Статья

Название статьи НЕЙРОСЕТЕВОЙ МЕТОД ОБНАРУЖЕНИЯ НИЗКОИНТЕНСИВНЫХ АТАК ТИПА «ОТКАЗ В ОБСЛУЖИВАНИИ»
Автор Е.С. Абрамов, Я.В. Тарасов, Е.П. Тумоян
Рубрика РАЗДЕЛ I. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ И ЗАЩИТА ИНФОРМАЦИИ
Месяц, год 09, 2016
Индекс УДК 004.056
DOI 10.18522/2311-3103-2016-9-5871
Аннотация Представлены результаты разработки метода обнаружения низкоинтенсивных атак типа «отказ в обслуживании» на http-сервисы. Используется модель представления низкоинтенсивной атаки в виде упорядоченного по времени ряда событий с аддитивным наложением атакующего воздействия и легального трафика. Такое представление позволяет задействовать математический аппарат обработки сигналов, включая методы распознавания образов. Задача разработки метода обнаружения низкоинтенсивных атак сформулирована как последовательное решение задач выделения гомогенных групп (patterns) временного ряда на основании моделей распознавания образов (pattern recognition), и последующего построения для каждой группы отдельной модели прогнозирования. С учетом контекста решаемой задачи (требования на высокую точность классификации, скорость формирования моделей и скорость классификации) определено, что наиболее перспективным направлением решения является использование комбинированных нейросетевых моделей, выполняющих на первом этапе кластеризацию, а затем прогнозирование временного ряда внутри установленного кластера. Непосредственно для обнаружения атаки необходимо выявлять факт периодического появления однотипного набора пакетов во входящем трафике и затем определять принадлежность этого набора к определённому классу (нормальному или аномальному). Порядок следования пакетов при этом ведущей роли не играет, временная информация учитывается при разбиении входящего трафика на окна. Метод включает следующие шаги: 1) для каждого защищаемого сервиса построить отдельную гибридную ИНС; 2) Для отдельного сервиса получить набор паке-тов, число которых определено величиной окна (экспериментально установленное значение); 3) сформировать вектора для шага снижения размерности (самоорганизующейся карты); 4) снизить размерность входных данных путём кластеризации вектора при по-мощи SOM; 5) построить вектора для MLP, в которых каждый компонент соответствует номеру кластера, которому принадлежит пакет. Т.о. входным вектором будет набор кластеризованных пакетов, сохраняющий информацию о порядке (последовательности) поступления. Для пакетов уже определена принадлежность к определённому типу; 6) про-анализировать вектора на MLP, классифицировать выявленные в трафике набор, разделив их на два класса – атака или норма.

Скачать в PDF

Ключевые слова Обнаружение атак; низкоинтенсивные DDoS-атаки; отказ в обслуживании; искусственная нейронная сеть; гибридная нейронная сеть; безопасность вычислительных сетей.
Библиографический список 1. Тарасов Я.В. Модель низкоинтенсивной сетевой атаки "отказ в обслуживании" // Сборник трудов VII Всероссийской научно-технической конференции «Безопасные информационные технологии» (БИТ – 2016). – М.: МГТУ им. Н.Э. Баумана.
2. Чучуева И.А. Модель прогнозирования временных рядов по выборке максимального подобия: дисс. … канд. техн. наук. – М., 2012.
3. Fogler H.R. A pattern recognition model for forecasting // Management science. – 1974.
– No. 8. – P. 1178-1189.
4. F. Martinez Alvarez [at al.] Discovering Patterns in Electricity Price Using Clustering Tech-niques // ICREPQ International Conference on Renewable Energies and Power Quality, Spain, Sevilla, 2007. –8 p. URL: http://www.icrepq.com/icrepq07/245-martinez.pdf (дата обращения 15.1.2016).
5. Haykin. Neural Networks: A Comprehensive Foundation. Prentice Hall, Upper Saddle River, New Jersey, 1999. – 2nd ed. – 842 p.
6. C. Lee Giles, Steve Lawrence, Ah Chung Tsoi. Noisy Time Series Prediction using Recurrent Neural Networks and Grammatical Inference // Machine Learning. – July 2001. – Vol. 44,
Issue 1. – P. 161-183.
7. Fodor I. A survey of dimension reduction techniques. Center for Applied Scientific Computing, Lawrence Livermore National, Technical Report UCRL-ID-148494. – 2002.
8. Van der Maaten, L.J.P., Hinton, G.E. Visualizing High-Dimensional Data Using t-SNE // Journal of Machine Learning Research. – Nov. 2008. – No. 9. – P. 2579-2605.
9. Borg I., Groenen P. Modern Multidimensional Scaling: theory and applications – 2nd ed.
– New York: Springer-Verlag, 2005. – P. 207–212. ISBN 0-387-94845-7.
10. Command-line packet analyzer tcpdump. http://www.tcpdump.org/ (дата обращения 03.12.2016).
11. Robert Graham. What's the max speed on Ethernet? http://blog.erratasec.com/2013/10/whats-max-speed-on-ethernet.html#.UlbwuNK8Dp8 (дата обращения 03.12.2016).
12. Stephen Northcutt, Judy Novak. Network Intrusion Detection An Analyst's Handbook. – Sams Publishing, 2002. – 346 p.
13. Ghost A.K., et al. Detecting Anomalous and Unknown Intrusions Against Programs in Real-Time // DARPA SBIR Phase I Final Report. Reliable Software Technologies.
14. Тарасов Я.В., Макаревич О.Б. Моделирование и исследование низкоинтенсивных DoS-атак на BGP-инфраструктуру // Известия ЮФУ. Технические науки. – 2013. – № 12 (149). – С. 101-111.
15. Тарасов Я.В. Метод обнаружения низкоинтенсивных DDOS-атак на основе гибридной нейронной сети, инфраструктуру // Известия ЮФУ. Технические науки. – 2014. – № 8 (157). – С. 47-87.
16. Абрамов Е.С., Сидоров И.Д. Метод обнаружения распределённых информационных воздействий на основе гибридной нейронной сети // Известия ЮФУ. Технические науки. – 2009. – № 11 (100). – С. 154-164.
17. Kohonen T. Self-Organizing Maps. Third, extended edition. – Springer, 2001.
18. Абрамов Е.С., Аникеев М.В., Макаревич О.Б. Использование аппарата нейросетей при обнаружении сетевых атак // Известия ТРТУ. – 2004. – № 1 (36). – С. 130.

19. Абрамов Е.С., Аникеев М.В., Макаревич О.Б. Подготовка данных для использования в обучении и тестировании нейросетей при обнаружении сетевых атак // Известия ТРТУ. – 2003. – № 4 (33). – С. 204-206.
20. Aiello M., Cambiaso E., Scaglione S., Papaleo G. A similarity based approach for application DoS attacks detection // 2013 IEEE Symposium on Computers and Communications (ISCC).

Comments are closed.