RU2683631C1 - Computer attacks detection method - Google Patents

Computer attacks detection method Download PDF

Info

Publication number
RU2683631C1
RU2683631C1 RU2017143074A RU2017143074A RU2683631C1 RU 2683631 C1 RU2683631 C1 RU 2683631C1 RU 2017143074 A RU2017143074 A RU 2017143074A RU 2017143074 A RU2017143074 A RU 2017143074A RU 2683631 C1 RU2683631 C1 RU 2683631C1
Authority
RU
Russia
Prior art keywords
attack
neural network
type
attacks
parameters
Prior art date
Application number
RU2017143074A
Other languages
Russian (ru)
Inventor
Владислав Евгеньевич Дементьев
Сергей Хаирбекович Киреев
Михаил Антонович Коцыняк
Олег Сергеевич Лаута
Игорь Геннадьевич Малыгин
Original Assignee
федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации
Федеральное государственное бюджетное учреждение науки Институт проблем транспорта им. Н.С. Соломенко Российской академии наук
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации, Федеральное государственное бюджетное учреждение науки Институт проблем транспорта им. Н.С. Соломенко Российской академии наук filed Critical федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации
Priority to RU2017143074A priority Critical patent/RU2683631C1/en
Application granted granted Critical
Publication of RU2683631C1 publication Critical patent/RU2683631C1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Evolutionary Computation (AREA)
  • Computational Linguistics (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Biophysics (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

FIELD: computer equipment.
SUBSTANCE: invention relates to the computer equipment. Method of detecting computer attacks consists in the fact that: setting and storing threshold values of parameters; receiving from a network a sequence of message packets, storing received message packets; selecting, from message packets, data characterizing said data; calculating parameter values; comparing calculated values of parameters with threshold values; making a decision on whether or not a computer attack exists; characterized in that: predetermined required number of determined types of attacks, number of training and control examples for each type of attacks; determining types of protocols and required parameters and using these parameters as characterizing data packets; specifying neural network structure; generating the required number of training examples; setting required reliability of recognition for neural network; training a neural network; completing neural network training; in the presence of a computer attack is used to determine its type.
EFFECT: design of a method of detecting computer attacks of various types by using an artificial neural network having the possibility of adaptation and prediction.
1 cl, 1 tbl, 4 dwg

Description

Изобретение относится к области защиты информационных систем и, в частности, к способам обнаружения компьютерных атак на сетевые информационные системы с использованием анализа сетевого трафика.The invention relates to the field of protection of information systems and, in particular, to methods for detecting computer attacks on network information systems using network traffic analysis.

Известен способ защиты от компьютерных атак (КА), реализованный в патенте РФ №2179738 от 20.02.2002 «Способ обнаружения удаленных атак в компьютерной сети», МПК G06F 12/14, G06F 11/00, приоритет 2000 г., включающий наблюдение за трафиком поступающих абоненту пакетов данных, проверку этих пакетов по заданным правилам и подачу сигнала для принятия мер защиты от несанкционированного доступа, когда проверка выявляет соответствие указанным правилам. Для обнаружения попыток несанкционированного доступа, производимых от обманно присвоенного имени другого абонента сети, проводят наблюдение за трафиком адресованных абоненту пакетов данных, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих подряд друг за другом через промежутки времени не более заданного, при этом проверку поступающих пакетов данных на соответствие заданным правилам выполняют каждый раз, когда размер очередной наблюдаемой серии достигает критического числа пакетов.There is a known method of protection against computer attacks (CA), implemented in RF patent No. 2179738 dated 02.20.2002 "Method for detecting remote attacks on a computer network", IPC G06F 12/14, G06F 11/00, priority 2000, including monitoring traffic incoming data packets to the subscriber, checking these packets according to the given rules and signaling for taking measures of protection against unauthorized access, when the check reveals compliance with the specified rules. To detect unauthorized access attempts made from a fraudulently assigned name of another network subscriber, traffic is monitored for data packets addressed to the subscriber, including continuously renewed counting of the number of packets performed within a series of packets arriving in succession after each other at intervals no more than specified, at This verification of incoming data packets for compliance with the given rules is performed every time the size of the next observed series reaches a critical number but packages.

Недостатками данного способа являются: узкая область применения, что обусловлено его предназначением в основном для защиты от подмены одного из участников соединения, и недостаточная достоверность при обнаружении других типов КА. В аналоге применяют ограниченную совокупность признаковых описаний КА. При этом не учитывают масштабирование и другие изменения КА, которые влекут за собой появление новых уязвимостей, так же выявление и защиту от КА в режиме функционирования ИТКС.The disadvantages of this method are: a narrow scope, due to its purpose mainly to protect against substitution of one of the participants in the connection, and lack of reliability when detecting other types of spacecraft. In the analogue, a limited set of attribute descriptions of the spacecraft is used. At the same time, they do not take into account the scaling and other changes of the spacecraft, which entail the emergence of new vulnerabilities, as well as the identification and protection from the spacecraft in the operating mode of the ITKS.

