RU2683631C1 - Computer attacks detection method - Google Patents
Computer attacks detection method Download PDFInfo
- Publication number
- RU2683631C1 RU2683631C1 RU2017143074A RU2017143074A RU2683631C1 RU 2683631 C1 RU2683631 C1 RU 2683631C1 RU 2017143074 A RU2017143074 A RU 2017143074A RU 2017143074 A RU2017143074 A RU 2017143074A RU 2683631 C1 RU2683631 C1 RU 2683631C1
- Authority
- RU
- Russia
- Prior art keywords
- attack
- neural network
- type
- attacks
- parameters
- Prior art date
Links
- 238000001514 detection method Methods 0.000 title claims description 3
- 238000000034 method Methods 0.000 claims abstract description 29
- 238000013528 artificial neural network Methods 0.000 claims abstract description 27
- 238000012549 training Methods 0.000 claims abstract description 14
- 210000002569 neuron Anatomy 0.000 claims description 10
- 210000004205 output neuron Anatomy 0.000 claims description 6
- 239000013598 vector Substances 0.000 claims description 4
- 230000006978 adaptation Effects 0.000 abstract 1
- 230000000694 effects Effects 0.000 abstract 1
- 239000000126 substance Substances 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 208000029078 coronary artery disease Diseases 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Evolutionary Computation (AREA)
- Computational Linguistics (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Biophysics (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
Изобретение относится к области защиты информационных систем и, в частности, к способам обнаружения компьютерных атак на сетевые информационные системы с использованием анализа сетевого трафика.The invention relates to the field of protection of information systems and, in particular, to methods for detecting computer attacks on network information systems using network traffic analysis.
Известен способ защиты от компьютерных атак (КА), реализованный в патенте РФ №2179738 от 20.02.2002 «Способ обнаружения удаленных атак в компьютерной сети», МПК G06F 12/14, G06F 11/00, приоритет 2000 г., включающий наблюдение за трафиком поступающих абоненту пакетов данных, проверку этих пакетов по заданным правилам и подачу сигнала для принятия мер защиты от несанкционированного доступа, когда проверка выявляет соответствие указанным правилам. Для обнаружения попыток несанкционированного доступа, производимых от обманно присвоенного имени другого абонента сети, проводят наблюдение за трафиком адресованных абоненту пакетов данных, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих подряд друг за другом через промежутки времени не более заданного, при этом проверку поступающих пакетов данных на соответствие заданным правилам выполняют каждый раз, когда размер очередной наблюдаемой серии достигает критического числа пакетов.There is a known method of protection against computer attacks (CA), implemented in RF patent No. 2179738 dated 02.20.2002 "Method for detecting remote attacks on a computer network", IPC G06F 12/14, G06F 11/00, priority 2000, including monitoring traffic incoming data packets to the subscriber, checking these packets according to the given rules and signaling for taking measures of protection against unauthorized access, when the check reveals compliance with the specified rules. To detect unauthorized access attempts made from a fraudulently assigned name of another network subscriber, traffic is monitored for data packets addressed to the subscriber, including continuously renewed counting of the number of packets performed within a series of packets arriving in succession after each other at intervals no more than specified, at This verification of incoming data packets for compliance with the given rules is performed every time the size of the next observed series reaches a critical number but packages.
Недостатками данного способа являются: узкая область применения, что обусловлено его предназначением в основном для защиты от подмены одного из участников соединения, и недостаточная достоверность при обнаружении других типов КА. В аналоге применяют ограниченную совокупность признаковых описаний КА. При этом не учитывают масштабирование и другие изменения КА, которые влекут за собой появление новых уязвимостей, так же выявление и защиту от КА в режиме функционирования ИТКС.The disadvantages of this method are: a narrow scope, due to its purpose mainly to protect against substitution of one of the participants in the connection, and lack of reliability when detecting other types of spacecraft. In the analogue, a limited set of attribute descriptions of the spacecraft is used. At the same time, they do not take into account the scaling and other changes of the spacecraft, which entail the emergence of new vulnerabilities, as well as the identification and protection from the spacecraft in the operating mode of the ITKS.
