Методика обнаружения аномалий и кибератак на основе интеграции методов фрактального анализа и машинного обучения

Игорь Витальевич Котенко; Игорь Борисович Саенко; Олег Сергеевич Лаута; Александр Михайлович Крибель

doi:10.15622/ia.21.6.9

Игорь Витальевич Котенко Санкт-Петербургский Федеральный исследовательский центр Российской академии наук (СПб ФИЦ РАН)
Игорь Борисович Саенко Санкт-Петербургский Федеральный исследовательский центр Российской академии наук (СПб ФИЦ РАН)
Олег Сергеевич Лаута Государственный университет морского и речного флота имени адмирала С.О. Макарова
Александр Михайлович Крибель Санкт-Петербургский Федеральный исследовательский центр Российской академии наук (СПб ФИЦ РАН)

DOI:

https://doi.org/10.15622/ia.21.6.9

Ключевые слова:

кибератака, фрактальный анализ, показатель Херста, машинное обучение, LSTM

Аннотация

В современных сетях передачи данных для постоянного мониторинга сетевого трафика и обнаружения в нем аномальной активности, а также идентификации и классификации кибератак, необходимо учитывать большое число факторов и параметров, включая возможные сетевые маршруты, времена задержки данных, потери пакетов и новые свойства трафика, отличающиеся от нормальных. Все это является побудительным мотивом к поиску новых методов и методик обнаружения кибератак и защиты от них сетей передачи данных. В статье рассматривается методика обнаружения аномалий и кибератак, предназначенная для использования в современных сетях передачи данных, которая основывается на интеграции методов фрактального анализа и машинного обучения. Методика ориентирована на выполнение в реальном или близком к реальному масштабе времени и включает несколько этапов: (1) выявления аномалий в сетевом трафике, (2) идентификации в аномалиях кибератак и (3) классификации кибератак. Первый этап реализуется с помощью методов фрактального анализа (оценки самоподобия сетевого трафика), второй и третий – с применением методов машинного обучения, использующих ячейки рекуррентных нейронных сетей с долгой краткосрочной памятью. Рассматриваются вопросы программной реализации предлагаемой методики, включая формирование набора данных, содержащего сетевые пакеты, циркулирующие в сети передачи данных. Представлены результаты экспериментальной оценки предложенной методики, полученные с использованием сформированного набора данных. Результаты экспериментов показали достаточно высокую эффективность предложенной методики и разработанных для нее решений, позволяющих осуществлять раннее обнаружение как известных, так и неизвестных кибератак.

