входящего ТСР-трафика;V TCP - volume of incoming TCP traffic;

RNUD=NUDP/NTCP,R NUD = N UDP / N TCP ,

где NUDP - количество входящих UDP-пакетов;where N UDP is the number of incoming UDP packets;

NTCP - количество входящих ТСР-пакетов;N TCP - the number of incoming TCP packets;

RICM=VICM/VIN,R ICM = V ICM / V IN ,

где VICM - объем входящего трафика, полученного по протоколу ICMP;where V ICM is the amount of incoming traffic received via ICMP;

RSP=NSYN/NPSH,R SP = N SYN / N PSH ,

где NSYN - количество SYN-флагов во входящих пакетах, переданных по протоколу TCP;where N SYN is the number of SYN flags in incoming packets transmitted over TCP;

NPSH - количество PSH-флагов во входящих пакетах, переданных по протоколу TCP;N PSH - the number of PSH flags in incoming packets transmitted over TCP;

RTCP=NPSH/(NTCP-NPSH),R TCP = N PSH / (N TCP -N PSH ),

LAVG=VIN/NIP,L AVG = V IN / N IP ,

где NIP - количество входящих пакетов, передаваемых по протоколу IP;where N IP - the number of incoming packets transmitted over IP;

LTCP=VTCP/NTCP;L TCP = V TCP / N TCP ;

Figure 00000001
принимают из сети последовательность пакетов сообщений;
Figure 00000001
receive a sequence of message packets from the network;

Figure 00000001
запоминают принятые пакеты сообщений;
Figure 00000001
remember the received message packets;

Figure 00000001
выделяют из запомненных пакетов сообщений характеризующие их данные;
Figure 00000001
extracting data characterizing their stored message packets;

Figure 00000001
рассчитывают значения параметров, зависящих от полученных пакетов сообщений;
Figure 00000001
calculate the values of the parameters depending on the received message packets;

Figure 00000001
сравнивают рассчитанные значения параметров с пороговыми значениями;
Figure 00000001
comparing the calculated parameter values with threshold values;

Figure 00000001
принимают решение о факте наличия или отсутствия компьютерной атаки при сравнении рассчитанных значений параметров с пороговыми значениями;
Figure 00000001
decide on the presence or absence of a computer attack when comparing the calculated parameter values with threshold values;

Figure 00000001
определяют тип одиночной компьютерной атаки по сочетанию рассчитанных значений параметров на основе следующих условий
Figure 00000001
determine the type of a single computer attack by a combination of calculated parameter values based on the following conditions

Figure 00000002
если значения параметров RIP и NCR превысили пороговое значение, то определяется атака типа HTTP-flood (условие 1);
Figure 00000002
if the values of the parameters R IP and N CR exceeded the threshold value, an attack of the HTTP flood type is determined (condition 1);

Figure 00000002
если значения параметров RIP, DACK и RSP превысили пороговое значение, a RTCP и LTCP меньше порогового значения, то определяется атака типа SYN-flood (условие 2);
Figure 00000002
if the values of the parameters R IP , D ACK, and R SP exceeded the threshold value, and R TCP and L TCP are less than the threshold value, then an SYN-flood attack is determined (condition 2);

Figure 00000002
если значения параметров RIP, RTCP и DACK превысили пороговое значение, то определяется атака типа TCP-flood (условие 3);
Figure 00000002
if the values of the parameters R IP , R TCP, and D ACK have exceeded the threshold value, an attack of the TCP-flood type is determined (condition 3);

Figure 00000002
если значения параметров RIP, RUDP и RNUD превысили пороговое значение, то определяется атака типа UDP-flood (условие 4);
Figure 00000002
if the values of the parameters R IP , R UDP, and R NUD exceeded the threshold value, then an attack of the UDP-flood type is determined (condition 4);

Figure 00000002
если значения параметров RIP и RICM превысили пороговое значение, a LAVG меньше порогового значения, то определяется атака типа ICMP-flood (условие 5);
Figure 00000002
if the values of the parameters R IP and R ICM have exceeded the threshold value, and L AVG is less than the threshold value, then an ICMP flood attack is determined (condition 5);

Figure 00000001
определяют комбинированную компьютерную атаку по сочетанию рассчитанных значений параметров на основе следующих условий:
Figure 00000001
determine a combined computer attack by a combination of calculated parameter values based on the following conditions:

Figure 00000002
если одновременно выполняется условие 1 и условие 2, то определяется комбинированная атака HTTP-flood и SYN-flood;
Figure 00000002
if condition 1 and condition 2 are fulfilled at the same time, then a combined HTTP-flood and SYN-flood attack is determined;

Figure 00000002
если одновременно выполняется условие 1 и условие 3, то определяется комбинированная атака HTTP-flood и TCP-flood;
Figure 00000002
if condition 1 and condition 3 are fulfilled at the same time, then a combined HTTP-flood and TCP-flood attack is determined;

Figure 00000002
если одновременно выполняется условие 1 и условие 5, то определяется комбинированная атака HTTP-flood и ICMP-flood;
Figure 00000002
if condition 1 and condition 5 are fulfilled simultaneously, then a combined HTTP-flood and ICMP-flood attack is determined;

Figure 00000002
если одновременно выполняется условие 2 и условие 5, то определяется комбинированная атака SYN-flood и ICMP-flood;
Figure 00000002
if condition 2 and condition 5 are simultaneously fulfilled, then a combined SYN-flood and ICMP-flood attack is determined;

Figure 00000002
если одновременно выполняется условие 3 и условие 5, то определяется комбинированная атака TCP-flood и ICMP-flood.
Figure 00000002
if condition 3 and condition 5 are simultaneously fulfilled, then a combined TCP-flood and ICMP-flood attack is determined.

В известном способе в качестве внутренней причины аномальной работы сетевого компьютера (сервера) принимается во внимание только один параметр (количество потоков критических приложений, выполняемых сервером), а в качестве внешней причины - наличие одиночной или комбинированной компьютерной атаки из ограниченного перечня известных типов (HTTP-flood, SYN-flood, TCP-flood, ICMP-flood, UDP-flood).In the known method, as an internal reason for the abnormal operation of a network computer (server), only one parameter is taken into account (the number of critical application threads executed by the server), and as an external reason, the presence of a single or combined computer attack from a limited list of known types (HTTP flood, SYN-flood, TCP-flood, ICMP-flood, UDP-flood).