Также известен способ защиты информационно-вычислительных сетей от компьютерных атак, реализованный в патенте РФ №2285287 от 10.10.2006 г. «Способ защиты информационно-вычислительных сетей от компьютерных атак», МПК G06F 12/14, H04L 12/22, приоритет 2005 г. Способ заключается в том, что принимают i-й, где i=l, 2, 3…, пакет сообщения из КС, запоминают его, принимают (i+1)-й пакет сообщения, запоминают его, выделяют из запомненных пакетов сообщений характеризующие их параметры, сравнивают их и по результатам сравнения принимают решение о факте наличия или отсутствия компьютерной атаки. При обнаружении фрагментированных пакетов сообщений их запоминают в предварительно созданном массиве и определяют правильность сборки выявленных фрагментированных пакетов сообщений. В случае невозможности правильной сборки фрагментированных пакетов сообщений принимают решение о наличии КА вида «Teardrop» и запрещают передачу выявленных пакетов сообщений в защищаемую ИБС.Also known is a method of protecting information and computer networks from computer attacks, implemented in RF patent No. 2285287 of 10.10.2006, "Method of protecting information and computer networks from computer attacks", IPC G06F 12/14, H04L 12/22, priority 2005 The method consists in accepting the i-th, where i = l, 2, 3 ..., the message packet from the CS, remembering it, receiving the (i + 1) -th message packet, remembering it, and characterizing the stored message packets their parameters, compare them and, based on the results of the comparison, decide on the presence or absence of computer attack. If fragmented message packets are detected, they are stored in a previously created array and the correct assembly of the identified fragmented message packets is determined. If it is impossible to correctly assemble fragmented message packets, they decide on the presence of a Teardrop-type spacecraft and prohibit the transmission of identified message packets to the protected coronary heart disease.

Недостатком этого способа также является узкая область применения из-за ограниченного набора характеристик, используемых для обнаружения КА, что приводит к возможности обнаружения атак только одного типа.The disadvantage of this method is also a narrow scope due to the limited set of characteristics used to detect spacecraft, which leads to the possibility of detecting attacks of only one type.

Наиболее близким по технической сущности к предлагаемому способу является способ обнаружения компьютерных атак на сетевую компьютерную систему, реализованный в патенте РФ №2538292 от 10.01.2015 г «», МПК G06F 21/55, приоритет 2013 г. Способ заключается в том, что устанавливают и запоминают пороговые значения параметров, причем в качестве параметров, рассчитываемых в единицу времени, выбираются следующие:The closest in technical essence to the proposed method is a method for detecting computer attacks on a network computer system, implemented in RF patent No. 2538292 dated 01/10/2015, “”, IPC G06F 21/55, priority 2013. The method consists in installing and the threshold values of the parameters are stored, and the following are selected as parameters calculated per unit time:

RIP =VIN/VOUT - интенсивность трафика по протоколу IP,R IP = V IN / V OUT - traffic intensity over IP,

где VIN - объем входящего трафика, принятого по протоколу IP;where V IN is the amount of incoming traffic received over IP;

VOUT - объем исходящего трафика, отправленного по протоколу IP;V OUT - the amount of outgoing traffic sent over IP;

NCR - количество потоков критических приложений;N CR is the number of threads of critical applications;

DACK =|NOUT-NIN| - обмен ACK-флагами в ТСР-трафике,D ACK = | N OUT -N IN | - exchange of ACK flags in TCP traffic,

где NOUT - количество исходящих ACK-флагов в ТСР-трафике;where N OUT is the number of outgoing ACK flags in TCP traffic;

NIN - количество входящих АСК-флагов в ТСР-трафике;N IN is the number of incoming ACK flags in TCP traffic;

RUDP=VUDP/VTCP - соотношение входящего UDP и ТСР-трафика,R UDP = V UDP / V TCP - the ratio of incoming UDP and TCP traffic,

где VUDP - объем входящего UDP-трафика;where V UDP is the amount of incoming UDP traffic;

VTCP - объем входящего ТСР-трафика;V TCP - the amount of incoming TCP traffic;

RNUD=NUDP/NTCP - соотношение входящих UDP и ТСР-пакетов,R NUD = N UDP / N TCP - the ratio of incoming UDP and TCP packets,

где NUDP - количество входящих UDP-пакетов;where N UDP is the number of incoming UDP packets;

NTCP - количество входящих ТСР-пакетов;N TCP - the number of incoming TCP packets;

RICM =VICM/VIN - соотношение входящего трафика по протоколу ICMP и IP,R ICM = V ICM / V IN - ratio of incoming traffic via ICMP and IP,

где VICM - объем входящего трафика, полученного по протоколу ICMP;where V ICM is the amount of incoming traffic received via ICMP;