Также известен способ защиты информационно-вычислительных сетей от компьютерных атак, реализованный в патенте РФ №2285287 от 10.10.2006 г. «Способ защиты информационно-вычислительных сетей от компьютерных атак», МПК G06F 12/14, H04L 12/22, приоритет 2005 г. Способ заключается в том, что принимают i-й, где i=l, 2, 3…, пакет сообщения из КС, запоминают его, принимают (i+1)-й пакет сообщения, запоминают его, выделяют из запомненных пакетов сообщений характеризующие их параметры, сравнивают их и по результатам сравнения принимают решение о факте наличия или отсутствия компьютерной атаки. При обнаружении фрагментированных пакетов сообщений их запоминают в предварительно созданном массиве и определяют правильность сборки выявленных фрагментированных пакетов сообщений. В случае невозможности правильной сборки фрагментированных пакетов сообщений принимают решение о наличии КА вида «Teardrop» и запрещают передачу выявленных пакетов сообщений в защищаемую ИБС.Also known is a method of protecting information and computer networks from computer attacks, implemented in RF patent No. 2285287 of 10.10.2006, "Method of protecting information and computer networks from computer attacks", IPC G06F 12/14, H04L 12/22, priority 2005 The method consists in accepting the i-th, where i = l, 2, 3 ..., the message packet from the CS, remembering it, receiving the (i + 1) -th message packet, remembering it, and characterizing the stored message packets their parameters, compare them and, based on the results of the comparison, decide on the presence or absence of computer attack. If fragmented message packets are detected, they are stored in a previously created array and the correct assembly of the identified fragmented message packets is determined. If it is impossible to correctly assemble fragmented message packets, they decide on the presence of a Teardrop-type spacecraft and prohibit the transmission of identified message packets to the protected coronary heart disease.
Недостатком этого способа также является узкая область применения из-за ограниченного набора характеристик, используемых для обнаружения КА, что приводит к возможности обнаружения атак только одного типа.The disadvantage of this method is also a narrow scope due to the limited set of characteristics used to detect spacecraft, which leads to the possibility of detecting attacks of only one type.
Наиболее близким по технической сущности к предлагаемому способу является способ обнаружения компьютерных атак на сетевую компьютерную систему, реализованный в патенте РФ №2538292 от 10.01.2015 г «», МПК G06F 21/55, приоритет 2013 г. Способ заключается в том, что устанавливают и запоминают пороговые значения параметров, причем в качестве параметров, рассчитываемых в единицу времени, выбираются следующие:The closest in technical essence to the proposed method is a method for detecting computer attacks on a network computer system, implemented in RF patent No. 2538292 dated 01/10/2015, “”, IPC G06F 21/55, priority 2013. The method consists in installing and the threshold values of the parameters are stored, and the following are selected as parameters calculated per unit time:
RIP =VIN/VOUT - интенсивность трафика по протоколу IP,R IP = V IN / V OUT - traffic intensity over IP,
где VIN - объем входящего трафика, принятого по протоколу IP;where V IN is the amount of incoming traffic received over IP;
VOUT - объем исходящего трафика, отправленного по протоколу IP;V OUT - the amount of outgoing traffic sent over IP;
NCR - количество потоков критических приложений;N CR is the number of threads of critical applications;
DACK =|NOUT-NIN| - обмен ACK-флагами в ТСР-трафике,D ACK = | N OUT -N IN | - exchange of ACK flags in TCP traffic,
где NOUT - количество исходящих ACK-флагов в ТСР-трафике;where N OUT is the number of outgoing ACK flags in TCP traffic;
NIN - количество входящих АСК-флагов в ТСР-трафике;N IN is the number of incoming ACK flags in TCP traffic;
RUDP=VUDP/VTCP - соотношение входящего UDP и ТСР-трафика,R UDP = V UDP / V TCP - the ratio of incoming UDP and TCP traffic,
где VUDP - объем входящего UDP-трафика;where V UDP is the amount of incoming UDP traffic;
VTCP - объем входящего ТСР-трафика;V TCP - the amount of incoming TCP traffic;
RNUD=NUDP/NTCP - соотношение входящих UDP и ТСР-пакетов,R NUD = N UDP / N TCP - the ratio of incoming UDP and TCP packets,
где NUDP - количество входящих UDP-пакетов;where N UDP is the number of incoming UDP packets;
NTCP - количество входящих ТСР-пакетов;N TCP - the number of incoming TCP packets;
RICM =VICM/VIN - соотношение входящего трафика по протоколу ICMP и IP,R ICM = V ICM / V IN - ratio of incoming traffic via ICMP and IP,
где VICM - объем входящего трафика, полученного по протоколу ICMP;where V ICM is the amount of incoming traffic received via ICMP;
RSP=NSYN/NPSH - соотношение SYN и PSH-флагов во входящих пакетах, переданных по протоколу TCP,R SP = N SYN / N PSH - the ratio of SYN and PSH flags in incoming packets transmitted over TCP,