При этом факт аномальной работы сервера определяется строго по превышению совокупности пороговых значений.Moreover, the fact of abnormal server operation is determined strictly by exceeding the totality of threshold values.

Однако вполне возможны ситуации, когда могут быть использованы неизвестные типы одиночных или комбинированных компьютерных атак, а также их комбинации с известными типами, причем одновременно количество потоков критических приложений, выполняемых сервером, не достигнет порогового значения.However, it is quite possible that unknown types of single or combined computer attacks can be used, as well as their combinations with known types, and at the same time the number of threads of critical applications executed by the server will not reach the threshold value.

В этом случае известный способ будет неэффективным, факт наличия или отсутствия компьютерной атаки не будет зафиксирован, но, тем не менее, сервер будет не способен работать в нормальном режиме. Это является недостатком известного способа.In this case, the known method will be ineffective, the fact of the presence or absence of a computer attack will not be fixed, but, nevertheless, the server will not be able to work in normal mode. This is a disadvantage of the known method.

Раскрытие изобретенияDisclosure of invention

Техническим результатом является обеспечение возможности обнаружения неисправностей сервера вследствие программных и аппаратных сбоев, а также обнаружение известных и неизвестных ранее атак, их последствий и незлонамеренных нарушений работы сервера.The technical result is the provision of the possibility of detecting server failures due to software and hardware failures, as well as the detection of known and previously unknown attacks, their consequences and unintentional server malfunctions.

Для этого предлагается способ, ранее описанный в [2].For this, a method is proposed previously described in [2].

Согласно первому варианту способа обнаружения аномальной работы сетевого сервера, включающегоAccording to a first embodiment of a method for detecting abnormal operation of a network server, including

Figure 00000001
по крайней мере, один сервер, подключенный к цифровой сети передачи данных;
Figure 00000001
at least one server connected to a digital data network;

Figure 00000001
средство обнаружения аномальной работы, подключенное к серверу и выполненное с возможностью приема из сети и запоминания пакетов сообщений;
Figure 00000001
abnormal operation detection means connected to the server and configured to receive and store message packets from the network;

Figure 00000002
определения характеристик пакетов сообщений;
Figure 00000002
characterization of message packets;

Figure 00000002
проведения расчетов для пакетов сообщений и их характеристик;
Figure 00000002
calculations for message packets and their characteristics;

Figure 00000002
определения степени загрузки вычислительных ресурсов сервера;
Figure 00000002
determining the degree of load of server computing resources;

Figure 00000002
формирования и обучения нейронной сети;
Figure 00000002
formation and training of a neural network;

Figure 00000002
проведения расчетов для нейронной сети;
Figure 00000002
calculations for the neural network;

Figure 00000002
накопления и запоминания значений векторов динамического отклика сервера на основе параметров загрузки сервера, характеристик входных и выходных пакетов;
Figure 00000002
accumulation and storage of values of the dynamic response server vectors based on server load parameters, characteristics of input and output packets;

Figure 00000002
вычисления порогового значения ошибки классификации по накопленным значениям векторов динамического отклика;
Figure 00000002
calculating the threshold value of the classification error according to the accumulated values of the dynamic response vectors;

Figure 00000002
формирования сигналов о наличии аномальной работы по результатам расчетов;
Figure 00000002
generating signals about the presence of abnormal work according to the calculation results;

способ, заключается в том, чтоthe way is that

Figure 00000001
запускают сервер в режиме контролируемой нормальной работы;
Figure 00000001
start the server in a controlled normal operation mode;

Figure 00000001
формируют нейронную сеть в средстве обнаружения аномальной работы, выполняя следующие действия:
Figure 00000001
form a neural network in the means of detecting abnormal work by performing the following steps:

Figure 00000002
запоминают и накапливают в единицу времени значения векторов динамического отклика сервера, вычисляемые на основе следующих параметров:
Figure 00000002
the values of the dynamic response vectors of the server are calculated and accumulated per unit time, calculated on the basis of the following parameters:

Figure 00000004
количество, размер и тип входных и выходных пакетов по всем обслуживаемым сервером протоколам;
Figure 00000004
the number, size and type of input and output packets for all protocols served by the server;

Figure 00000004
уровень загруженности процессора сервера;
Figure 00000004
server processor load level;

Figure 00000004
уровень использования оперативной памяти сервера;
Figure 00000004
level of server RAM usage;

Figure 00000004
уровень использования виртуальной памяти сервера;
Figure 00000004
level of server virtual memory usage;

Figure 00000004
количество операций ввода-вывода в дисковых устройствах сервера;
Figure 00000004
the number of input / output operations on server disk devices;

Figure 00000002
формируют обучающее множество нейронной сети;
Figure 00000002
form the training set of the neural network;

Figure 00000002
обучают нейронную сеть для минимизации ошибки классификации векторов обучающего множества;
Figure 00000002
train the neural network to minimize the classification error of the vectors of the training set;

Figure 00000002
устанавливают и запоминают пороговое значение ошибки классификации;
Figure 00000002
set and remember the threshold value of the classification error;

Figure 00000001
запускают сервер в рабочем режиме;
Figure 00000001
start the server in working mode;

Figure 00000001
обнаруживают аномальную работу сервера, выполняя следующие действия:
Figure 00000001
detect abnormal server operation by performing the following steps:

Figure 00000002
вычисляют значение вектора динамического отклика сервера;
Figure 00000002
calculate the value of the dynamic response server vector;

Figure 00000002
вычисляют с помощью нейронной сети по вектору динамического отклика значение ошибки классификации;
Figure 00000002
using a neural network, the value of the classification error is calculated using the dynamic response vector;

Figure 00000002
формируют сигнал о наличии аномальной работы сервера при сравнении значения ошибки классификации с пороговым значением.
Figure 00000002
generate a signal about the presence of abnormal server operation when comparing the value of the classification error with a threshold value.

Нейронную сеть в средстве обнаружения аномальной работы предпочтительно формируют по принципу автоассоциативного запоминающего устройства со сжатием информации.The neural network in the abnormal operation detection means is preferably formed according to the principle of auto-associative storage device with information compression.