RSP=NSYN/NPSH - соотношение SYN и PSH-флагов во входящих пакетах, переданных по протоколу TCP,R SP = N SYN / N PSH - the ratio of SYN and PSH flags in incoming packets transmitted over TCP,

где NSYN - количество SYN-флагов во входящих пакетах, переданных по протоколу TCP;where N SYN is the number of SYN flags in incoming packets transmitted over TCP;

NPSH - количество PSH-флагов во входящих пакетах, переданных по протоколу TCP;N PSH - the number of PSH flags in incoming packets transmitted over TCP;

RTCP=NPSH/(NTCP-NPSH) - интенсивность трафика по протоколу TCP,R TCP = N PSH / (N TCP -N PSH ) - traffic intensity over TCP,

где NTCP - количество входящих пакетов, передаваемых по протоколу TCP;where N TCP - the number of incoming packets transmitted over TCP;

LAVG =VIN/NIP - соотношение объема и количества входящих пакетов, передаваемых по протоколу IP,L AVG = V IN / N IP - the ratio of the volume and number of incoming packets transmitted over IP,

где NIP - количество входящих пакетов, передаваемых по протоколу IP;where N IP - the number of incoming packets transmitted over IP;

LTCP=VTCP/NTCP - соотношение объема и количества входящих пакетов, передаваемых по протоколу TCP,L TCP = V TCP / N TCP - the ratio of the volume and the number of incoming packets transmitted over TCP,

где VTCP - объем входящего трафика, принятого по протоколу TCP;where V TCP is the amount of incoming traffic received over TCP;

NTCP - количество входящих пакетов, передаваемых по протоколу TCP;N TCP - the number of incoming packets transmitted over TCP;

принимают из сети последовательность пакетов сообщений;receive a sequence of message packets from the network;

запоминают принятые пакеты сообщений;remember the received message packets;

выделяют из запомненных пакетов сообщений характеризующие их данные;extracting data characterizing their stored message packets;

рассчитывают значения параметров, зависящих от полученных пакетов сообщений;calculate the values of the parameters depending on the received message packets;

сравнивают рассчитанные значения параметров с пороговыми значениями;comparing the calculated parameter values with threshold values;

принимают решение о факте наличия или отсутствия компьютерной атаки при сравнении рассчитанных значений параметров с пороговыми значениями;decide on the presence or absence of a computer attack when comparing the calculated parameter values with threshold values;

определяют тип одиночной компьютерной атаки по сочетанию рассчитанных значений параметров на основе следующих условий:determine the type of a single computer attack by a combination of calculated parameter values based on the following conditions:

если значения параметров RIP и NCR превысили пороговое значение, то определяется атака типа HTTP-flood (условие 1);if the values of the parameters R IP and N CR exceeded the threshold value, an attack of the HTTP flood type is determined (condition 1);

если значения параметров RIP, DACK и RSP превысили пороговое значение, a RTCP и LTCP меньше порогового значения, то определяется атака типа SYN-flood (условие 2);if the values of the parameters R IP , D ACK, and R SP exceeded the threshold value, and R TCP and L TCP are less than the threshold value, then an SYN-flood attack is determined (condition 2);

если значения параметров RIP, RTCP и DACK превысили пороговое значение, то определяется атака типа TCP-flood (условие 3);if the values of the parameters R IP , R TCP, and D ACK have exceeded the threshold value, an attack of the TCP-flood type is determined (condition 3);

если значения параметров RIP, RUDP и RNUD превысили пороговое значение, то определяется атака типа UDP-flood (условие 4);if the values of the RIP, R UDP and R NUD parameters have exceeded the threshold value, an attack of the UDP-flood type is determined (condition 4);

если значения параметров RIP и RICM превысили пороговое значение, а LAVG меньше порогового значения, то определяется атака типа ICMP-flood (условие 5);if the values of the RIP and RICM parameters have exceeded the threshold value, and LAVG is less than the threshold value, an attack of the ICMP-flood type is determined (condition 5);

определяют комбинированную компьютерную атаку по сочетанию рассчитанных значений параметров на основе следующих условий:determine a combined computer attack by a combination of calculated parameter values based on the following conditions:

если одновременно выполняется условие 1 и условие 2, то определяют комбинированную атаку HTTP-flood и SYN-flood;if condition 1 and condition 2 are fulfilled simultaneously, then a combined HTTP-flood and SYN-flood attack is determined;

если одновременно выполняется условие 1 и условие 3, то определяют комбинированную атаку HTTP-flood и TCP-flood;if condition 1 and condition 3 are simultaneously fulfilled, then a combined HTTP-flood and TCP-flood attack is determined;

если одновременно выполняется условие 1 и условие 5, то определяют комбинированную атаку HTTP-flood и ICMP-flood;if condition 1 and condition 5 are fulfilled simultaneously, then a combined HTTP-flood and ICMP-flood attack is determined;

если одновременно выполняется условие 2 и условие 5, то определяют комбинированную атаку SYN-flood и ICMP-flood;if condition 2 and condition 5 are simultaneously fulfilled, then the combined SYN-flood and ICMP-flood attack is determined;

если одновременно выполняется условие 3 и условие 5, то определяют комбинированную атаку TCP-flood и ICMP-flood.if condition 3 and condition 5 are simultaneously fulfilled, then a combined TCP-flood and ICMP-flood attack is determined.

