CC BY
0
ТЕЛЕКОМУШКАЦП
УДК 004.056.5
КОМПЛЕКСНИЙ МЕТОД ВИЯВЛЕННЯ ВТОРГНЕНЬ, ЗАСНОВАНИЙ НА СТАТИСТИЧНОМУ ТА ДИНАМ1ЧНОМУ П1ДХОДАХ АНАЛ1ЗУ ТРАФ1КА
РАД1В1ЛОВА Т.А., 1ЛЬКОВ А.А., ТАВАЛБЕХМ.Х. Наводиться анатз робгг, що пропонують можливi рiшення проблеми iдентифiкацiï атак, а також даеться опис запропонованого комплексного методу, який доз-воляе в онлайн режимi виявляти атаки. Запропонований комплексний метод порiвнюеться з юнуючими методами виявлення вторгнень шляхом iмiтацiйного моделю-вання, результати якого показали, що вш краще виявляе атаки i мае менше помилок спрацьовувань. Ключовi слова: система виявлення вторгнень; ен-тропiйний аналiз; комплексний метод; атаки; машинне навчання; виявлення аномалiй; метод поведiнки; анатз пiдписiв.
Key words: Intrusion detection system; entropy analysis; complex method; attacks; machine learning; anomaly detection; behaviour method; signature analysis.
1. Вступ
Швидкий розвиток комп'ютерних мереж та шфор-мацшних технологiй породжуе ряд проблем, пов'я-заних з безпекою мережних ресурсiв, якi вимага-ють нових пiдходiв. Кожна комп'ютерна система повинна бути захищена вщ зовнiшнiх та внутрiшнiх вторгнень. В област мережно1 безпеки вторгнення визначаються як набiр зловмисних дiй проти цшсносп, конфiденцiйностi та доступностi шформацп в системi або мереж1, яю роблять ïï вразливою для майбутшх атак. З метою протидiï таким загрозам та забезпечення якостi обслуго-вування використовують множину методiв, роз-гортають системи виявлення вторгнень (СВВ) в систему або мережу [1-4]. Використовуючи набiр апаратних i програмних ресурсiв, СВВ намагаеться виявити вторгнення, вщстежуючи данi, зiбранi з одного хоста або мереж^ i генерувати тривогу в разi виявлення спроб вторгнення. СВВ можна роздiлити на рiзнi категорiï залежно вiд джерела шформацп i техшки виявлення [1,4,5]. В даний час актуальним напрямком в областi ш-формацiйних технологш е побудова систем виявлення вторгнень [1,6]. 1снуе багато робгг, присвя-чених темi виявлення та класифшацп атак. Використовують рiзноманiтнi математичнi методи, яю включають традицшш шдходи, заснованi на вадповадност шаблошв пiдписам, та адаптацiйнi моделi з використанням методiв аналiзу даних [58].
В робот [1] автори пропонують технолопю пара-лельно! мережно! СВВ, засновану на аналiзi сигнатур для зменшення кiлькостi вщкинутих пакетiв. Одним з недолiкiв пiдходiв, заснованих на аналiзi сигнатур, е необхiднiсть використання множини ресурсiв. Для усунення цього недолiку використовують шдхщ, заснований на аномалiях. У статп [6] автори проаналiзували три популярних iнструменти мережно! СВВ з вщкритим вихiдним кодом i представили сво! порiвняльнi показники ефективностi: Suricata, Snort i Bro. Вони також ви-користали плагiни для Snort з рiзними алгоритмами зютавлення шаблонiв, якi зменшують кiлькiсть невиявлених атак до 0,5% i шдвищують точнiсть до 96%.
Автори [9] використали модульну та iерархiчну структуру СВВ. Запропоновано двоступеневу СВВ, яка використовуе модуль виявлення аномалш на основi Spark ML i сигнатурний модуль виявлення на основi конволюцшно! мереж1 LSTM (Conv-LSTM), що забезпечуе передбачувану точ-нiсть 97,29%.