Литература

1. Kotenko I., Saenko I., Lauta O., Kribel A. An approach to detecting cyber attacks against smart power grids based on the analysis of network traffic self-similarity // Energies. 2020. vol. 13. no. 19. pp. 5031.
2. Al-Jarrah M., Khalaf G., Amin S. PIN Authentication Using Multi-Model Anomaly Detection in Keystroke Dynamics // Proceedings of the 2019 2nd International Conference on Signal Processing and Information Security (ICSPIS). 2019. pp. 1–4.
3. Ageev S., Kotenko I., Saenko I., Kopchak Y. Abnormal Traffic Detection in Networks of the Internet of Things Based on Fuzzy Logical Inference // Proceedings of the IEEE International Conference on Soft Computing and Measurements (SCM). 2015. pp. 5–8.
4. Котенко Д.И., Котенко И.В., Саенко И.Б. Методы и средства моделирования атак в больших компьютерных сетях: состояние проблемы // Труды СПИИРАН. 2012. № 3 (22). С. 5–30.
5. Brezigar-Masten A., Masten I. CART-based selection of bankruptcy predictors for the logit model // Expert Systems with Applications. 2012. vol. 39. no. 11. pp. 10153–10159.
6. Ju X., Chen V.C.P.; Rosenberger J.M., Liu F. Fast knot optimization for multivariate adaptive regression splines using hill climbing methods // Expert Systems with Applications. 2021. no. 171. p. 114565.
7. Ju X., Rosenberger J.M., Chen V.C.P., Liu F. Global optimization on non-convex two-way interaction truncated linear multivariate adaptive regression splines using mixed integer quadratic programming // Information Sciences. 2022. no. 597. pp. 38–52.
8. Ju X., Liu F., Wang Li., Lee W.-J. Wind farm layout optimization based on support vector regression guided genetic algorithm with consideration of participation among landowners // Energy Conversion and Management. 2019. no. 196. pp. 1267–1281.
9. Dang T.D., Sonkoly B., Molnar S. Fractal analysis and modeling of VoIP traffic // Proceedings of the 11th International Telecommunications Network Strategy and Planning Symposium (NETWORKS 2004). 2004. pp. 123–130.
10. Leland W.E., Taqqu M.S., Willinger W., Wilson D.V. On the self-similar nature of Ethernet traffic // SIGCOMM Comput. Commun. 1993. vol. 23. no. 4. pp. 183–193.
11. Raimundo M.S., Okamoto Jr. J. Application of Hurst Exponent (H) and the R/S Analysis in the Classification of FOREX Securities // International Journal of Modeling and Optimization. 2018. no. 8. pp. 116–124.
12. Sánchez-Granero M.J., Fernández-Martínez M., Trinidad-Segovia J.E. Introducing fractal dimension algorithms to calculate the Hurst exponent of financial time series // Eur. Phys. J. B. 2012. vol. 85. no. 86.
13. Kotenko I., Saenko I., Lauta O., Karpov M. Methodology for management of the protection system of smart power supply networks in the context of cyberattacks // Energies. 2021. vol. 14. no. 18. p. 5963.
14. Kotenko I., Saenko I., Lauta O., Kribel A. Ensuring the survivability of embedded computer networks based on early detection of cyber attacks by integrating fractal analysis and statistical methods // Microprocessors and Microsystems. 2022. no. 90. p. 104459.
15. Strelkovskaya I., Solovskaya I., Makoganiuk A. Spline-Extrapolation Method in Traﬃc Forecasting in 5G Networks // Journal of Telecommunications and Information Technology. 2019. no. 3. pp. 8–16.
16. Carvalho P., Abdalla H., Soares A., Solis P., Tarchetti P. Analysis of the influence of self-similar traffic in the performance of real time applications. URL: citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.599.4041&rep=rep1&type=pdf (дата доступа: 15.07.2022).
17. Fractal Objects and Self-Similar Processes. URL: archive.physionet.org/tutorials/fmnc/node3.html (дата доступа: 15.07.2022).
18. Ruoyu Y., Wang Y. Hurst Parameter for Security Evaluation of LAN Traffic // Information Technology Journal. 2012. no. 11. pp. 269–275.
19. Singh Gulshan M.B., Sharma B., Grover M., Gupta P. TSA: Self-Train Self-Test Algorithm // Proceedings of the 2020 IEEE International Conference for Innovation in Technology (INOCON). 2020. pp. 1–5.
20. Yu Z., Jiang Z., Tan L., Liu H., Yang Q. Rescaled Range Analysis of Vessel Traffic Flow in the Yangtze River // Proceedings of the 2019 5th International Conference on Transportation Information and Safety (ICTIS). 2019. pp. 1–4.
21. Winter P., Lampesberger H., Zeilinger M., Hermann E. On Detecting Abrupt Changes in Network Entropy Time Series // Communications and Multimedia Security. CMS 2011. Lecture Notes in Computer Science. 2011. vol. 7025. pp. 194–205.