где NSYN - количество SYN-флагов во входящих пакетах, переданных по протоколу TCP;where N SYN is the number of SYN flags in incoming packets transmitted over TCP;
NPSH - количество PSH-флагов во входящих пакетах, переданных по протоколу TCP;N PSH - the number of PSH flags in incoming packets transmitted over TCP;
RTCP=NPSH/(NTCP-NPSH) - интенсивность трафика по протоколу TCP,R TCP = N PSH / (N TCP -N PSH ) - traffic intensity over TCP,
где NTCP - количество входящих пакетов, передаваемых по протоколу TCP;where N TCP - the number of incoming packets transmitted over TCP;
LAVG =VIN/NIP - соотношение объема и количества входящих пакетов, передаваемых по протоколу IP,L AVG = V IN / N IP - the ratio of the volume and number of incoming packets transmitted over IP,
где NIP - количество входящих пакетов, передаваемых по протоколу IP;where N IP - the number of incoming packets transmitted over IP;
LTCP=VTCP/NTCP - соотношение объема и количества входящих пакетов, передаваемых по протоколу TCP,L TCP = V TCP / N TCP - the ratio of the volume and the number of incoming packets transmitted over TCP,
где VTCP - объем входящего трафика, принятого по протоколу TCP;where V TCP is the amount of incoming traffic received over TCP;
NTCP - количество входящих пакетов, передаваемых по протоколу TCP;N TCP - the number of incoming packets transmitted over TCP;
принимают из сети последовательность пакетов сообщений;receive a sequence of message packets from the network;
запоминают принятые пакеты сообщений;remember the received message packets;
выделяют из запомненных пакетов сообщений характеризующие их данные;extracting data characterizing their stored message packets;
рассчитывают значения параметров, зависящих от полученных пакетов сообщений;calculate the values of the parameters depending on the received message packets;
сравнивают рассчитанные значения параметров с пороговыми значениями;comparing the calculated parameter values with threshold values;
принимают решение о факте наличия или отсутствия компьютерной атаки при сравнении рассчитанных значений параметров с пороговыми значениями;decide on the presence or absence of a computer attack when comparing the calculated parameter values with threshold values;
определяют тип одиночной компьютерной атаки по сочетанию рассчитанных значений параметров на основе следующих условий:determine the type of a single computer attack by a combination of calculated parameter values based on the following conditions:
если значения параметров RIP и NCR превысили пороговое значение, то определяется атака типа HTTP-flood (условие 1);if the values of the parameters R IP and N CR exceeded the threshold value, an attack of the HTTP flood type is determined (condition 1);
если значения параметров RIP, DACK и RSP превысили пороговое значение, a RTCP и LTCP меньше порогового значения, то определяется атака типа SYN-flood (условие 2);if the values of the parameters R IP , D ACK, and R SP exceeded the threshold value, and R TCP and L TCP are less than the threshold value, then an SYN-flood attack is determined (condition 2);
если значения параметров RIP, RTCP и DACK превысили пороговое значение, то определяется атака типа TCP-flood (условие 3);if the values of the parameters R IP , R TCP, and D ACK have exceeded the threshold value, an attack of the TCP-flood type is determined (condition 3);
если значения параметров RIP, RUDP и RNUD превысили пороговое значение, то определяется атака типа UDP-flood (условие 4);if the values of the RIP, R UDP and R NUD parameters have exceeded the threshold value, an attack of the UDP-flood type is determined (condition 4);
если значения параметров RIP и RICM превысили пороговое значение, а LAVG меньше порогового значения, то определяется атака типа ICMP-flood (условие 5);if the values of the RIP and RICM parameters have exceeded the threshold value, and LAVG is less than the threshold value, an attack of the ICMP-flood type is determined (condition 5);
определяют комбинированную компьютерную атаку по сочетанию рассчитанных значений параметров на основе следующих условий:determine a combined computer attack by a combination of calculated parameter values based on the following conditions:
если одновременно выполняется условие 1 и условие 2, то определяют комбинированную атаку HTTP-flood и SYN-flood;if
если одновременно выполняется условие 1 и условие 3, то определяют комбинированную атаку HTTP-flood и TCP-flood;if
если одновременно выполняется условие 1 и условие 5, то определяют комбинированную атаку HTTP-flood и ICMP-flood;if
если одновременно выполняется условие 2 и условие 5, то определяют комбинированную атаку SYN-flood и ICMP-flood;if condition 2 and
если одновременно выполняется условие 3 и условие 5, то определяют комбинированную атаку TCP-flood и ICMP-flood.if
Описанный способ принят за прототип.The described method is adopted as a prototype.