У статп [10] було порiвняно продуктивнiсть двох вiдкритих СВВ: Suricata та Snort. Для роботи та-кож паралельно з набором правил Snort до стандартно! системи додано алгоритм машинного нав-чання (англ. Support Vector Machine - SVM). Для SVM з алгоритмом Firefly зафксовано середне значення точносп виявлення 95%. У [11] описано методи виявлення вторгнень на ос-новi шдпишв та аномалш. Автори також пропонують новий тип виявлення аномалш на основi стандарта протоколу. Автори статп [12] пропонують новий СВВ, заснований на аналiзi ентропи бтв iдентифiкаторiв у повiдомленнях мереж1 областi контролера. В [13] автори поеднують два методи: ентропшного аналiзу i анатзу аномалiй для захи-сту системи вщ атак багаторiвнево! розподшено! вщмови в обслуговуваннi (DDoS). Автори [14] пропонують заснований на ентропи метод детек-тування сучасних ботнет-подiбних шкщливих про-грам в мережi. В робот [15] автори використовують ентропшний аналiз рiзних типiв протоколiв для виявлення деяких типiв мережевих атак. В статп [16] описано пбридне виявлення вторгнень, засноване на аналiзi шдпишв та аномалш. Автори [17] моделюють систему виявлення вторгнень, засновану на глибокому навчанш. Пропонують шдхщ до глибокого навчання з використанням рекурентних нейронних мереж (РНН-IDS) для виявлення вторгнення. Автори [18] описують таксо-номда СВВ i дослщжують методи машинного нав-
чання i глибокого навчання в СВВ для забезпечен-ня безпеки.
Використання кожного методу iндивiдуально не забезпечуе необхiдного рiвня щентифшаци атаки. Однак якщо методи застосовуються комплексно, ймовiрнiсть щентифшаци атаки значно збшь-шусться.
Таким чином, метою дослiдження е розробка комплексного методу, який поеднуе пiдходи аналiзу сигнатур, виявлення аномалш (машинне навчання) та шдходи аналiзу ентропи для виявлення вторг-нень в iнформацiйно-комунiкацiйних мережах. 2. Методи виявлення вторгнень Кожен з методiв детектування атак мае як недолши, так i переваги. 1снують пiдходи, якi про-понують комбшоване використання деяких методiв для полшшення ефективностi детектування атак [11,15,18,19]. У данш роботi пропонуеться метод виявлення вторгнень, який базуеться на комплексному використанш методiв сигнатурного аналiзу, анатзу аномалiй протоколiв та методiв машинного навчання.
Яюсть роботи СВВ характеризуеться значеннями матрицi помилок, рiвнем виявлення (DR), рiвнем помилкових спрацьовувань (FPR), точнютю, пов-нотою, F-мiрою [7, 20, 21]. Ц параметри можуть бути обчисленi за параметрами матриц помилок: справжне позитивне (TP), справжне негативне (TN), помилкове позитивне (FP), помилкове негативне (FN).
Мiра точностi (Precision) характеризуе, скiльки по-зитивних вiдповiдей, отриманих вiд класифшатора, е правильними. Чим вищеа точнють, тим менше помилкових спрацьовувань:
Precision = TP/(TP + FP) Однак вимiрювання точностi не вказуе на те, чи повернув класифшатор вс правильнi вiдповiдi. Для цього юнуе так звана мiра повноти. Мiра повноти (Recall) характеризуе здатнiсть кла-сифiкатора «вгадувати» якомога бiльше позитив-них вiдповiдей з числа очшуваних. Однак хибнопо-зитивнi вiдповiдi шяк не впливають на дану мiру:
Recall = TP/(TP + FN). Мiра повноти показуе, яка частка об'екпв, що належать до позитивного класу, була прогнозована правильно.
Загальним критерiем якостi е F-мiра. Точнiсть i по-внота добре оцiнюють яюсть класифiкатора для задач зi змщеною ранiше ймовiрнiстю, але якщо ми навчили модель з високою точнютю, може ста-тися, що повнота такого класифшатора низька, i
навпаки. Для встановлення важливостi конкретно! метрики розглядаеться параметрична F-мiра:
Precision • Recall
F„ = (1 + Р2)
p2Precision + Recall
де Pe[0, ¥), при b = 0 обчислюеться точнiсть, при b < 1 точнють переважна, при b = 1 непараметрична F-мiра переважна, при b = да обчислюеться повнота.