Описанный способ принят за прототип.The described method is adopted as a prototype.

Известный способ обеспечивает обнаружение атак разных видов, а также возможность обнаружения комбинированных одновременных атак.The known method provides the detection of attacks of various types, as well as the ability to detect combined simultaneous attacks.

Недостатками ближайшего аналога является узкая область применения из-за ограниченной возможности обнаружения широкого спектра типов компьютерных атак.The disadvantages of the closest analogue is the narrow scope due to the limited ability to detect a wide range of types of computer attacks.

Техническим результатом, достигаемым при использовании заявленного способа, является разработка способа обнаружения компьютерных атак различных типов (включая ранее неизвестные типы) за счет использования искусственной нейронной сети, обладающей возможностью адаптации и прогнозирования.The technical result achieved by using the claimed method is to develop a method for detecting computer attacks of various types (including previously unknown types) through the use of an artificial neural network with the ability to adapt and predict.

Указанный технический результат достигается тем, что в известном способе обнаружения компьютерных атак, заключающийся в том, что устанавливают и запоминают пороговые значения параметров, рассчитываемых в единицу времени, принимают из сети последовательность пакетов сообщений, запоминают принятые пакеты сообщений, выделяют из пакетов сообщений характеризующие их данные, рассчитывают значения параметров, зависящих от полученных пакетов сообщений, сравнивают рассчитанные значения параметров с пороговыми значениями, принимают решение о факте наличия или отсутствия компьютерной атаки при сравнении рассчитанных значений параметров с пороговыми значениями. Предварительно задают необходимое число определяемых типов атак Z≥1. Также предварительно задают количество L обучающих и С контрольных примеров для каждого типа атак. Определяют виды протоколов и необходимые параметры Fij, где i≤Z, требуемые для распознавания атак заданных типов и используют эти параметры в качестве характеризующих пакеты данных. Задают структуру нейронной сети: тип нейронной сети R, количество скрытых слоев U, количество нейронов во входном слое, скрытых слоях и выходном слое таким образом, что число нейронов во входном слое N определяется количеством полей протоколов, необходимых для распознавания атак заданных типов, а число нейронов в выходном слое равно К. Формируют необходимое количество обучающих примеров, представляющих собой векторы размерности N+K, где первые N элементов равны значениям определенных полей протоколов, а последние K равны нулю за исключением значения, соответствующего типу атаки, к которой относится данный элемент выборки, которое равно единице. Задают требуемую достоверность распознавания D для нейронной сети, обучают нейронную сеть с использованием подготовленных примеров. Завершают обучение нейронной сети после выполнения всех итераций генерации выборок или по достижении требуемой достоверности распознавания. При наличии компьютерной атаки определяют тип одиночной компьютерной атаки по сочетанию рассчитанных значений параметров Oj на основе следующих условий: если значение, полученное только на одном из выходных нейронов, превысило пороговое значение, то определяют тип атаки Aj, если значение, полученное на нескольких выходных нейронах, превысило пороговое значение, то тип атаки считают комбинированным и добавляют к типу атаки тип Aj.The specified technical result is achieved in that in the known method for detecting computer attacks, which consists in setting and storing threshold values of parameters calculated per unit time, receiving a sequence of message packets from the network, storing received message packets, and extracting data characterizing them from message packets , calculate the values of the parameters depending on the received message packets, compare the calculated values of the parameters with threshold values, make a decision the fact of the presence or absence of a computer attack when comparing the calculated parameter values with threshold values. Pre-set the required number of determined types of attacks Z≥1. The number of L training and C test cases for each type of attack is also predefined. The types of protocols and the necessary parameters F ij are determined, where i≤Z required to recognize attacks of specified types and use these parameters as characterizing data packets. The structure of the neural network is defined: the type of the neural network R, the number of hidden layers U, the number of neurons in the input layer, hidden layers and the output layer so that the number of neurons in the input layer N is determined by the number of protocol fields needed to recognize attacks of specified types, and the number the number of neurons in the output layer is K. The required number of training examples is formed, which are vectors of dimension N + K, where the first N elements are equal to the values of certain protocol fields, and the last K are zero except the value corresponding to the type of attack to which this sample element belongs, which is equal to one. The required recognition accuracy D is set for the neural network, the neural network is trained using the prepared examples. The neural network is completed after completing all iterations of sample generation or when the required recognition accuracy is achieved. In the presence of a computer attack, determine the type of a single computer attack by combining the calculated values of the parameters O j based on the following conditions: if the value obtained on only one of the output neurons exceeds the threshold value, then the type of attack A j is determined if the value obtained on several days off neurons exceeded the threshold value, the type of attack is considered combined and type A j is added to the type of attack.