Известный способ обеспечивает обнаружение атак разных видов, а также возможность обнаружения комбинированных одновременных атак.The known method provides the detection of attacks of various types, as well as the ability to detect combined simultaneous attacks.
Недостатками ближайшего аналога является узкая область применения из-за ограниченной возможности обнаружения широкого спектра типов компьютерных атак.The disadvantages of the closest analogue is the narrow scope due to the limited ability to detect a wide range of types of computer attacks.
Техническим результатом, достигаемым при использовании заявленного способа, является разработка способа обнаружения компьютерных атак различных типов (включая ранее неизвестные типы) за счет использования искусственной нейронной сети, обладающей возможностью адаптации и прогнозирования.The technical result achieved by using the claimed method is to develop a method for detecting computer attacks of various types (including previously unknown types) through the use of an artificial neural network with the ability to adapt and predict.
Указанный технический результат достигается тем, что в известном способе обнаружения компьютерных атак, заключающийся в том, что устанавливают и запоминают пороговые значения параметров, рассчитываемых в единицу времени, принимают из сети последовательность пакетов сообщений, запоминают принятые пакеты сообщений, выделяют из пакетов сообщений характеризующие их данные, рассчитывают значения параметров, зависящих от полученных пакетов сообщений, сравнивают рассчитанные значения параметров с пороговыми значениями, принимают решение о факте наличия или отсутствия компьютерной атаки при сравнении рассчитанных значений параметров с пороговыми значениями. Предварительно задают необходимое число определяемых типов атак Z≥1. Также предварительно задают количество L обучающих и С контрольных примеров для каждого типа атак. Определяют виды протоколов и необходимые параметры Fij, где i≤Z, требуемые для распознавания атак заданных типов и используют эти параметры в качестве характеризующих пакеты данных. Задают структуру нейронной сети: тип нейронной сети R, количество скрытых слоев U, количество нейронов во входном слое, скрытых слоях и выходном слое таким образом, что число нейронов во входном слое N определяется количеством полей протоколов, необходимых для распознавания атак заданных типов, а число нейронов в выходном слое равно К. Формируют необходимое количество обучающих примеров, представляющих собой векторы размерности N+K, где первые N элементов равны значениям определенных полей протоколов, а последние K равны нулю за исключением значения, соответствующего типу атаки, к которой относится данный элемент выборки, которое равно единице. Задают требуемую достоверность распознавания D для нейронной сети, обучают нейронную сеть с использованием подготовленных примеров. Завершают обучение нейронной сети после выполнения всех итераций генерации выборок или по достижении требуемой достоверности распознавания. При наличии компьютерной атаки определяют тип одиночной компьютерной атаки по сочетанию рассчитанных значений параметров Oj на основе следующих условий: если значение, полученное только на одном из выходных нейронов, превысило пороговое значение, то определяют тип атаки Aj, если значение, полученное на нескольких выходных нейронах, превысило пороговое значение, то тип атаки считают комбинированным и добавляют к типу атаки тип Aj.The specified technical result is achieved in that in the known method for detecting computer attacks, which consists in setting and storing threshold values of parameters calculated per unit time, receiving a sequence of message packets from the network, storing received message packets, and extracting data characterizing them from message packets , calculate the values of the parameters depending on the received message packets, compare the calculated values of the parameters with threshold values, make a decision the fact of the presence or absence of a computer attack when comparing the calculated parameter values with threshold values. Pre-set the required number of determined types of attacks Z≥1. The number of L training and C test cases for each type of attack is also predefined. The types of protocols and the necessary parameters F ij are determined, where i≤Z required to recognize attacks of specified types and use these parameters as characterizing data packets. The structure of the