22. Sharma S., Sahu S.K., Jena S.K. On Selection of Attributes for Entropy Based Detection of DDoS // Proceedings of the 2015 International Conference on Advances in Computing, Communications and Informatics (ICACCI). 2015. pp. 1096–1100.
23. Bhuyan M.H., Bhattacharyya D.K., Kalita J.K. Information metrics for low-rate DDoS attack detection: A comparative evaluation // Proceedings of the 2014 Seventh International Conference on Contemporary Computing (IC3). 2014. pp. 80-84.
24. Brauckhoff D., Wagner A., May M. FLAME: A Flow-Level Anomaly Modeling Engine // Proceedings of the Workshop on Cyber Security and Test. 2008. pp. 1–6.
25. Zhang S.T., Lin X.B., Wu L., Song Y.Q., Liao N.D., Liang Z.H. Network Traffic Anomaly Detection Based on ML-ESN for Power Metering System // Mathematical Problems in Engineering. 2020. vol. 2020. article ID 7219659.
26. Radford B.J., Apolonio L.M., Trias A.J., Simpson J.A. Network Traffic Anomaly Detection Using Recurrent Neural Networks. URL: doi.org/10.48550/arXiv.1803.10769 (дата доступа: 15.07.2022).
27. Браницкий А.А., Котенко И.В. Анализ и классификация методов обнаружения сетевых атак // Труды СПИИРАН. 2016. № 2 (45). C. 207–244.
28. Браницкий А.А., Котенко И.В. Обнаружение сетевых атак на основе комплексирования нейронных, иммунных и нейро-нечетких классификаторов // Информационно-управляющие системы. 2015. № 4 (77). С. 69-77.
29. Shaukat K., Luo S., Varadharajan V., Hameed I.A., Xu M. A Survey on Machine Learning Techniques for Cyber Security in the Last Decade // IEEE Access. 2020. vol. 8. pp. 222310–222354.
30. Chen W.-H., Hsu S.-H., Shen H.-P. Application of SVM and ANN for intrusion detection // Computers & Operations Research. 2005. vol. 32. no. 10. pp. 2617–2634.
31. Hasan M.A.M., Nasser M., Ahmad S., Molla K.I. Feature selection for intrusion detection using random forest // Journal of information security. 2016. vol. 7. no. 03. p. 129.
32. Zhang Y., Wang S., Wu L. Spam detection via feature selection and decision tree // Advanced Science Letters. 2012. vol. 5. no. 2. pp. 726–730.
33. Su M.-Y. Real-time anomaly detection systems for Denial-of-Service attacks by weighted k-nearest-neighbor classifiers // Expert Systems with Applications. 2011. vol. 38. no. 4. pp. 3492–3498.
34. Gers F., Schraudolph N., Schmidhuber J. Learning precise timing with LSTM recurrent networks // Journal of Machine Learning Research. 2002. vol. 3, pp. 115–143.
35. Shaukat S., Ali A., Batool A., Alqahtan, F., Khan J.S., Ahmad A.J. Intrusion Detection and Attack Classification Leveraging Machine Learning Technique // Proceedings of the 2020 14th International Conference on Innovations in Information Technology (IIT). 2020. pp. 198–202.
36. Nurul A.H., Zaheera Z.A., Puvanasvaran A.P., Zakaria N.A., Ahmad R. Risk assessment method for insider threats in cyber security: A review // International Journal of Advanced Computer Science and Applications (ijacsa). 2018. vol. 9. no. 11. pp.16–19.
37. Zhe W.; Wei C., Chunlin L. DoS attack detection model of smart grid based on machine learning method // Proceedings of the 2020 IEEE International Conference on Power, Intelligent Computing and Systems (ICPICS). 2020. pp. 735–738.
38. Karataş G., Akbulut A. Survey on Access Control Mechanisms in Cloud Computing // Journal of Cyber Security and Mobility. 2018. vol. 7. no. 3. pp. 1–36.
39. Lopez J., Rubio J. Access control for cyber-physical systems interconnected to the cloud // Comput. Netw. 2018. vol. 134. no. C. pp. 46–54.
40. Clincy V., Shahriar H. Web Application Firewall: Network Security Models and Configuration // Proceedings of the 2018 IEEE 42nd Annual Computer Software and Applications Conference (COMPSAC). 2018, pp. 835–836.
41. Visoottiviseth V., Sakarin P., Thongwilai J. Choobanjong T. Signature-based and behavior-based attack detection with machine learning for home IoT devices // Proceedings of the 2020 IEEE Region 10 conference (TEN-CON). 2020. pp. 829-834.
42. Amma N.G.B., Selvakumar S., Velusamy R.L. A Statistical Approach for Detection of Denial of Service Attacks in Computer Networks // IEEE Transactions on Network and Service Management. 2020. vol. 17. no. 4. pp. 2511–2522.

Просмотры	1316
Скачивания	689

Информационная безопасность

Методика обнаружения аномалий и кибератак на основе интеграции методов фрактального анализа и машинного обучения

DOI:

Ключевые слова:

Аннотация

Литература

Опубликован

Статистика

Как цитировать

Выпуск

Раздел

Импакт-фактор

Разделы

Мы в сети

Обратная связь