Благодаря новой совокупности существенных признаков в заявленном способе за счет применения искусственной нейронной сети, обеспечивающей возможность обнаружения компьютерных атак различного типа (включая ранее неизвестные типы), а также обладающей адаптивностью и прогнозированием процесса обнаружения компьютерных атак, обеспечивается достижение сформулированного технического результата: расширение области применения заявленного технического решения.Thanks to the new set of essential features in the claimed method due to the use of an artificial neural network that provides the ability to detect computer attacks of various types (including previously unknown types), as well as having adaptability and prediction of the process of detecting computer attacks, the stated technical result is achieved: expanding the scope of the claimed technical solution.

Заявленный способ поясняется чертежами, на которых изображено следующее:The claimed method is illustrated by drawings, which depict the following:

на фиг. 1 - общая структурная схема ИВС;in FIG. 1 is a general structural diagram of an IVS;

на фиг. 2 -блок-схема алгоритма заявленного способа;in FIG. 2 is a block diagram of the algorithm of the claimed method;

на фиг. 3 - заголовок IP-пакета;in FIG. 3 - IP packet header;

на фиг. 4 - общая схема архитектуры ИНС.in FIG. 4 is a general diagram of the ANN architecture.

Работа заявленного способа иллюстрируется на примере структурной схемы ИВС, показанной на фиг. 1. Она включает в себя первичную сеть, состоящую из 1 - точки выхода в глобальную сеть Интернет; 2 - пограничного маршрутизатора; И вторичную сеть, состоящую из: 3 - демилитаризованной зоны, включающей в себя: 3.1 - межсетевые экраны 3.2 - веб-сервер, доступный из глобальной сети, 3.3 - коммутатор, работающий в зеркалирующем режиме, 3.4 - выделенный сервер; 4 - серверной фермы, включающей в себя: 4.1. - коммутатор серверной фермы, 4.2 - сервер баз данных; 5 - пользовательской локальной сети, включающей в себя: 5.1 - АРМ пользователей, 5.2 - сетевой принтер, 5.3 - коммутатор пользовательской ЛВС; 6 - транспортной сети,, включающей в себя: 6.1 - маршрутизаторы транспортной сети, 6.2. - коммутатор транспортной сети; 7 - хранилище данных включающего 7.1 - системы хранения данных.The operation of the claimed method is illustrated by the example of the structural diagram of the IVS shown in FIG. 1. It includes a primary network, consisting of 1 - access points to the global Internet; 2 - an edge router; And a secondary network consisting of: 3 - a demilitarized zone, including: 3.1 - firewalls 3.2 - a web server accessible from the global network, 3.3 - a switch operating in mirroring mode, 3.4 - a dedicated server; 4 - server farm, including: 4.1. - server farm switch; 4.2 - database server; 5 - user local network, including: 5.1 - workstation users, 5.2 - network printer, 5.3 - user LAN switch; 6 - transport network, including: 6.1 - routers of the transport network, 6.2. - transport network switch; 7 - data storage including 7.1 - data storage systems.

Для формирования обучающего и тестового множества примеров, а также дальнейшего анализа сетевых пакетов в состав ИВС включается выделенный сервер - 3.4, подключенный к зеркальному порту коммутатора, находящегося, находящегося в ДМЗ ИВС, обладающий следующими возможностями:For the formation of a training and test set of examples, as well as further analysis of network packets, a dedicated server, 3.4, connected to the mirror port of the switch located in the DMZ IVS, is included in the IVS, which has the following capabilities:

- прием из сети и запоминание пакетов сообщений;- receiving from the network and storing message packets;

- определения характеристик пакетов сообщений;- characterization of message packets;

- обеспечение выполнения операций в ИНС;- ensuring the performance of operations in the ANN;

- формирование сигналов о наличии атаки по результатам расчетов. Такой способ включения выделенного сервера в ИВС позволяет анализировать сетевые пакеты, как исходящие из внешней, так и из внутренней сети.- formation of signals about the presence of attacks according to the results of calculations. This method of including a dedicated server in the IVS allows you to analyze network packets, both outgoing from the external and internal network.

Реализация заявленного способа поясняется алгоритмом (фиг. 2) и объясняется следующим образом.The implementation of the claimed method is illustrated by the algorithm (Fig. 2) and is explained as follows.

На начальном этапе задают необходимое число определяемых типов атак Z≥1, количество обучающих L и контрольных С примеров для каждого типа атак.At the initial stage, the required number of determined attack types Z≥1, the number of training L and control C examples for each type of attack are set.