neural network is defined: the type of the neural network R, the number of hidden layers U, the number of neurons in the input layer, hidden layers and the output layer so that the number of neurons in the input layer N is determined by the number of protocol fields needed to recognize attacks of specified types, and the number the number of neurons in the output layer is K. The required number of training examples is formed, which are vectors of dimension N + K, where the first N elements are equal to the values of certain protocol fields, and the last K are zero except the value corresponding to the type of attack to which this sample element belongs, which is equal to one. The required recognition accuracy D is set for the neural network, the neural network is trained using the prepared examples. The neural network is completed after completing all iterations of sample generation or when the required recognition accuracy is achieved. In the presence of a computer attack, determine the type of a single computer attack by combining the calculated values of the parameters O j based on the following conditions: if the value obtained on only one of the output neurons exceeds the threshold value, then the type of attack A j is determined if the value obtained on several days off neurons exceeded the threshold value, the type of attack is considered combined and type A j is added to the type of attack.
Благодаря новой совокупности существенных признаков в заявленном способе за счет применения искусственной нейронной сети, обеспечивающей возможность обнаружения компьютерных атак различного типа (включая ранее неизвестные типы), а также обладающей адаптивностью и прогнозированием процесса обнаружения компьютерных атак, обеспечивается достижение сформулированного технического результата: расширение области применения заявленного технического решения.Thanks to the new set of essential features in the claimed method due to the use of an artificial neural network that provides the ability to detect computer attacks of various types (including previously unknown types), as well as having adaptability and prediction of the process of detecting computer attacks, the stated technical result is achieved: expanding the scope of the claimed technical solution.
Заявленный способ поясняется чертежами, на которых изображено следующее:The claimed method is illustrated by drawings, which depict the following:
на фиг. 1 - общая структурная схема ИВС;in FIG. 1 is a general structural diagram of an IVS;
на фиг. 2 -блок-схема алгоритма заявленного способа;in FIG. 2 is a block diagram of the algorithm of the claimed method;
на фиг. 3 - заголовок IP-пакета;in FIG. 3 - IP packet header;
на фиг. 4 - общая схема архитектуры ИНС.in FIG. 4 is a general diagram of the ANN architecture.
Работа заявленного способа иллюстрируется на примере структурной схемы ИВС, показанной на фиг. 1. Она включает в себя первичную сеть, состоящую из 1 - точки выхода в глобальную сеть Интернет; 2 - пограничного маршрутизатора; И вторичную сеть, состоящую из: 3 - демилитаризованной зоны, включающей в себя: 3.1 - межсетевые экраны 3.2 - веб-сервер, доступный из глобальной сети, 3.3 - коммутатор, работающий в зеркалирующем режиме, 3.4 - выделенный сервер; 4 - серверной фермы, включающей в себя: 4.1. - коммутатор серверной фермы, 4.2 - сервер баз данных; 5 - пользовательской локальной сети, включающей в себя: 5.1 - АРМ пользователей, 5.2 - сетевой принтер, 5.3 - коммутатор пользовательской ЛВС; 6 - транспортной сети,, включающей в себя: 6.1 - маршрутизаторы транспортной сети, 6.2. - коммутатор транспортной сети; 7 - хранилище данных включающего 7.1 - системы хранения данных.The operation of the claimed method is illustrated by the example of the structural diagram of the IVS shown in FIG. 1. It includes a primary network, consisting of 1 - access points to the global Internet; 2 - an edge router; And a secondary network consisting of: 3 - a demilitarized zone, including: 3.1 - firewalls 3.2 - a web server accessible from the global network, 3.3 - a switch operating in mirroring mode, 3.4 - a dedicated server; 4 - server farm, including: 4.1. - server farm switch; 4.2 - database server; 5 - user local network, including: 5.1 - workstation users, 5.2 - network printer, 5.3 - user LAN switch; 6 - transport network, including: 6.1 - routers of the transport network, 6.2. - transport network switch; 7 - data storage including 7.1 - data storage systems.