Щоб зв'язати точнють з повнотою F-мiра вводиться як середне гармоншне значення точностi i повноти:
^ 2Precision • Recall ,1Ч
Fp =-. (1)
Precision + Recall
Нехай Pb вiдображае ймовiрнiсть виявлення вторг-нення пiд час роботи комплексного методу. У цьому випадку функщя залежить вiд показникiв, що характеризують яюсть СВВ:
Pb = f (Recall, Precision, Fp, DR, FPR). (2)
Вибiр одного або всiх параметрiв функци f залежить вiд бажаного результату: FPR - це частка помилкових попереджень, скшьки передбачень з ушх позитивних прогнозiв були невiрними, повнота за-звичай використовуеться сумiсно з точнiстю. У цьому дослщженш використовувалась F-мiра (1), тому що це гармоншне середне повноти i точности Чим бiльше значення Fp, тим краща наша модель.
Нехай Ab,i = 1,2,3,... змшш, що позначають деякi пороговi ймовiрностi виявлення вторгнень. Виби-раючи по^бну функцiю f i пороговi значення виявлення вторгнень, можна вардавати налашту-вання роботи СВВ (кшьюсть алармiв, рiвень спрацьовувань тривоги, рiвень блокування, реагування на атаку). Функщя f i значення параметрiв A'b встановлюються фахiвцем з безпеки i залежать вiд необхiдного рiвня виявлення вторгнень або безпеки системи.
Ентропшний аналiз використовуеться для виявлення атак, щоб сформувати статистичний критерш для перевiрки належностi дослiджуваного екзем-пляра до аномального класу [12, 13, 15, 22]. Ен-трошя трафiка залежить вiд ймовiрностi появи пакета w -го типу тд час !х передачi. Суть методу максимуму ентропи полягае в побудовi моделi, яка максимiзуе значення ентропи. Це вщповщае при-пущенню, що зi збiльшенням кiлькостi ушкальних записiв вони рiвномiрно розподiляються мiж обра-ними класами, що призводить до збiльшення ентропи.
Наш тдхщ дiлиться на два етапи. Перша фаза полягае у вивченш базового розпод^, а друга фаза -у виявленш аномалш в спостережуваному трафiку.
В робот ентротя трафiка даних обчислюеться через ковзане вшно з фшсованою шириною T . Роз-Mip вшна T е настроюваним параметром, який контролюе, нaскiльки згладжування короткочасних коливань буде виконуватися детектором. Збшь-шення T зменшить вщхилення в ентропи i може зменшити швидкiсть помилкових позитивних ре-зультапв, що виникають внaслiдок незначних ано-мaлiй. Тим не менш, для швидкого виявлення атак розмiр T повинен бути досить малим. Величина граничного значення розбiжностi ентропiй d також задаеться i е настроюваним параметром. В роботi запропоновано використовувати метод анашзу сигнатур [16, 23], який засновано на глибо-кому aнaлiзi пaкетiв (DPI) незашифрованого трафша i вiдомих протоколiв четвертого (транспортного рiвня мережно! моделi). DPI анатзуе ко-жен пакет, i приймае рiшення в режимi реального часу на основi бази даних вщомих мережних атак, правил, визначених компaнiею, провайдером або мережним адмшютратором. При виявленнi сигна-тури Sgj в пакетах даних включаеться правило ре-
агування на певний тип вторгнення R = {Rj,R2,..,Rn}, шформащя про вторгнення запи-суеться в базу даних.
Метод анатзу поведшки трaфiкa для щентифшаци атак засновано на використанш aлгоритмiв машинного навчання [24-26]. Як методи класифшацп для машинного навчання були обраш методи дерев ршень (випадкового люу) i нейроннi мережi. Як ознаки були використаш стaтистичнi, фрaктaльнi i рекурентнi характеристики, розрaховaнi за ре-aлiзaцiями трaфiкa [3, 26-29].
На основi сумiсного застосування методiв aнaлiзу поведiнки трaфiкa, aнaлiзу протоколiв та сигнатурного анатзу запропоновано комплексний метод щентифшаци атак.
3. Комплексний метод виявлення вторгнень
У данш робот ми встановили таю пороги:
Ab = 0,9, A2 = 0,7, Ab = 0,5. Автори робгг [7, 12, 19, 25, 27-29] показали, що ймовiрнiсть виявлення вторгнень, бшьша 90%, е практично точною щентифшащею наявност атаки, Ab = 0,7 вказуе на те, що необхвдний додатковий анатз трaфiкa. Якщо ж ймовiрнiсть виявлення менша 50%, то це вказуе на вщсутнють атаки. Схему роботи запропонованого комплексного методу представлено на рисунку.