Согласно второму варианту способа обнаружения аномальной работы сетевого сервера, включающегоAccording to a second embodiment of the method for detecting abnormal operation of a network server, including

Figure 00000001
по крайней мере, один сервер, подключенный к цифровой сети передачи данных;
Figure 00000001
at least one server connected to a digital data network;

Figure 00000001
средство обнаружения аномальной работы, подключенное к серверу и выполненное с возможностью
Figure 00000001
abnormal operation detection means connected to the server and configured to

Figure 00000002
приема из сети и запоминания пакетов сообщений;
Figure 00000002
receiving from the network and storing message packets;

Figure 00000002
определения характеристик пакетов сообщений;
Figure 00000002
characterization of message packets;

Figure 00000002
проведения расчетов для пакетов сообщений и их характеристик;
Figure 00000002
calculations for message packets and their characteristics;

Figure 00000002
определения степени загрузки вычислительных ресурсов сервера;
Figure 00000002
determining the degree of load of server computing resources;

Figure 00000002
настройки параметров машины опорных векторов;
Figure 00000002
parameter settings of the machine support vectors;

Figure 00000002
проведения расчетов для машины опорных векторов;
Figure 00000002
calculations for the machine support vectors;

Figure 00000002
накопления и запоминания значений векторов динамического отклика сервера на основе параметров загрузки сервера, характеристик входных и выходных пакетов;
Figure 00000002
accumulation and storage of values of the dynamic response server vectors based on server load parameters, characteristics of input and output packets;

Figure 00000002
вычисления порогового значения ошибки реконструкции по накопленным значениям векторов динамического отклика;
Figure 00000002
calculating the reconstruction error threshold value from the accumulated values of the dynamic response vectors;

Figure 00000002
формирования сигналов о наличии аномальной работы по результатам расчетов; способ, заключается в том, что
Figure 00000002
generating signals about the presence of abnormal work according to the calculation results; the way is that

Figure 00000001
запускают сервер в режиме контролируемой нормальной работы;
Figure 00000001
start the server in a controlled normal operation mode;

Figure 00000001
формируют машину опорных векторов в средстве обнаружения аномальной работы, выполняя следующие действия:
Figure 00000001
form a machine of support vectors in the means of detecting abnormal work by performing the following steps:

Figure 00000002
запоминают и накапливают в единицу времени значения векторов динамического отклика сервера, вычисляемые на основе следующих параметров::
Figure 00000002
they store and accumulate per unit time values of the server dynamic response vectors calculated on the basis of the following parameters:

Figure 00000004
количество, размер и тип входных и выходных пакетов по всем обслуживаемым сервером протоколам;
Figure 00000004
the number, size and type of input and output packets for all protocols served by the server;

Figure 00000004
уровень загруженности процессора сервера;
Figure 00000004
server processor load level;

Figure 00000004
уровень использования оперативной памяти;
Figure 00000004
RAM usage level;

Figure 00000004
уровень использования виртуальной памяти;
Figure 00000004
virtual memory usage level;

Figure 00000004
количество операций ввода-вывода с дисковыми устройствами;
Figure 00000004
number of input / output operations with disk devices;

Figure 00000002
формируют данные для настройки машины опорных векторов;
Figure 00000002
generate data for tuning the machine support vectors;

Figure 00000002
настраивают машину опорных векторов для минимизации эмпирического риска неправильной классификации на сформированных данных;
Figure 00000002
tuning the support vector machine to minimize the empirical risk of incorrect classification on the generated data;

Figure 00000002
устанавливают и запоминают пороговое значение ошибки классификации;
Figure 00000002
set and remember the threshold value of the classification error;

Figure 00000001
запускают сервер в рабочем режиме;
Figure 00000001
start the server in working mode;

Figure 00000001
обнаруживают аномальную работу сервера, выполняя следующие действия:
Figure 00000001
detect abnormal server operation by performing the following steps:

Figure 00000002
вычисляют значение вектора динамического отклика сервера;
Figure 00000002
calculate the value of the dynamic response server vector;

Figure 00000002
вычисляют с помощью машины опорных векторов по вектору динамического отклика значение ошибки классификации;
Figure 00000002
calculate the value of the classification error with the help of the support vector machine by the dynamic response vector;

Figure 00000002
формируют сигнал о наличии аномальной работы сервера при сравнении значения ошибки классификации с пороговым значением.
Figure 00000002
generate a signal about the presence of abnormal server operation when comparing the value of the classification error with a threshold value.

Машину опорных векторов в средстве обнаружения аномальной работы предпочтительно формируют по принципу одноклассового классификатора.The support vector machine in the abnormal operation detection means is preferably formed according to the principle of a single class classifier.

Предлагаемый способ основан на формировании независимого от внешних источников динамического образа поведения сетевого сервера, что позволяет сформировать автономную систему обнаружения аномальной работы.The proposed method is based on the formation of a dynamic dynamic behavior of the network server independent of external sources, which allows the formation of an autonomous system for detecting abnormal operation.

Для этого решается задача обнаружения факта некорректного функционирования сетевого сервера без использования предварительно задаваемых критериев корректности.To this end, the task of detecting the fact of incorrect functioning of a network server without using predefined correctness criteria is solved.

Под корректностью функционирования здесь понимается принадлежность группы непосредственно измеряемых или вычисляемых по ним характеристик работы сетевого сервера (мгновенного образа) к множеству образов, характеризующих нормальное функционирование и использованных в период настройки.The correct functioning here means that the group of directly measured or calculated characteristics of the network server (instantaneous image) belongs to the set of images that characterize normal functioning and were used during the setup period.

Включение в характеристики параметров загрузки системных компонент сетевого сервера, а также обрабатываемого сервером трафика позволяет выявлять аномальные ситуации в широком спектре причин: от ошибок конфигурирования, программных сбоев прикладных и системных компонентов, до сетевых атак и последствий от несанкционированных злонамеренных действий на сетевом сервере.The inclusion in the characteristics of the boot parameters of the system components of the network server, as well as the traffic processed by the server, makes it possible to identify abnormal situations in a wide range of reasons: from configuration errors, software failures of application and system components, to network attacks and the consequences of unauthorized malicious actions on the network server.

Способ позволяет для каждого сетевого сервера построить индивидуальный динамический образ нормального функционирования, с помощью которого будут обнаруживаться аномалии в поведении программ и оборудования сетевого сервера независимо от их природы и причин. В частности, способ позволяет обнаруживать факты эксплуатации прежде неизвестных уязвимостей подсистем сетевого сервера, а также любые деструктивные действия, являющиеся следствием любых компьютерных атак, как сетевых, так и локальных.The method allows for each network server to build an individual dynamic image of normal functioning, with the help of which anomalies in the behavior of programs and equipment of the network server will be detected, regardless of their nature and causes. In particular, the method allows to detect the facts of exploitation of previously unknown vulnerabilities of the network server subsystems, as well as any destructive actions that are the result of any computer attacks, both network and local.