Для формирования обучающего и тестового множества примеров, а также дальнейшего анализа сетевых пакетов в состав ИВС включается выделенный сервер - 3.4, подключенный к зеркальному порту коммутатора, находящегося, находящегося в ДМЗ ИВС, обладающий следующими возможностями:For the formation of a training and test set of examples, as well as further analysis of network packets, a dedicated server, 3.4, connected to the mirror port of the switch located in the DMZ IVS, is included in the IVS, which has the following capabilities:
- прием из сети и запоминание пакетов сообщений;- receiving from the network and storing message packets;
- определения характеристик пакетов сообщений;- characterization of message packets;
- обеспечение выполнения операций в ИНС;- ensuring the performance of operations in the ANN;
- формирование сигналов о наличии атаки по результатам расчетов. Такой способ включения выделенного сервера в ИВС позволяет анализировать сетевые пакеты, как исходящие из внешней, так и из внутренней сети.- formation of signals about the presence of attacks according to the results of calculations. This method of including a dedicated server in the IVS allows you to analyze network packets, both outgoing from the external and internal network.
Реализация заявленного способа поясняется алгоритмом (фиг. 2) и объясняется следующим образом.The implementation of the claimed method is illustrated by the algorithm (Fig. 2) and is explained as follows.
На начальном этапе задают необходимое число определяемых типов атак Z≥1, количество обучающих L и контрольных С примеров для каждого типа атак.At the initial stage, the required number of determined attack types Z≥1, the number of training L and control C examples for each type of attack are set.
Определяют виды протоколов и необходимые параметры Fij (см. фиг. 3), где i≤Z, требуемые для распознавания атак заданных типов.The types of protocols and the necessary parameters F ij are determined (see Fig. 3), where i≤Z required to recognize attacks of specified types.
Задают структуру нейронной сети (см. фиг. 4): тип нейронной сети R, количество скрытых слоев U, количество нейронов во входном слое, скрытых слоях и выходном слое таким образом, что число нейронов во входном слое N определяется количеством различных полей протоколов, необходимых для распознавания атак заданных типов, а число нейронов в выходном слое равно K.The structure of the neural network is defined (see Fig. 4): the type of the neural network R, the number of hidden layers U, the number of neurons in the input layer, hidden layers and the output layer so that the number of neurons in the input layer N is determined by the number of different protocol fields required to recognize attacks of specified types, and the number of neurons in the output layer is K.
Подготавливают необходимое количество обучающих примеров, представляющих собой векторы размерности N+K, где первые N элементов равны значениям определенных полей протоколов, а последние K равны нулю за исключением значения, соответствующего типу атаки, к которой относится данный элемент выборки, которое равно единице.The required number of training examples is prepared, which are vectors of dimension N + K, where the first N elements are equal to the values of certain protocol fields and the last K are equal to zero except for the value corresponding to the type of attack to which this sample element belongs, which is equal to one.
Задают требуемую достоверность распознавания D для нейронной сети.Set the required recognition accuracy D for the neural network.
Проводят обучение нейронной сети методами, описанными в [5] с использованием подготовленных примеров.The neural network is trained by the methods described in [5] using the prepared examples.
Завершают обучение нейронной сети после выполнения всех итераций генерации выборок или по достижении требуемой достоверности распознавания.The neural network is completed after completing all iterations of sample generation or when the required recognition accuracy is achieved.
Устанавливают и запоминают пороговые значения выходных нейронов нейронной сети Тk, k≤K.The threshold values of the output neurons of the neural network T k , k≤K are set and stored.
Принимают из сети последовательность пакетов сообщений.Receive a sequence of message packets from the network.
Запоминают принятые пакеты сообщений.Remember the received message packets.
Выделяют из запомненных пакетов сообщений необходимые поля протоколов.The necessary protocol fields are extracted from the stored message packets.
Подают векторы, сформированные из выделенных полей на вход нейронной сети.The vectors generated from the selected fields are fed to the input of the neural network.
Сравнивают выходные значения, полученные в результате работы нейронной сети, с пороговыми значениями.The output values obtained as a result of the operation of the neural network are compared with threshold values.