База даних нормально! поведшки мютить запис про нормальне функщонування мереж1, тобто без атак. База даних протоколiв мютить правильш структури кожного протоколу. У бaзi даних сигнатур е вс
сигнатури вiдомих атак. Блок запису в бази даних тдпиив, протоколiв, поведiнки вiдпрaвляе в зазна-ченi бази даних iнформaцiю про знайдеш атаки вiдповiдно.
Передача траф!ку J
в мерехо Л
Кшець ^
Схема роботи комплексного методу виявлення вторгень
Розглянемо роботу комплексного методу бшьш докладно.
Попередня обробка трафжа. На вхвд детекторiв надходить трафш, який вони захоплюють i вiдси-лають на передобробку для приведення його в зручний вид для обробки i аналiзу. Далi трафiк аналiзуeться, вибираються його стати-стичнi характеристики, ознаки, за якими вш буде класифшуватися [28, 29]. В ходi роботи як ознаки та характеристики трафша використовувались його iнтенсивнiсть, якють обслуговування, самоподiбнi параметри, якi впливають на iдентифiкацiю атак. Метод поведшки. Дат трафiк вiдсилаeться на анашз методом поведiнки.
1. При Рь > АЬ метод поведiнки вщправляе трафiк в пiдсистему реагування на атаки (або видаляе його) i записуе даннi про атаку в базу даних атак.
2. При A2 < Pb < Ab трафк вiдправляeться на ан^з методом аналiзу npoTOKonÎB.
3. При Ab < Pb < A2 трафк вiдпpавляeться на аналiз методом сигнатурного аналiзу, минаючи метод анашзу пpотоколiв.
4. При Pb < Ab трафш без всяких додаткових пе-pевipок вiдпpавляeться далi в мережу.
Метод аналiзу протоколiв. Трафш, який був пере-даний на вхщ методу аналiзу пpотоколiв, проходить таю кроки:
1. При Pb > Ab метод анашзу пpотоколiв вiдпpавляe тpафiк в тдсистему реагування на атаки (або вида-ляе його) i записуе дат про цю атаку в базу даних атак.
2. При Ab < Pb < Ab тpафiк вщправляеться на аналiз методом сигнатурного аналiзу.
3. При Pb < Ab трафш без всяких додаткових пе-pевipок вiдпpавляеться далi в мережу.
Метод сигнатурного аналiзу. Тpафiк, що надш-шов на вхiд методу сигнатурного аналiзу, обробляеться i поpiвнюеться з iснуючими сигнатурами атак.
1. При Pb > Ab метод сигнатурного аналiзу вщправ-ляе тpафiк в тдсистему реагування на атаки (або видаляе його) i записуе даш про цю атаку в базу даних атак.
3. При Pb < Ab трафк вщправляеться далi в мережу.
Далi трафш передаеться всередиш меpежi вiдповiдно до встановлених правил обробки i передача
4. Результати експерименпв роботи комплексного методу
Проведено аналiз роботи комплексного методу виявлення вторгнень, який об'еднуе три методи детектування атак. Реальний тpафiк був узятий з [30, 31] репозиторпв. Моделювання pеалiзацiï тpафiка здiйснювалося за алгоритмом, описаним в [26, 29]. За атаки приймалися pеалiзацiï шести титв: DDoS-атаки, Brute Force, UDP-flood, потоки TCP SYN, Ping of Death, HTTP-flood. Для прове-дення експерименпв тpафiк був pоздiлений на групи за типом штерфейсу i протоколу i складався з 170 тисяч запишв (бiльше 1го мшьйона пакетiв). У данiй pоботi був проведений аналiз пpотоколiв на основi TCP i UDP.