Описываемый способ предусматривает два режима функционирования, которые могут при необходимости совмещаться во времени:The described method provides two modes of operation, which, if necessary, can be combined in time:

Figure 00000001
настройка,
Figure 00000001
customization

Figure 00000001
обнаружение аномальной работы.
Figure 00000001
abnormal work detection.

Настройка, в свою очередь, предусматриваетThe setting, in turn, provides

Figure 00000001
сбор непосредственно наблюдаемых характеристик сетевого сервера и формирование из них базы настроечных данных;
Figure 00000001
collection of directly observable characteristics of a network server and the formation of a database of configuration data from them;

Figure 00000001
предварительную обработку базы настроечных данных и формирование базы обучающих образов;
Figure 00000001
preliminary processing of the database of training data and the formation of a database of training images;

Figure 00000001
обучение одноклассового классификатора на базе обучающих образов;
Figure 00000001
training a single-class classifier based on training images;

Figure 00000001
оценка качества обучения и автоматическое вычисление порога обнаружения аномалий.
Figure 00000001
learning quality assessment and automatic calculation of anomaly detection threshold.

К характеристикам сетевого сервера относятся измеряемые с равномерными промежутками времени входящий и исходящий сетевой трафик по всем открытым сетевым портам сервера (количество байтов, пакетов и их параметры), а также степень загрузки системы (загруженность процессора, оперативной памяти, каналов ввода/вывода, количество занятых дескрипторов ввода/вывода операционной системы и пр.).The characteristics of a network server include incoming and outgoing network traffic measured at regular intervals across all open network ports of the server (number of bytes, packets and their parameters), as well as the degree of system load (CPU, RAM, I / O channels, number of busy operating system I / O descriptors, etc.).

Для реализации описываемого способа важно, чтобы в период настройки функционирование сетевого сервера осуществлялось преимущественно в нормальном режиме с различными нагрузками, включая пиковые. Период настройки может занимать разное по продолжительности время с тем, чтобы обеспечить разнообразие видов нагрузки сервера.To implement the described method, it is important that, during the setup period, the functioning of the network server is carried out mainly in the normal mode with various loads, including peak ones. The setup period may take a different time in order to provide a variety of types of server load.

Способ допускает наличие небольшого числа временных периодов ненормального функционирования, однако рекомендуется в период настройки администратору сетевого сервера отслеживать отклонения в работе сервера от нормального и как можно быстрее восстанавливать работу. В том случае, если работа сетевого сервера неразрывно связана с работой других серверов, например серверов баз данных, то нормальное функционирование должно поддерживаться и на этих серверах.The method allows for the presence of a small number of time periods of abnormal functioning, but it is recommended that the network server administrator monitor deviations in the server’s operation from normal during the setup period and restore operation as quickly as possible. In that case, if the operation of the network server is inextricably linked with the operation of other servers, for example, database servers, then normal functioning should be supported on these servers as well.

Настроенная система обнаружения аномалий работает с теми же характеристиками сетевого сервера и теми же способами предварительной обработки данных, которые использовались в режиме настройки. Циклический алгоритм работы системы обнаружения аномалий приводится ниже:The configured anomaly detection system works with the same characteristics of the network server and the same data preprocessing methods that were used in the setup mode. The cyclic algorithm of the anomaly detection system is given below:

Figure 00000001
сбор непосредственно наблюдаемых характеристик сетевого сервера в текущий момент времени;
Figure 00000001
collection of directly observable characteristics of the network server at the current time;

Figure 00000001
предварительная обработка текущих наблюдаемых характеристик с получением текущего образа;
Figure 00000001
preliminary processing of the current observable characteristics to obtain the current image;

Figure 00000001
применение одноклассового классификатора к текущему образу с получением ошибки распознания образа;
Figure 00000001
applying a single-class classifier to the current image with the receipt of an image recognition error;

Figure 00000001
формирование события обнаружения аномалии в случае превышения ошибкой величины порога, вычисленного в режиме настройки.
Figure 00000001
generation of an anomaly detection event in case the error exceeds the threshold value calculated in the setup mode.

Большая величина ошибки распознания данных является свидетельством непохожести текущего состояния сетевого сервера, проявленного через его наблюдаемые характеристики, от состояний нормального функционирования, использовавшихся для обучения одноклассового классификатора в режиме настройки.The large value of the data recognition error is evidence of the dissimilarity of the current state of the network server, manifested through its observable characteristics, from the normal functioning states used to train the single-class classifier in the setup mode.

Способ может быть реализован как с помощью нейросетевого одноклассового классификатора, так и с помощью одноклассового классификатора на основе метода опорных векторов, а также иных методов одноклассовой классификации.The method can be implemented both with the help of a neural network classifier, and with the help of a classifier based on the support vector method, as well as other methods of class classification.

При первичном разворачивании в эксплуатацию системы обнаружения аномалий сетевого сервера необходимо осуществить настройку и только потом возможно рабочее функционирование с обнаружением аномалий. В случае легитимного изменения конфигурации сетевого сервера, включая аппаратные компоненты, номенклатуру и версии программного обеспечения, может потребоваться заново произвести настройку, поскольку характеристики сетевого сервера после проведенных изменений могут также измениться. Признаком необходимости перенастройки может быть большое количество обнаруживаемых аномалий при отсутствии сбоев и компьютерных атак.When the network server anomaly detection system is initially deployed for operation, it is necessary to configure and only then can it function properly with anomaly detection. In the case of a legitimate change in the configuration of the network server, including hardware components, the nomenclature and software versions, it may be necessary to re-configure, since the characteristics of the network server after the changes may also change. A sign of the need for reconfiguration may be a large number of detected anomalies in the absence of failures and computer attacks.

Настройка порога срабатывания является в целом эвристической процедурой, требующей контроля со стороны квалифицированного специалиста. При неправильной настройке порога в процессе работы будет обнаруживаться избыточное число событий или, наоборот, значимые события будут игнорироваться. По этой причине процесс выбора порога невозможно сделать полностью автоматическим, совсем исключив участие человека-оператора.Setting the threshold is generally a heuristic procedure that requires monitoring by a qualified professional. If the threshold is incorrectly set during operation, an excessive number of events will be detected or, conversely, significant events will be ignored. For this reason, the threshold selection process cannot be made fully automatic, completely excluding the participation of the human operator.