Определяют виды протоколов и необходимые параметры Fij (см. фиг. 3), где i≤Z, требуемые для распознавания атак заданных типов.The types of protocols and the necessary parameters F ij are determined (see Fig. 3), where i≤Z required to recognize attacks of specified types.

Задают структуру нейронной сети (см. фиг. 4): тип нейронной сети R, количество скрытых слоев U, количество нейронов во входном слое, скрытых слоях и выходном слое таким образом, что число нейронов во входном слое N определяется количеством различных полей протоколов, необходимых для распознавания атак заданных типов, а число нейронов в выходном слое равно K.The structure of the neural network is defined (see Fig. 4): the type of the neural network R, the number of hidden layers U, the number of neurons in the input layer, hidden layers and the output layer so that the number of neurons in the input layer N is determined by the number of different protocol fields required to recognize attacks of specified types, and the number of neurons in the output layer is K.

Подготавливают необходимое количество обучающих примеров, представляющих собой векторы размерности N+K, где первые N элементов равны значениям определенных полей протоколов, а последние K равны нулю за исключением значения, соответствующего типу атаки, к которой относится данный элемент выборки, которое равно единице.The required number of training examples is prepared, which are vectors of dimension N + K, where the first N elements are equal to the values of certain protocol fields and the last K are equal to zero except for the value corresponding to the type of attack to which this sample element belongs, which is equal to one.

Задают требуемую достоверность распознавания D для нейронной сети.Set the required recognition accuracy D for the neural network.

Проводят обучение нейронной сети методами, описанными в [5] с использованием подготовленных примеров.The neural network is trained by the methods described in [5] using the prepared examples.

Завершают обучение нейронной сети после выполнения всех итераций генерации выборок или по достижении требуемой достоверности распознавания.The neural network is completed after completing all iterations of sample generation or when the required recognition accuracy is achieved.

Устанавливают и запоминают пороговые значения выходных нейронов нейронной сети Тk, k≤K.The threshold values of the output neurons of the neural network T k , k≤K are set and stored.

Принимают из сети последовательность пакетов сообщений.Receive a sequence of message packets from the network.

Запоминают принятые пакеты сообщений.Remember the received message packets.

Выделяют из запомненных пакетов сообщений необходимые поля протоколов.The necessary protocol fields are extracted from the stored message packets.

Подают векторы, сформированные из выделенных полей на вход нейронной сети.The vectors generated from the selected fields are fed to the input of the neural network.

Сравнивают выходные значения, полученные в результате работы нейронной сети, с пороговыми значениями.The output values obtained as a result of the operation of the neural network are compared with threshold values.

Принимают решение о факте наличия или отсутствия компьютерной атаки при сравнении рассчитанных значений параметров с пороговыми значениями.Make a decision about the presence or absence of a computer attack when comparing the calculated parameter values with threshold values.

При наличии компьютерной атаки определяют тип одиночной компьютерной атаки по сочетанию рассчитанных значений параметров Oj на основе следующих условий:In the presence of a computer attack, the type of a single computer attack is determined by a combination of the calculated values of the Oj parameters based on the following conditions:

если значение, полученное только на одном из выходных нейронов, превысило пороговое значение, то определяют тип атаки Aj;if the value obtained on only one of the output neurons exceeded the threshold value, then determine the type of attack A j ;

если значение, полученное на нескольких выходных нейронах, превысило пороговое значение, то тип атаки считают комбинированным и добавляют к типу атаки тип Aj.if the value obtained on several output neurons exceeded the threshold value, then the type of attack is considered combined and type A j is added to the type of attack.

Возможность реализации сформулированного технического результата была проверена путем моделирования с использованием программного обеспечения, реализующего процесс обнаружения КА с использованием ИНС. В качестве примера с помощью утилит [2, 3, 4] были созданы обучающие примеры, содержащие сетевые пакеты, характерные для различных типов КА: DoS, Spoofing, сканирование портов. Была построена и обучена ИНС типа «многослойный персептрон» и произведено ее обучение методом обратного распространения ошибки [5]. В результате была достигнута высокая точность обнаружения КА рассмотренных типов. Результаты приведены в табл. 1.The possibility of realizing the formulated technical result was tested by modeling using software that implements the process of detecting spacecraft using ANN. As an example, using the utilities [2, 3, 4], training examples were created containing network packets typical for various types of spacecraft: DoS, Spoofing, port scanning. An ANN of the “multilayer perceptron” type was built and trained, and its training was performed by the method of back propagation of error [5]. As a result, high accuracy of detecting spacecraft of the considered types was achieved. The results are shown in table. one.

Figure 00000001
Figure 00000001

Figure 00000002
Figure 00000002

Используемая литература:Used Books:

1) Хайкин С. Нейронные сети: полный курс, 2-е издание: Пер. с англ. - М.: Издательский дом «Вильямс», 2008. - 1104 с. 1) Khaikin S. Neural networks: full course, 2nd edition: Trans. from English - M.: Williams Publishing House, 2008. - 1104 p.