Для оцшки якостi роботи методу комплексного виявлення атаки була розгорнута вipтуальна мережа, в якш тpафiк передавався з п'яти джерел на сервер щентифшаци атаки. Було використано про-
грамне забезпечення Python для проведення експе-pиментiв шляхом пiдключення бiблiотек, що ре-алiзують статистичний аналiз i методи машинного навчання. Для аналiзу сигнатур тpафiка викори-стовувалася СВВ Suricata. Весь тpафiк в мереж вiдстежувався i оброблявся на сеpвеpi як в pежимi реального часу, так i шляхом автономноï обробки рашше захопленого мережного трафша. Це дозволило аналiзувати трафш з piзних джерел piзноï ш-тенсивностi i розставляти пpiоpитети для його обробки. Модуль аналiзу поведшки, що викори-стовуе методи машинного навчання, виконаний у виглядi плагiнiв, як транслюють отриманий тpафiк в часовi ряди, обчислюють i аналiзують властивост отриманих часових pядiв, видають по-вiдомлення i записують результати аналiзу в лог-файли для збору поведiнковоï статистики. Це значно скорочуе час на виявлення атак. Модуль аналiзу ентропи був побудований як плагш, який отримуе кожну IP-датаграму з вщкршга бiблiотеки WinCap i обробляе ïï. Це дозволило знову збирати потiк даних i виконувати подальшi манiпуляцiï з пакетами. Вш також видае повiдомлення i записуе даш в лог-файли детектора ентропи з метою перюдичного обчислення ïï значень для кожного атрибута пакета, зазначеного в факт iнiцiалiзацiï (наприклад, TCP/UDP порти, IP адреси джерела i одержувача, pозмip вiкна TCP i довжина датагра-ми). Це дозволило полшшити настройку сигналiв тривоги шляхом pучноï або автоматичноï настройки детектора.
Експерименти з навчання моделi для кожного типу атаки були проведет на 1000 прикладах трафша по 120 секунд тривалост кожен. Тестування за-пропонованого комплексного методу проводилось на 100 тестових прикладах для комбшацп piзних титв атак.
В таблиц представлено показники якосп роботи запропонованого комплексного методу та юную-чих комплексних методiв, запропонованих iншими дослiдниками. Результати роботи даного комплексного методу збтаються з результатами, от-риманими шшими дослiдниками [1, 7, 9, 10, 22, 23, 32].
Для аналiзу якосп роботи запропонованого комплексного методу щентифшаци атак використо-вувались такi показники ефективностi СВВ: вщсо-ток виявлених атак; вщсоток атак, якi не були ви-явленi; вiдсоток втрачених даних вщ загальноï кiлькостi отриманих даних, вщсоток помилкових спрацьовувань (FN+TN), F-мipа. При поpiвняннi якостi роботи запропонованого комплексного методу виявлення вторгнень з юну-
ючими комплексними методами визначено, що запропонований метод на 1-3% краще щентифшуе атаки, при цьому вiдсоток невиявлених атак мен-ший на 2-5%, помилкових спрацьовувань менше на 2% та час щентифшаци атак вщносно однако-вий при роботi юнуючих методiв.
5. Висновки
Дослiджено проблему виявлення вторгнень в шфо-комушкацшних мережах. Розроблено комплексный метод виявлення вторгнень, який базуеться на об'еднаному застосуваннi методiв аналiзу по-ведшки трафiка, ентропiйному аналiзi протоколiв та сигнатурному анатзь Проведено iмiтацiйне мо-делювання запропонованого методу i порiвняльний аналiз результатiв його роботи та шших iснуючих методiв за показниками вщсотка виявлених атак, невиявлених атак, втрачених даних, помилкових спрацьовувань при щентифшаци атак та комплексному показнику F-мiри. Результати iмiтацiйного моделювання роботи запропонованого комплексного методу показали, що запропонований метод бшьш якюно iдентифiкуе атаки та мае меншу кшь-кiсть помилкових спрацьовувань. В подальшому плануеться дослщження роботи комплексного методу при рiзнiй iнтенсивностi вхiдного навантаження.