Кроме того, предлагаемый способ за счет комплексности анализируемых факторов дополнительно обеспечивает обнаружение неизвестных прежде атак через эффект изменения поведения контролируемого сетевого сервера.In addition, the proposed method due to the complexity of the analyzed factors additionally provides the detection of previously unknown attacks through the effect of changing the behavior of a controlled network server.

В предлагаемом способе порог вычисляется не по исходным характеристикам функционирования сервера, а по степени подобия совокупности характеристик, образующих характерный образец (паттерн) поведения сервера в одном из режимов нормального функционирования. Отдельные характеристики при обнаружении аномальной работы могут как достигать своих предельных значений, так и не достигать их.In the proposed method, the threshold is calculated not by the initial characteristics of the server’s functioning, but by the degree of similarity of the totality of characteristics that form the characteristic pattern (pattern) of the server’s behavior in one of the normal functioning modes. When detecting abnormal operation, individual characteristics can both reach their limit values and not reach them.

Обнаружение событий в системном журнале и их корреляция, по сути, является эвристической процедурой, хорошо работающей для известных подсистем (например, операционных систем, систем управления базами данных, Web-серверов и т.п.), однако для мониторинга прикладных подсистем сетевого сервера необходимо индивидуально разрабатывать соответствующие эвристические алгоритмы. Это не всегда возможно по причине недостаточной квалификации персонала службы мониторинга, недостаточных ресурсов, а также из-за закрытости системы мониторинга для расширения новыми правилами.Detection of events in the system log and their correlation, in essence, is a heuristic procedure that works well for well-known subsystems (for example, operating systems, database management systems, Web servers, etc.), however, to monitor the application subsystems of a network server, individually develop appropriate heuristic algorithms. This is not always possible due to insufficient qualifications of monitoring service personnel, insufficient resources, and also because of the closed monitoring system for expansion by new rules.

Предлагаемый способ не предусматривает явного контроля за событиями прикладных сервисов, однако подразумевает, что результатом работы сетевого сервера является обмен сетевыми сообщениями (трафиком) по определенным протоколам, что рассматривается как количественная характеристика работы сервера. Изменение совокупности этих характеристик вследствие фактического выхода из строя прикладной подсистемы сетевого сервера будет обнаружено описываемым способом как аномальная работа.The proposed method does not provide explicit control over the events of application services, however, it implies that the result of the network server is the exchange of network messages (traffic) using certain protocols, which is considered as a quantitative characteristic of the server. A change in the combination of these characteristics due to the actual failure of the application subsystem of the network server will be detected by the described method as an abnormal operation.

Обнаружение проблем безопасности в целом решается различными системами IDS (Intrusion Detection System), среди которых выделяются два класса: Network based IDS (обнаружение сетевых вторжений) и Host based IDS (обнаружение вторжений на компьютере).Detection of security problems as a whole is solved by various IDS (Intrusion Detection System) systems, among which there are two classes: Network based IDS (network intrusion detection) and Host based IDS (computer intrusion detection).

Известными видами сетевых атак являются:Known types of network attacks are:

Figure 00000001
HTTP-flood, DNS flood, UDP flood, SYN flood, IP fragmentation - переполнение ресурсов сетевого сервера запросами распределенной сети атакующих компьютеров;
Figure 00000001
HTTP-flood, DNS flood, UDP flood, SYN flood, IP fragmentation - overflow of network server resources with requests from a distributed network of attacking computers;

Figure 00000001
DNS amplification, NTP amplification, SNMP reflection - подмена адреса отправителя на адрес жертвы в легитимном запросе, вызывающем генерацию значительно трафика в направлении атакуемого сетевого сервера;
Figure 00000001
DNS amplification, NTP amplification, SNMP reflection - replacing the sender address with the victim address in a legitimate request, causing significant traffic generation in the direction of the attacked network server;

Figure 00000001
Code injection (SQL, PHP, Python) - запрос к сетевому серверу, эксплуатирующий уязвимость прикладного программного обеспечения и приводящий к нарушению работоспособности или выполнению код злоумышленника на сетевом сервере. Подход Network based IDS основан на обнаружении и классификации сетевых атак в сетевом трафике. При этом применяются различные методы, включающие обнаружение сигнатур известных сетевых атак, оценка степени опасности трафика по сходству с известными атаками, а также различные эвристические подходы. Большинство методов, применяемых в Network based IDS, принципиально не в состоянии обнаруживать новые атаки, часто основанные на новых выявленных уязвимостях в программном обеспечении.
Figure 00000001
Code injection (SQL, PHP, Python) - a request to a network server that exploits an application software vulnerability and leads to a malfunction or execution of malicious code on a network server. The Network based IDS approach is based on the detection and classification of network attacks in network traffic. In this case, various methods are used, including detecting signatures of known network attacks, assessing the degree of danger of traffic by similarity with known attacks, as well as various heuristic approaches. Most of the methods used in Network based IDS are fundamentally unable to detect new attacks, often based on newly discovered software vulnerabilities.

Системы Host based IDS в основном представлены антивирусными программами, работающими с сигнатурами вирусов, а также обнаруживающими с помощью ряда методов необычную активность на компьютере. Эти методы основаны на частных особенностях конкретных операционных систем и их версий. Для обнаружения модификаций известных вирусов и новых вирусов используется метод помещения подозрительного объекта в среду эмуляции, в которой с помощью заложенных в антивирус эвристических правил выясняется благонадежность объекта перед его фактическим использованием на компьютере.Host based IDS systems are mainly represented by antivirus programs that work with virus signatures, as well as detect unusual activity on a computer using a number of methods. These methods are based on private features of specific operating systems and their versions. To detect modifications of known viruses and new viruses, the method of placing a suspicious object in an emulation environment is used, in which, using the heuristic rules embedded in the antivirus, the reliability of the object is determined before its actual use on the computer.

Общим свойством систем Network based IDS и Host based IDS является необходимость поддержания в актуальном состоянии базы сигнатур и правил обнаружения вирусов и сетевых атак. Неактуальные базы (например, вследствие истечения срока действия лицензии на продукт IDS или вследствие нарушения процесса обновления баз) делают защищаемый сетевой сервер уязвимым перед новыми вирусами и новыми видами сетевых атак.A common feature of Network based IDS and Host based IDS systems is the need to maintain the signature database and the rules for detecting viruses and network attacks. Outdated databases (for example, due to the expiration of the IDS product license or due to a violation of the database update process) make the protected network server vulnerable to new viruses and new types of network attacks.