Принимают решение о факте наличия или отсутствия компьютерной атаки при сравнении рассчитанных значений параметров с пороговыми значениями.Make a decision about the presence or absence of a computer attack when comparing the calculated parameter values with threshold values.
При наличии компьютерной атаки определяют тип одиночной компьютерной атаки по сочетанию рассчитанных значений параметров Oj на основе следующих условий:In the presence of a computer attack, the type of a single computer attack is determined by a combination of the calculated values of the Oj parameters based on the following conditions:
если значение, полученное только на одном из выходных нейронов, превысило пороговое значение, то определяют тип атаки Aj;if the value obtained on only one of the output neurons exceeded the threshold value, then determine the type of attack A j ;
если значение, полученное на нескольких выходных нейронах, превысило пороговое значение, то тип атаки считают комбинированным и добавляют к типу атаки тип Aj.if the value obtained on several output neurons exceeded the threshold value, then the type of attack is considered combined and type A j is added to the type of attack.
Возможность реализации сформулированного технического результата была проверена путем моделирования с использованием программного обеспечения, реализующего процесс обнаружения КА с использованием ИНС. В качестве примера с помощью утилит [2, 3, 4] были созданы обучающие примеры, содержащие сетевые пакеты, характерные для различных типов КА: DoS, Spoofing, сканирование портов. Была построена и обучена ИНС типа «многослойный персептрон» и произведено ее обучение методом обратного распространения ошибки [5]. В результате была достигнута высокая точность обнаружения КА рассмотренных типов. Результаты приведены в табл. 1.The possibility of realizing the formulated technical result was tested by modeling using software that implements the process of detecting spacecraft using ANN. As an example, using the utilities [2, 3, 4], training examples were created containing network packets typical for various types of spacecraft: DoS, Spoofing, port scanning. An ANN of the “multilayer perceptron” type was built and trained, and its training was performed by the method of back propagation of error [5]. As a result, high accuracy of detecting spacecraft of the considered types was achieved. The results are shown in table. one.
Используемая литература:Used Books:
1) Хайкин С. Нейронные сети: полный курс, 2-е издание: Пер. с англ. - М.: Издательский дом «Вильямс», 2008. - 1104 с. 1) Khaikin S. Neural networks: full course, 2nd edition: Trans. from English - M.: Williams Publishing House, 2008. - 1104 p.
2) Nessus Vulnerability Scanner | Tenable Network Security [Электронный ресурс]. URL: https://www.tenable.com/products/nessus-vulnerability-scanner (дата обращения: 19.06.2017).2) Nessus Vulnerability Scanner | Tenable Network Security [Electronic resource]. URL: https://www.tenable.com/products/nessus-vulnerability-scanner (accessed date: 06/19/2017).
3) XSpider - Positive Technologies [Электронный ресурс]. URL: https://www.ptsecurity.com/ru-ru/products/xspider (дата обращения: 19.06.2017).3) XSpider - Positive Technologies [Electronic resource]. URL: https://www.ptsecurity.com/ru-ru/products/xspider (accessed: 06/19/2017).
4) Nmap: the Network Mapper - Free Security Scanner. [Электронный ресурс]. URL: https://nmap.org (дата обращения: 19.06.2017).4) Nmap: the Network Mapper - Free Security Scanner. [Electronic resource]. URL: https://nmap.org (accessed: 06/19/2017).
5) Осовский С. Нейронные сети для обработки информации/ Пер. с польского И.Д. Рудинского. - М.: Финансы и статистика, 2002. - 344 с. 5) Osovsky S. Neural networks for information processing / Per. from Polish I.D. Rudinsky. - M.: Finance and Statistics, 2002. - 344 p.