2) Nessus Vulnerability Scanner | Tenable Network Security [Электронный ресурс]. URL: https://www.tenable.com/products/nessus-vulnerability-scanner (дата обращения: 19.06.2017).2) Nessus Vulnerability Scanner | Tenable Network Security [Electronic resource]. URL: https://www.tenable.com/products/nessus-vulnerability-scanner (accessed date: 06/19/2017).

3) XSpider - Positive Technologies [Электронный ресурс]. URL: https://www.ptsecurity.com/ru-ru/products/xspider (дата обращения: 19.06.2017).3) XSpider - Positive Technologies [Electronic resource]. URL: https://www.ptsecurity.com/ru-ru/products/xspider (accessed: 06/19/2017).

4) Nmap: the Network Mapper - Free Security Scanner. [Электронный ресурс]. URL: https://nmap.org (дата обращения: 19.06.2017).4) Nmap: the Network Mapper - Free Security Scanner. [Electronic resource]. URL: https://nmap.org (accessed: 06/19/2017).

5) Осовский С. Нейронные сети для обработки информации/ Пер. с польского И.Д. Рудинского. - М.: Финансы и статистика, 2002. - 344 с. 5) Osovsky S. Neural networks for information processing / Per. from Polish I.D. Rudinsky. - M.: Finance and Statistics, 2002. - 344 p.

Claims (1)

Способ обнаружения компьютерных атак, заключающийся в том, что устанавливают и запоминают пороговые значения параметров, рассчитываемых в единицу времени, принимают из сети последовательность пакетов сообщений, запоминают принятые пакеты сообщений, выделяют из пакетов сообщений характеризующие их данные, рассчитывают значения параметров, зависящих от полученных пакетов сообщений, сравнивают рассчитанные значения параметров с пороговыми значениями, принимают решение о факте наличия или отсутствия компьютерной атаки при сравнении рассчитанных значений параметров с пороговыми значениями, отличающийся тем, что предварительно задают необходимое число определяемых типов атак Z≥1, количество обучающих L и контрольных С примеров для каждого типа атак, определяют виды протоколов и необходимые параметры Fij, где i≤Z, требуемые для распознавания атак заданных типов и используют эти параметры в качестве характеризующих пакеты данных, задают структуру нейронной сети: тип нейронной сети R, количество скрытых слоев U, количество нейронов во входном слое, скрытых слоях и выходном слое таким образом, что число нейронов во входном слое N определяется количеством полей протоколов, необходимых для распознавания атак заданных типов, а число нейронов в выходном слое равно K, формируют необходимое количество обучающих примеров, представляющих собой векторы размерности N+K, где первые N элементов равны значениям определенных полей протоколов, а последние K равны нулю за исключением значения, соответствующего типу атаки, к которой относится данный элемент выборки, которое равно единице, задают требуемую достоверность распознавания D для нейронной сети, обучают нейронную сеть с использованием подготовленных примеров, завершают обучение нейронной сети после выполнения всех итераций генерации выборок или по достижении требуемой достоверности распознавания, при наличии компьютерной атаки определяют тип одиночной компьютерной атаки по сочетанию рассчитанных значений параметров Oj на основе следующих условий: если значение, полученное только на одном из выходных нейронов, превысило пороговое значение, то определяют тип атаки Aj, если значение, полученное на нескольких выходных нейронах, превысило пороговое значение, то тип атаки считают комбинированным и добавляют к типу атаки тип Aj.A method for detecting computer attacks, which consists in setting and storing threshold values of parameters calculated per unit time, receiving a sequence of message packets from the network, storing received message packets, extracting data characterizing them from message packets, and calculating parameter values depending on received packets messages, compare the calculated parameter values with threshold values, make a decision about the presence or absence of a computer attack when comparing p sschitannyh parameter values with threshold values, characterized in that the pre-set required number of defined types Z≥1 attacks, and L the number of training examples With reference to each type of attack is determined types and protocols necessary parameters F ij, where i≤Z, required for recognition of attacks of specified types and use these parameters as characterizing data packets, specify the structure of the neural network: the type of neural network R, the number of hidden layers U, the number of neurons in the input layer, hidden layers and output layer so that the number of neurons in the input layer N is determined by the number of protocol fields needed to recognize attacks of specified types, and the number of neurons in the output layer is K, the necessary number of training examples are formed, which are vectors of dimension N + K, where the first N elements equal to the values of certain fields of the protocols, and the last K are equal to zero except for the value corresponding to the type of attack to which this sample element belongs, which is equal to unity; znavaniya D for the neural network, trained neural network using trained examples completed training the neural network after all iterations generating samples or for achieving a desired detection accuracy, the presence of computer attack determine the type single computer attack by a combination of the calculated values of the parameters O j based on the following conditions: if the value obtained is only on one of the output neurons, has exceeded the threshold value, it is determined the type of attack a j, if a value obtained n multiple output neurons, has exceeded the threshold value, the type of attack is considered combined and added to the type of attack type A j.
RU2017143074A 2017-12-08 2017-12-08 Computer attacks detection method RU2683631C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2017143074A RU2683631C1 (en) 2017-12-08 2017-12-08 Computer attacks detection method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2017143074A RU2683631C1 (en) 2017-12-08 2017-12-08 Computer attacks detection method