Лiтература: 1. Bulajoul W. Network intrusion detection systems in high-speed traffic in computer networks / W. Bulajoul, A. James, M. Pannu // Proceeding of 10th International Conference on E-Business Engineering (ICEBE), IEEE, 2013. P. 168-175. doi: 10.1109/ICEBE.2013.26. 2. Semenova O. Access fuzzy controller for CDMA networks / O. Semenova, A. Semenov, K. Koval, A. Rudyk, V. Chuhov // Proceeding of 2013 International Siberian Conference on Control and Communications (SIBCON), IEEE, 2013. P. 1-2. doi:
10.1109/SIBCON.2013.6693644. 3. Bulakh V. Time Series Classification Based on Fractal Properties / V. Bulakh, L. Kirichenko, T. Radivilova // Proceeding of 2018 IEEE Second International Conference on Data Stream Mining & Processing (DSMP), Ukraine, 2018. P. 198-201. doi: 10.1109/DSMP.2018.8478532. 4. Matuszewski J. Neural network application for emitter identification / J. Matuszewski, K. Sikorska-Lukasiewicz // Proceeding of 2017 18th International Radar Symposium (IRS), Prague, 2017. P. 1-8. doi: 10.23919/IRS.2017.8008202. 5. Jacob N. M. A Review of Intrusion Detection Systems / N. M. Jacob, M. Y. Wanjala // Global Journal of Computer Science and Technology. 2017. Vol. 17, №3. C. 6. Hu Q. Evaluating network intrusion detection systems for highspeed networks / Q. Hu, M. R. Asghar, N. Brownlee // Proceeding of 2017 27th International Telecommunication Networks and Applications Conference (ITNAC), Melbourne, VIC, 2017. P. 1-6. doi: 10.1109/ATNAC.2017.8215374. 7. Radivilova T. Test for penetration in Wi-Fi network: Attacks on WPA2-PSK and WPA2-enterprise / T. Radivilova and H. A. Hassan // Proceeding of 2017 International Conference on Information and Telecommunication Technologies and Radio Electronics (UkrMiCo), Odessa. IEEE, 2017. P. 1-4. doi: 10.1109/UkrMiCo.2017.8095429. 8. Radivilova T. Classification Methods of Machine Learning to Detect DDoS Attacks / T. Radivilova, L. Kirichenko, D. Ageiev, V. Bulakh // Proceeding of 2019 10th IEEE International Conference on Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications (IDAACS), Metz, France, 2019. P. 207-210. doi: 10.1109/IDAACS.2019.8924406. 9. Khan M. A. A Scalable and Hybrid Intrusion Detection System Based on the Convolutional-LSTM Network / M. A. Khan, M. R. Karim, Y. A. Kim // Symmetry. 2019. Vol. 11. P. 581-585. doi: 10.3390/sym11040583. 10. Shah S. A. R. Performance comparison of intrusion detection systems and application of machine learning to Snort system / S. A. R. Shah, B. Issac // Future Generation Computer Systems. 2018. Vol.80. P. 157-170. doi:
https://doi.org/10.1016/jiuture.2017.10.016. 11. Das K. Protocol Anomaly Detection for Network-based Intrusion Detection. SANS Institute. Information Security Reading Room, 2002. 9 p. 12. Wang Q. An Entropy Analysis Based Intrusion Detection System for Controller Area Network in Vehicles / Q. Wang, Z. Lu, G. Qu // Proceeding of 2018 31st IEEE International System-on-Chip Conference (SOCC), Arlington, VA, 2018. P. 90-95. doi: 10.1109/S0CC.2018.8618564. 13. Navaz A. S. Entropy based anomaly detection system to prevent DDoS attacks in cloud / A. S. Navaz, V. Sangeetha, C. Prabhadevi // [Online]. Available at: arXiv preprint arXiv:1308.6745. 2013. 14. Berezinski P. An entropy-based network anomaly detection method / P. Berezinski, J. Bartosz, M. Szpyrka // Entropy. 2015. Vol. 17(4). P. 2367-2408. 15. Radivilova T. Entropy Analysis Method for Attacks Detection / T. Radivilova, L. Kirichenko, A. S. Alghawli // Proceeding of 2019 IEEE International Scientific-Practical Conference Problems of Infocommunications, Science and Technology
Khan [29] Shah [30] Hu [7] Запропонова ний комплексний метод
Вщсоток *10-1 виявлених атак 9.7 9.7 9.5 9.8
Вщсоток невиявлених атак 0.3 0.3 0.5 0.2
Вщсоток втрачених даних 7 3.2 9.8 3.2
Вщсоток помилкових спрацьовувань 0.71 3.2 1.7 1.6
F1 мiра 0.973 0.953 0.944 0.98