Осуществление изобретенияThe implementation of the invention

Рассмотрим осуществление предложенного способа на примерах предпочтительного выполнения.Consider the implementation of the proposed method on the examples of the preferred implementation.

Способ в любом варианте допускает реализацию в виде программной системы, функционирующей как в самом сетевом сервере, так и на внешнем по отношению к нему устройстве. Также возможно разделение функций при реализации способа между самим сетевым сервером и внешним устройством. В последнем случае сетевой сервер сообщает характеристики своего функционирования на внешнее устройство, которое производит их накопление в базе для настройки и/или использует для обнаружения аномалий.The method in any embodiment allows implementation in the form of a software system that operates both in the network server itself and on an external device with respect to it. It is also possible separation of functions when implementing the method between the network server itself and the external device. In the latter case, the network server reports the characteristics of its operation to an external device, which accumulates them in the database for configuration and / or uses to detect anomalies.

Устройство может обслуживать несколько сетевых серверов.A device can serve multiple network servers.

Типовыми характеристиками, которые должны измеряться у сетевого сервера для реализации описываемого способа, являются количество байт входящего и исходящего сетевого трафика по каждому из сетевых портов, а также суммарное число принятых и переданных байт по протоколам TCP, UDP, ICMP в достаточно короткий фиксированный промежуток времени, например в течение 1 секунды. Также к наблюдаемым характеристикам относится загрузка вычислительных ресурсов сервера: центрального процессора, оперативной и виртуальной памяти, а также каналов ввода вывода. Разделяются выходные характеристики сетевого сервера (исходящий сетевой трафик и загрузка вычислительных ресурсов) и входные (входящий сетевой трафик).Typical characteristics that must be measured at a network server to implement the described method are the number of bytes of incoming and outgoing network traffic for each of the network ports, as well as the total number of received and transmitted bytes via TCP, UDP, ICMP in a fairly short fixed period of time, for example, for 1 second. Also observed characteristics include loading of server computing resources: central processor, RAM and virtual memory, as well as input / output channels. The output characteristics of the network server (outgoing network traffic and the load of computing resources) and the input (incoming network traffic) are divided.

В качестве образа текущего состояния сетевого сервера можно использовать матрицу коэффициентов корреляции попарно между каждой выходной и каждой входной измеренной характеристикой. Коэффициент корреляции вычисляется на базе нескольких последовательных промежутков времени, предшествующих текущему моменту и включающих его.As an image of the current state of the network server, you can use the matrix of correlation coefficients in pairs between each output and each input measured characteristic. The correlation coefficient is calculated on the basis of several consecutive time intervals preceding the current moment and including it.

В режиме настройки по окончании обучения одноклассового классификатора вся база обучающих образов проверяется на полученном классификаторе для вычисления ошибки распознавания образа. Полученный средний уровень ошибки, скорректированный в соответствии с установками алгоритма, используется в качестве порога обнаружения аномалии.In setup mode, upon completion of training of a single-class classifier, the entire database of training images is checked on the resulting classifier to calculate the pattern recognition error. The obtained average error level, adjusted in accordance with the algorithm settings, is used as an anomaly detection threshold.

Для реализации всех вычислений и операций вполне может быть сформирована программа (комплекс программ) специалистом по программированию (программистом) на любом известном универсальном языке программирования (например, языке С) на основе приведенных выше соотношений. Затем эта программа может быть выполнена на компьютере.To implement all the calculations and operations, a program (program complex) may well be formed by a programming specialist (programmer) in any well-known universal programming language (for example, C language) based on the above relations. Then this program can be executed on the computer.

Необходимо отметить, что возможны и другие варианты реализации предложенного способа, отличающиеся от описанного выше и зависящие от личных предпочтений при программировании отдельных действий и функций.It should be noted that other options for implementing the proposed method are possible, which differ from the one described above and depend on personal preferences when programming individual actions and functions.

Источники информацииInformation sources

1. Патент РФ №2538292, приоритет от 24.07.2013 г.1. RF patent No. 2538292, priority dated July 24, 2013.

2. Vladimir Eliseev, Yury Shabalin. Dynamic response recognition by neural network to detect network host anomaly activity. Proceedings of the 8th International Conference on Security of Information and Networks (SIN 2015), September 8-10, 2015, Sochi, Russia, pp.246-249 (издано в г. Таганроге, 2015 г.).2. Vladimir Eliseev, Yury Shabalin. Dynamic response recognition by neural network to detect network host anomaly activity. Proceedings of the 8th International Conference on Security of Information and Networks (SIN 2015), September 8-10, 2015, Sochi, Russia, pp. 246-249 (published in Taganrog, 2015).

Claims (60)