Publications (1)

Publication Number Publication Date
RU2683631C1 true RU2683631C1 (en) 2019-03-29

Family

ID=66089669

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2017143074A RU2683631C1 (en) 2017-12-08 2017-12-08 Computer attacks detection method

Country Status (1)

Country Link
RU (1) RU2683631C1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113489675A (en) * 2021-05-25 2021-10-08 深圳供电局有限公司 Power terminal intrusion detection method, device, equipment and storage medium

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2179738C2 (en) * 2000-04-24 2002-02-20 Вильчевский Никита Олегович Method for detecting remote attacks in computer network
RU2285287C1 (en) * 2005-04-04 2006-10-10 Военная академия связи Method for protecting computer networks from computer attacks
US20120151583A1 (en) * 2010-12-13 2012-06-14 Electronics And Telecommunications Research Institute Ddos attack detection and defense apparatus and method
US8423645B2 (en) * 2004-09-14 2013-04-16 International Business Machines Corporation Detection of grid participation in a DDoS attack
RU2538292C1 (en) * 2013-07-24 2015-01-10 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Method of detecting computer attacks to networked computer system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2179738C2 (en) * 2000-04-24 2002-02-20 Вильчевский Никита Олегович Method for detecting remote attacks in computer network
US8423645B2 (en) * 2004-09-14 2013-04-16 International Business Machines Corporation Detection of grid participation in a DDoS attack
RU2285287C1 (en) * 2005-04-04 2006-10-10 Военная академия связи Method for protecting computer networks from computer attacks
US20120151583A1 (en) * 2010-12-13 2012-06-14 Electronics And Telecommunications Research Institute Ddos attack detection and defense apparatus and method
RU2538292C1 (en) * 2013-07-24 2015-01-10 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Method of detecting computer attacks to networked computer system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113489675A (en) * 2021-05-25 2021-10-08 深圳供电局有限公司 Power terminal intrusion detection method, device, equipment and storage medium
CN113489675B (en) * 2021-05-25 2023-08-25 深圳供电局有限公司 Method, device, equipment and storage medium for detecting intrusion of power terminal

Similar Documents

Publication Publication Date Title
US11797671B2 (en) Cyberanalysis workflow acceleration
Blazek et al. A novel approach to detection of “denial–of–service” attacks via adaptive sequential and batch–sequential change–point detection methods
Bouzida et al. Neural networks vs. decision trees for intrusion detection
Kim Supervised learning‐based DDoS attacks detection: Tuning hyperparameters
Bouyeddou et al. Detecting network cyber-attacks using an integrated statistical approach
JP2008306706A (en) Method and apparatus for detecting anomaly in signaling flows
Akilandeswari et al. Probabilistic neural network based attack traffic classification
RU2680756C1 (en) Method of detecting network attacks based on analysis of traffic time structure
Naik et al. Honeypots that bite back: A fuzzy technique for identifying and inhibiting fingerprinting attacks on low interaction honeypots
Naik et al. D-FRI-Honeypot: A secure sting operation for hacking the hackers using dynamic fuzzy rule interpolation
Anbarestani et al. An iterative alert correlation method for extracting network intrusion scenarios
Aparicio-Navarro et al. Addressing multi-stage attacks using expert knowledge and contextual information
Shamsolmoali et al. C2DF: High rate DDOS filtering method in cloud computing
RU2683631C1 (en) Computer attacks detection method
Melo et al. A novel immune detection approach enhanced by attack graph based correlation
Callegari et al. On the proper choice of datasets and traffic features for real-time anomaly detection
Kondakci Intelligent network security assessment with modeling and analysis of attack patterns
Sabeel et al. Analyzing the Quality of Synthetic Adversarial Cyberattacks
Ntlangu Modelling computer network traffic using wavelets and time series analysis
Yücebaş An entropy based DDoS detection method and implementation
AsSadhan et al. Network anomaly detection using a cross‐correlation‐based long‐range dependence analysis
EP4105800A1 (en) Method for detection of lateral movement of malware
Brunner Reassembler-Towards a Global DDoS Attack Analysis Using Attack Fingerprints
Victor et al. A bayesian classification on asset vulnerability for real time reduction of false positives in ids
RU2704741C2 (en) Method of protection against ddos-attack on basis of traffic classification

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20191209