(PIC S&T), Kyiv, Ukraine, 2019. P. 443-446. doi: 10.1109/PICST47496.2019.9061451. 16. Kumar R. Signature-Anomaly Based Intrusion Detection Algorithm / R. Kumar, D. Sharma // Proceeding of 2018 Second International Conference on Electronics, Communication and Aerospace Technology (ICECA), Coimbatore, 2018. P. 836-841. doi: 10.1109/ICECA.2018.8474781. 17. Yin C. A Deep Learning Approach for Intrusion Detection Using Recurrent Neural Networks / C. Yin, Y. Zhu, J. Fei, X. He // IEEE Access. 2017. Vol. 5. P. 21954-21961. doi: 10.1109/ACCESS.2017.2762418. 18. Liu H. Machine Learning and Deep Learning Methods for Intrusion Detection Systems: A Survey / H. Liu, B. Lang // Applied Sciences. 2019. Vol.9 P. 4396. doi:10.3390/app9204396. 19. Sandosh S. Complex Event Processing Over Intrusion Detection System: A Comprehensive Discussion / S. Sandosh, V. Govindasamy, G. Akila, A. Jeraldine, D. Mithunkala, V. MohannaKasturi // Proceeding of 2019 IEEE International Conference on System, Computation, Automation and Networking (ICSCAN), Pondicherry, India, 2019. P. 1-6. 20. Ulvila J. W. Evaluation of Intrusion Detection Systems / J. W. Ulvila, J. E. Gaffney // Journal of research of the National Institute of Standards and Technology. 2003. Vol. 108(6). P. 453-473. doi: 10.6028/jres. 108.040. 21. Kumar G. Evaluation Metrics for Intrusion Detection Systems - A Study // International Journal of Computer Science and Mobile Applications. 2014. Vol.2, iss. 11. P. 11-17. 22. Gu Y. Detecting Anomalies in Network Traffic Using Maximum Entropy Estimation / Y. Gu, A. McCallum, D. Towsley // Proceeding of 5th ACM SIGCOMM conference on Internet Measurement, 2005, pp. 32-32. 23. Almutairi A. H. Innovative signature based intrusion detection system: Parallel processing and minimized database / A. H. Almutairi, N. T. Abdelmajeed // Proceeding of 2017 International Conference on the Frontiers and Advances in Data Science (FADS), Xi'an, 2017. P. 114-119. doi: 10.1109/FADS.2017.8253208. 24. Kirichenko L. Binary Classification of Fractal Time Series by Machine Learning Methods / L. Kirichenko, T. Radivilova, V. Bulakh // In Eds.: V. Lytvynenko, S. Babichev, W. Wojcik, O. Vynokurova, S. Vyshemyrskaya, S. Radetskaya. Lecture Notes in Computational Intelligence and Decision Making. ISDMCI 2019. Advances in Intelligent Systems and Computing. 2020. Vol. 1020. P. 701-711. doi: https://doi.org/10.1007/978-3-030-26474-1_49. 25. Liu X. Detecting Anomaly in Traffic Flow from Road Similarity Analysis / X. Liu, Y. Wang, J. Pu, X. Zhang // In Eds.: B. Cui, N. Zhang, J. Xu, X. Lian, D. Liu // Web-Age Information Management. WAIM 2016. Lecture Notes in Computer Science. 2016. Vol. 9659. P. 92-104. doi: https://doi.org/10.1007/978-3-319-39958-4_8. 26.
Kirichenko L. Machine Learning in Classification Time Series with Fractal Properties / L. Kirichenko, T. Radivilova, V. Bulakh // Data. 2019. Vol.4, issue 1, 5. P. 1-13. doi: 10.3390/data4010005. 27. Cuadra-Sánchez A. Traffic Anomaly Detection / A. Cuadra-Sánchez, J. Aracil // Elsevier, 2015. 70 p. 28. Alazzam H. A Feature Selection Algorithm for Intrusion Detection System Based on Pigeon
Inspired Optimizer / H. Alazzam, A. Sharieh, K. E. Sabri // Expert Systems with Applications. 2020. Vol. 148. P. 113249. doi: https://doi.Org/10.1016/j.eswa.2020.113249. 29. Ivanisenko I. Investigation of multifractal properties of additive data stream / I. Ivanisenko, L. Kirichenko, T. Radivilova // 2016 IEEE First International Conference on Data Stream Mining & Processing (DSMP), Lviv, 2016. P. 305-308. doi: 10.1109/DSMP.2016.7583564. 30. Al-Kasassbeh M. Towards generating realistic SNMP-MIB dataset for network anomaly detection / M. Al-Kasassbeh, G. Al-Naymat, E. Al-Hawari // International Journal of Computer Science and Information Security. 2016. Vol. 14, №9. P. 1162-1185. 31. GitHub. 2020. Ddos-Attack. [online] Available at: https://github.com/Ha3MrX/DDos-Attack. [Accessed 02 April 2020]. 32. Dromard J. Online and Scalable Unsupervised Network Anomaly Detection Method / J. Dromard, G. Roudiere, P. Owezarski // IEEE Transactions on Network and Service Management. 2014. Vol. 14, №1. P. 34-47. doi: 10.1109/TNSM.2016.2627340. Транслирований список л^ератури:
1. Bulajoul W. Network intrusion detection systems in highspeed traffic in computer networks / W. Bulajoul, A. James, M. Pannu // Proceeding of 10th International Conference on E-Business Engineering (ICEBE), IEEE, 2013. P. 168-175. doi: 10.1109/ICEBE.2013.26.