1. Способ обнаружения аномальной работы сетевого сервера, включающего1. A method for detecting abnormal operation of a network server, including
Figure 00000005
по крайней мере один сервер, подключенный к цифровой сети передачи данных;
Figure 00000005
at least one server connected to a digital data network;
Figure 00000006
средство обнаружения аномальной работы, подключенное к серверу и выполненное с возможностью
Figure 00000006
abnormal operation detection means connected to the server and configured to
Figure 00000007
приема из сети и запоминания пакетов сообщений;
Figure 00000007
receiving from the network and storing message packets;
Figure 00000008
определения характеристик пакетов сообщений;
Figure 00000008
characterization of message packets;
Figure 00000009
проведения расчетов для пакетов сообщений и их характеристик;
Figure 00000009
calculations for message packets and their characteristics;
Figure 00000010
определения степени загрузки вычислительных ресурсов сервера;
Figure 00000010
determining the degree of load of server computing resources;
Figure 00000011
формирования и обучения нейронной сети;
Figure 00000011
formation and training of a neural network;
Figure 00000012
проведения расчетов для нейронной сети;
Figure 00000012
calculations for the neural network;
Figure 00000013
накопления и запоминания значений векторов динамического отклика сервера на основе параметров загрузки сервера, характеристик входных и выходных пакетов;
Figure 00000013
accumulation and storage of values of the dynamic response server vectors based on server load parameters, characteristics of input and output packets;
Figure 00000014
вычисления порогового значения ошибки классификации по накопленным значениям векторов динамического отклика;
Figure 00000014
calculating the threshold value of the classification error according to the accumulated values of the dynamic response vectors;
Figure 00000015
формирования сигналов о наличии аномальной работы по результатам расчетов;
Figure 00000015
generating signals about the presence of abnormal work according to the calculation results; заключающийся в том, чтоconsisting in the fact that
Figure 00000016
запускают сервер в режиме контролируемой нормальной работы;
Figure 00000016
start the server in a controlled normal operation mode;
Figure 00000017
формируют нейронную сеть в средстве обнаружения аномальной работы, выполняя следующие действия:
Figure 00000017
form a neural network in the means of detecting abnormal work by performing the following steps:
Figure 00000018
запоминают и накапливают в единицу времени значения векторов динамического отклика сервера, вычисляемые на основе следующих параметров:
Figure 00000018
the values of the dynamic response vectors of the server are calculated and accumulated per unit time, calculated on the basis of the following parameters:
Figure 00000019
количество, размер и тип входных и выходных пакетов по всем обслуживаемым сервером протоколам;
Figure 00000019
the number, size and type of input and output packets for all protocols served by the server;
Figure 00000020
уровень загруженности процессора сервера;
Figure 00000020
server processor load level;
Figure 00000021
уровень использования оперативной памяти сервера;
Figure 00000021
level of server RAM usage;
Figure 00000022
уровень использования виртуальной памяти сервера;
Figure 00000022
level of server virtual memory usage;
Figure 00000023
количество операций ввода-вывода в дисковых устройствах сервера;
Figure 00000023
the number of input / output operations on server disk devices;
Figure 00000024
формируют обучающее множество нейронной сети;
Figure 00000024
form the training set of the neural network;
Figure 00000025
обучают нейронную сеть для минимизации ошибки классификации векторов обучающего множества;
Figure 00000025
train the neural network to minimize the classification error of the vectors of the training set;
Figure 00000026
устанавливают и запоминают пороговое значение ошибки классификации;
Figure 00000026
set and remember the threshold value of the classification error;
Figure 00000027
запускают сервер в рабочем режиме;
Figure 00000027
start the server in working mode;
Figure 00000028
обнаруживают аномальную работу сервера, выполняя следующие действия:
Figure 00000028
detect abnormal server operation by performing the following steps:
Figure 00000029
вычисляют значение вектора динамического отклика сервера;
Figure 00000029
calculate the value of the dynamic response server vector;
Figure 00000030
вычисляют с помощью нейронной сети по вектору динамического отклика значение ошибки классификации;
Figure 00000030
using a neural network, the value of the classification error is calculated using the dynamic response vector;
Figure 00000031
формируют сигнал о наличии аномальной работы сервера при сравнении значения ошибки классификации с пороговым значением.
Figure 00000031
generate a signal about the presence of abnormal server operation when comparing the value of the classification error with a threshold value. 2. Способ по п. 1, в котором нейронную сеть в средстве обнаружения аномальной работы формируют по принципу автоассоциативного запоминающего устройства со сжатием информации.2. The method according to p. 1, in which the neural network in the means of detecting abnormal operation is formed according to the principle of auto-associative storage device with information compression. 3. Способ обнаружения аномальной работы сетевого сервера, включающего3. A method for detecting abnormal operation of a network server, including
Figure 00000032
по крайней мере один сервер, подключенный к цифровой сети передачи данных;
Figure 00000032
at least one server connected to a digital data network;
Figure 00000033
средство обнаружения аномальной работы, подключенное к серверу и выполненное с возможностью
Figure 00000033
abnormal operation detection means connected to the server and configured to
Figure 00000034
приема из сети и запоминания пакетов сообщений;
Figure 00000034
receiving from the network and storing message packets;
Figure 00000035
определения характеристик пакетов сообщений;
Figure 00000035
characterization of message packets;
Figure 00000036
проведения расчетов для пакетов сообщений и их характеристик;
Figure 00000036
calculations for message packets and their characteristics;
Figure 00000037
определения степени загрузки вычислительных ресурсов сервера;
Figure 00000037
determining the degree of load of server computing resources;
Figure 00000038
настройки параметров машины опорных векторов;
Figure 00000038
parameter settings of the machine support vectors;
Figure 00000039
проведения расчетов для машины опорных векторов;
Figure 00000039
calculations for the machine support vectors;
Figure 00000040
накопления и запоминания значений векторов динамического отклика сервера на основе параметров загрузки сервера, характеристик входных и выходных пакетов;
Figure 00000040
accumulation and storage of values of the dynamic response server vectors based on server load parameters, characteristics of input and output packets;
Figure 00000041
вычисления порогового значения ошибки реконструкции по накопленным значениям векторов динамического отклика;
Figure 00000041
calculating the reconstruction error threshold value from the accumulated values of the dynamic response vectors;
Figure 00000042
формирования сигналов о наличии аномальной работы по результатам расчетов;
Figure 00000042
generating signals about the presence of abnormal work according to the calculation results; заключающийся в том, чтоconsisting in the fact that
Figure 00000043
запускают сервер в режиме контролируемой нормальной работы;
Figure 00000043
start the server in a controlled normal operation mode;
Figure 00000044
формируют машину опорных векторов в средстве обнаружения аномальной работы, выполняя следующие действия:
Figure 00000044
form a machine of support vectors in the means of detecting abnormal work by performing the following steps:
Figure 00000045
запоминают и накапливают в единицу времени значения векторов динамического отклика сервера, вычисляемые на основе следующих параметров:
Figure 00000045
the values of the dynamic response vectors of the server are calculated and accumulated per unit time, calculated on the basis of the following parameters:
Figure 00000046
количество, размер и тип входных и выходных пакетов по всем обслуживаемым сервером протоколам;
Figure 00000046
the number, size and type of input and output packets for all protocols served by the server;
Figure 00000047
уровень загруженности процессора сервера;
Figure 00000047
server processor load level;
Figure 00000048
уровень использования оперативной памяти;
Figure 00000048
RAM usage level;
Figure 00000049
уровень использования виртуальной памяти;
Figure 00000049
virtual memory usage level;
Figure 00000050
количество операций ввода-вывода с дисковыми устройствами;
Figure 00000050
number of input / output operations with disk devices;
Figure 00000051
формируют данные для настройки машины опорных векторов;
Figure 00000051
generate data for tuning the machine support vectors;
Figure 00000052
настраивают машину опорных векторов для минимизации эмпирического риска неправильной классификации на сформированных данных;
Figure 00000052
tuning the support vector machine to minimize the empirical risk of incorrect classification on the generated data;
Figure 00000053
устанавливают и запоминают пороговое значение ошибки классификации;
Figure 00000053
set and remember the threshold value of the classification error;
Figure 00000054
запускают сервер в рабочем режиме;
Figure 00000054
start the server in working mode;
Figure 00000055
обнаруживают аномальную работу сервера, выполняя следующие действия:
Figure 00000055
detect abnormal server operation by performing the following steps:
Figure 00000056
вычисляют значение вектора динамического отклика сервера;
Figure 00000056
calculate the value of the dynamic response server vector;
Figure 00000057
вычисляют с помощью машины опорных векторов по вектору динамического отклика значение ошибки классификации;
Figure 00000057
calculate the value of the classification error with the help of the support vector machine by the dynamic response vector;
Figure 00000058
формируют сигнал о наличии аномальной работы сервера при сравнении значения ошибки классификации с пороговым значением.
Figure 00000058
generate a signal about the presence of abnormal server operation when comparing the value of the classification error with a threshold value. 4. Способ по п. 3, в котором машину опорных векторов в средстве обнаружения аномальной работы формируют по принципу одноклассового классификатора.4. The method according to p. 3, in which the machine of support vectors in the means for detecting abnormal operation is formed according to the principle of a single-class classifier.
RU2016105967A 2016-02-20 2016-02-20 Method for detecting anomalous work of network server (options) RU2630415C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2016105967A RU2630415C2 (en) 2016-02-20 2016-02-20 Method for detecting anomalous work of network server (options)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2016105967A RU2630415C2 (en) 2016-02-20 2016-02-20 Method for detecting anomalous work of network server (options)

