Метод обнаружения низкоинтенсивных атак

Разрабатываемый метод, как и любой другой метод машинного обучения, может быть представлен в виде последовательности двух фаз: обучение и классификация.

Назначение фазы обучения заключается в построении классификатора путем итеративной настройки параметров на множестве обучающих примеров (т.н. обучающем множестве), а также оценке (верификации) полученной модели прогнозирования на множестве проверочных примеров (тестовом множестве). Необходимо отметить, что обучающее множество и тестовое множество должны быть предварительно классифицированы экспертом (хотя бы частично) [12].

Если результат проверки обученного классификатора на тестовом множестве совпадает с ожидаемыми и достаточен для классификации осуществляется переход к следующему этапу. Фаза обучения лежит в канве общего принципа построения моделей данных, приведенного в [8] и конкретизируется только обучением. Результатом фазы обучения является классификатор с настроенными параметрами.

Назначение фазы классификации заключается в вычислении меток классов для неизвестных ранее наборов данных с использованием обученного классификатора. Результатом фазы классификации является множество меток классов для неизвестных ранее наборов данных.

Сформулируем шаги метода.

• 1. Для каждого защищаемого сервиса построить отдельную гибридную ИНС. В дальнейшем рассматриваем обнаружение атаки на один сервис, остальные работают аналогично.
• 2. Для отдельного сервиса получить набор пакетов, число которых определено величиной окна.
• 3. Сформировать вектора для шага снижения размерности (самоорганизующейся карты).
• 4. Снизить размерность входных данных. В разрабатываемом методе — кластеризовать вектора при помощи SOM.
• 5. Построить вектора для MLP, в которых каждый компонент соответствует номеру кластера, которому принадлежит пакет. Т.о. входным вектором будет набор кластеризованных пакетов, сохраняющий информацию о порядке (последовательности) поступления. Для пакетов уже определена принадлежность к определённому типу.
• 6. Проанализировать вектора на MLP, классифицировать выявленные в трафике наборы. В данном случае происходит разделение на два класса — атака или норма.

Необходимо отметить, что разделение входящих пакетов по адресам источников представляется ненужным, т.к. в решаемой задаче не влияет ни на последовательность поступления пакетов, ни на их содержимое.

Подробно шаги метода рассматриваются в [8]. Отметим следующее:

1. Для проведения исследований используются предварительно сохранённые наборы векторов двух типов — полученные на основе «чистого» трафика, и полученные на основе атакующих пакетов, содержащих трафик низкоинтенсивной атаки. Сохранённые пакеты разбивались на интервалы-окна в соответствии с алгоритмом 1формулой 2.

(2).

где S_byte — скорость передачи информации в сети в байтах в секунду,.

P_min — минимальный теоретический размер пакета,.

u — коэффициент, показывающий уровень утилизации канала передачи информации.

Окно сдвигается на определённую величину на каждой итерации работы метода, обеспечивая перекрытие с предыдущим окном. Величина сдвига зависит от аппаратной производительности платформы и подбирается на этапе экспериментального исследования (развёртывания системы в реальной защищаемой сети на фазе обучения). Это позволяет точно установить факт начала атаки.

Каждый пакет из окна преобразуется в формат входного вектора для SOM. Состав компонентов входного вектора следует из перечня свойств, позволяющих определить наличие атаки.

Таблица № 1. Состав компонентов входного вектора.

2. SOM используется для кластеризации событий в узлы матрицы, в которых будут сгруппированы события (пакеты) определённых типов.

На этапе классификации на вход SOM последовательно подаются вектора из текущего окна, которые распределяются по кластерам. В результате каждая компонента выходного вектора SOM соответствует сетевому пакету. Выходной вектор SOM имеет вид <N₁, N₂,…, N_i>, где i определяется размером окна, а N указывает на то, к какому кластеру сети Кохонена принадлежит данный пакет.

• 3. Выходной вектор SOM является входным вектором MLP.
• 4. После этого вектора подаются на вход многослойного персептрона, обученного распознавать атакующие последовательности пакетов, но уже с учётом информации о событии, т. е. принадлежности пакета той или иной группе-сценарию.

На этапе классификации MLP будет анализировать очередное окно пакетов, классифицируя его как нормальный или атакующий сценарий. Ответы интерпретируются следующим образом:

• — если y_n>0.7 и y_a<0.3, то набор пакетов нормальный;
• — если y_n<0.3 и y_a>0.7, то набор пакетов атакующий;
• — иначе — ИНС не может классифицировать пакет.

Результаты анализа («норма», «атака», «невозможно классифицировать») выводятся по каждому окну.

Для экспериментального исследования разработанного метода был разработан прототип системы обнаружения низкоинтенсивных атак на web-сервисы на основе протокола http.

Система использует сенсор, работающий на основе библиотеки libpcap [18].