Claims (1)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2017143074A RU2683631C1 (en) | 2017-12-08 | 2017-12-08 | Computer attacks detection method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2017143074A RU2683631C1 (en) | 2017-12-08 | 2017-12-08 | Computer attacks detection method |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2683631C1 true RU2683631C1 (en) | 2019-03-29 |
Family
ID=66089669
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2017143074A RU2683631C1 (en) | 2017-12-08 | 2017-12-08 | Computer attacks detection method |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2683631C1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113489675A (en) * | 2021-05-25 | 2021-10-08 | 深圳供电局有限公司 | Power terminal intrusion detection method, device, equipment and storage medium |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2179738C2 (en) * | 2000-04-24 | 2002-02-20 | Вильчевский Никита Олегович | Method for detecting remote attacks in computer network |
RU2285287C1 (en) * | 2005-04-04 | 2006-10-10 | Военная академия связи | Method for protecting computer networks from computer attacks |
US20120151583A1 (en) * | 2010-12-13 | 2012-06-14 | Electronics And Telecommunications Research Institute | Ddos attack detection and defense apparatus and method |
US8423645B2 (en) * | 2004-09-14 | 2013-04-16 | International Business Machines Corporation | Detection of grid participation in a DDoS attack |
RU2538292C1 (en) * | 2013-07-24 | 2015-01-10 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Method of detecting computer attacks to networked computer system |
-
2017
- 2017-12-08 RU RU2017143074A patent/RU2683631C1/en not_active IP Right Cessation
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2179738C2 (en) * | 2000-04-24 | 2002-02-20 | Вильчевский Никита Олегович | Method for detecting remote attacks in computer network |
US8423645B2 (en) * | 2004-09-14 | 2013-04-16 | International Business Machines Corporation | Detection of grid participation in a DDoS attack |
RU2285287C1 (en) * | 2005-04-04 | 2006-10-10 | Военная академия связи | Method for protecting computer networks from computer attacks |
US20120151583A1 (en) * | 2010-12-13 | 2012-06-14 | Electronics And Telecommunications Research Institute | Ddos attack detection and defense apparatus and method |
RU2538292C1 (en) * | 2013-07-24 | 2015-01-10 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Method of detecting computer attacks to networked computer system |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113489675A (en) * | 2021-05-25 | 2021-10-08 | 深圳供电局有限公司 | Power terminal intrusion detection method, device, equipment and storage medium |
CN113489675B (en) * | 2021-05-25 | 2023-08-25 | 深圳供电局有限公司 | Method, device, equipment and storage medium for detecting intrusion of power terminal |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11797671B2 (en) | Cyberanalysis workflow acceleration | |
Blazek et al. | A novel approach to detection of “denial–of–service” attacks via adaptive sequential and batch–sequential change–point detection methods | |
Bouzida et al. | Neural networks vs. decision trees for intrusion detection | |
Kim | Supervised learning‐based DDoS attacks detection: Tuning hyperparameters | |
Bouyeddou et al. | Detecting network cyber-attacks using an integrated statistical approach | |
JP2008306706A (en) | Method and apparatus for detecting anomaly in signaling flows | |
Akilandeswari et al. | Probabilistic neural network based attack traffic classification | |
RU2680756C1 (en) | Method of detecting network attacks based on analysis of traffic time structure | |
Naik et al. | Honeypots that bite back: A fuzzy technique for identifying and inhibiting fingerprinting attacks on low interaction honeypots | |
Naik et al. | D-FRI-Honeypot: A secure sting operation for hacking the hackers using dynamic fuzzy rule interpolation | |
Anbarestani et al. | An iterative alert correlation method for extracting network intrusion scenarios | |
Aparicio-Navarro et al. | Addressing multi-stage attacks using expert knowledge and contextual information | |
Shamsolmoali et al. | C2DF: High rate DDOS filtering method in cloud computing | |
RU2683631C1 (en) | Computer attacks detection method | |
Melo et al. | A novel immune detection approach enhanced by attack graph based correlation | |
Callegari et al. | On the proper choice of datasets and traffic features for real-time anomaly detection | |
Kondakci | Intelligent network security assessment with modeling and analysis of attack patterns | |
Sabeel et al. | Analyzing the Quality of Synthetic Adversarial Cyberattacks | |
Ntlangu | Modelling computer network traffic using wavelets and time series analysis | |
Yücebaş | An entropy based DDoS detection method and implementation | |
AsSadhan et al. | Network anomaly detection using a cross‐correlation‐based long‐range dependence analysis | |
EP4105800A1 (en) | Method for detection of lateral movement of malware | |
Brunner | Reassembler-Towards a Global DDoS Attack Analysis Using Attack Fingerprints | |
Victor et al. | A bayesian classification on asset vulnerability for real time reduction of false positives in ids | |
RU2704741C2 (en) | Method of protection against ddos-attack on basis of traffic classification |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20191209 |