Publications (2)

Publication Number Publication Date
RU2016105967A RU2016105967A (en) 2017-08-24
RU2630415C2 true RU2630415C2 (en) 2017-09-07

Family

ID=59744504

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2016105967A RU2630415C2 (en) 2016-02-20 2016-02-20 Method for detecting anomalous work of network server (options)

Country Status (1)

Country Link
RU (1) RU2630415C2 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU183015U1 (en) * 2018-03-02 2018-09-07 Общество с ограниченной ответственностью "АСП Лабс" Intrusion detection tool
RU2699685C1 (en) * 2018-12-18 2019-09-09 федеральное государственное бюджетное образовательное учреждение высшего образования "Южно-Российский государственный политехнический университет (НПИ) имени М.И. Платова" Method of analyzing and monitoring the state of a technical installation comprising a plurality of dynamic systems
US11405294B2 (en) 2018-03-22 2022-08-02 Huawei Technologies Co., Ltd. Method and apparatus for determining status of network device
RU2781813C2 (en) * 2018-03-22 2022-10-18 Хуавей Текнолоджиз Ко., Лтд. Method and device for determination of state of network device

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117914687B (en) * 2024-03-20 2024-05-14 深圳市派勤电子技术有限公司 Management method and system of industrial computer server

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130298230A1 (en) * 2012-05-01 2013-11-07 Taasera, Inc. Systems and methods for network flow remediation based on risk correlation
US20150120905A1 (en) * 2013-10-25 2015-04-30 PLUMgrid, Inc. Method and system for monitoring conditions in a dynamic network environment
US20150326460A1 (en) * 2014-05-10 2015-11-12 Xinyuan Wang Network Flow Monitoring
US9369372B1 (en) * 2013-03-13 2016-06-14 Altera Corporation Methods for network forwarding database flushing

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130298230A1 (en) * 2012-05-01 2013-11-07 Taasera, Inc. Systems and methods for network flow remediation based on risk correlation
US9369372B1 (en) * 2013-03-13 2016-06-14 Altera Corporation Methods for network forwarding database flushing
US20150120905A1 (en) * 2013-10-25 2015-04-30 PLUMgrid, Inc. Method and system for monitoring conditions in a dynamic network environment
US20150326460A1 (en) * 2014-05-10 2015-11-12 Xinyuan Wang Network Flow Monitoring

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU183015U1 (en) * 2018-03-02 2018-09-07 Общество с ограниченной ответственностью "АСП Лабс" Intrusion detection tool
US11405294B2 (en) 2018-03-22 2022-08-02 Huawei Technologies Co., Ltd. Method and apparatus for determining status of network device
RU2781813C2 (en) * 2018-03-22 2022-10-18 Хуавей Текнолоджиз Ко., Лтд. Method and device for determination of state of network device
RU2699685C1 (en) * 2018-12-18 2019-09-09 федеральное государственное бюджетное образовательное учреждение высшего образования "Южно-Российский государственный политехнический университет (НПИ) имени М.И. Платова" Method of analyzing and monitoring the state of a technical installation comprising a plurality of dynamic systems

Also Published As

Publication number Publication date
RU2016105967A (en) 2017-08-24

Similar Documents

Publication Publication Date Title
US11201882B2 (en) Detection of malicious network activity
US11316878B2 (en) System and method for malware detection
US10432650B2 (en) System and method to protect a webserver against application exploits and attacks
US10122740B1 (en) Methods for establishing anomaly detection configurations and identifying anomalous network traffic and devices thereof
US10686814B2 (en) Network anomaly detection
KR100942456B1 (en) Method for detecting and protecting ddos attack by using cloud computing and server thereof
US9967169B2 (en) Detecting network conditions based on correlation between trend lines
US11962611B2 (en) Cyber security system and method using intelligent agents
Fu et al. On recognizing virtual honeypots and countermeasures
RU2630415C2 (en) Method for detecting anomalous work of network server (options)
JP2010539574A (en) Intrusion detection method and system
US20230007032A1 (en) Blockchain-based host security monitoring method and apparatus, medium and electronic device
Oliner et al. Community epidemic detection using time-correlated anomalies
US20170318037A1 (en) Distributed anomaly management
US11770387B1 (en) Graph-based detection of lateral movement in computer networks
US20210367958A1 (en) Autonomic incident response system
US10110440B2 (en) Detecting network conditions based on derivatives of event trending
Nikolai et al. A system for detecting malicious insider data theft in IaaS cloud environments
CN103916376A (en) Cloud system with attract defending mechanism and defending method thereof
EP3278536A1 (en) Network operation
Aljuhani et al. Mitigation of application layer DDoS flood attack against web servers
Kamatchi et al. An efficient security framework to detect intrusions at virtual network layer of cloud computing
Ghaleb et al. A framework architecture for agentless cloud endpoint security monitoring
Chen et al. An autonomic detection and protection system for denial of service attack
Bharati et al. A survey on hidden Markov model (HMM) based intention prediction techniques