2. Semenova O. Access fuzzy controller for CDMA networks / O. Semenova, A. Semenov, K. Koval, A. Rudyk, V. Chuhov // Proceeding of 2013 International Siberian Conference on Control and Communications (SIBCON), IEEE, 2013. P. 1-2. doi: 10.1109/SIBC0N.2013.6693644.
3. Bulakh V. Time Series Classification Based on Fractal Properties / V. Bulakh, L. Kirichenko, T. Radivilova // Proceeding of 2018 IEEE Second International Conference on Data Stream Mining & Processing (DSMP), Ukraine, 2018. P. 198-201. doi: 10.1109/DSMP.2018.8478532.
4. Matuszewski J. Neural network application for emitter identification / J. Matuszewski, K. Sikorska-Lukasiewicz // Proceeding of 2017 18th International Radar Symposium (IRS), Prague, 2017. P. 1-8. doi: 10.23919/IRS.2017.8008202.
5. Jacob N. M. A Review of Intrusion Detection Systems / N. M. Jacob, M. Y. Wanjala // Global Journal of Computer Science and Technology. 2017. Vol. 17, №3-C.
6. Hu Q. Evaluating network intrusion detection systems for high-speed networks / Q. Hu, M. R. Asghar, N. Brownlee // Proceeding of 2017 27th International Telecommunication Networks and Applications Conference (ITNAC), Melbourne, VIC, 2017. P. 1-6. doi: 10.1109/ATNAC.2017.8215374.
7. Radivilova T. Test for penetration in Wi-Fi network: Attacks on WPA2-PSK and WPA2-enterprise / T. Radivilova and H. A. Hassan // Proceeding of 2017 International Conference on Information and Telecommunication Technologies and Radio Electronics (UkrMiCo), Odessa. IEEE, 2017. P. 1-4. doi: 10.1109/UkrMiCo.2017.8095429.
8. Radivilova T. Classification Methods of Machine Learning to Detect DDoS Attacks / T. Radivilova, L. Kirichenko, D. Ageiev, V. Bulakh // Proceeding of 2019
10th IEEE International Conference on Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications (IDAACS), Metz, France, 2019. P. 207-210. doi: 10.1109/IDAACS.2019.8924406.
9. Khan M. A. A Scalable and Hybrid Intrusion Detection System Based on the Convolutional-LSTM Network / M. A. Khan, M. R. Karim, Y. A. Kim // Symmetry. 2019. Vol. 11. P. 581-585. doi: 10.3390/sym11040583.
10. Shah S. A. R. Performance comparison of intrusion detection systems and application of machine learning to Snort system / S. A. R. Shah, B. Issac // Future Generation Computer Systems. 2018. Vol.80. P. 157-170. doi: https://doi.org/10.1016/j.future.2017.10.016.
11. Das K. Protocol Anomaly Detection for Network-based Intrusion Detection. SANS Institute. Information Security Reading Room, 2002. 9 p.
12. Wang Q. An Entropy Analysis Based Intrusion Detection System for Controller Area Network in Vehicles / Q. Wang, Z. Lu, G. Qu // Proc. of 2018 31st IEEE International System-on-Chip Conference (SOCC), Arlington, VA. 2018. P. 90-95. doi: 10.1109/S0CC.2018.8618564.
13. NavazA. S. Entropy based anomaly detection system to prevent DDoS attacks in cloud / A. S. Navaz, V. Sangeetha,
C. Prabhadevi // [Online] Available at: arXiv preprint arXiv:1308.6745. 2013.
14. Berezinski P. An entropy-based network anomaly detection method / P. Berezinski, J. Bartosz, M. Szpyrka // Entropy. 2015. Vol. 17(4). P. 2367-2408.
15. Radivilova T. Entropy Analysis Method for Attacks Detection / T. Radivilova, L. Kirichenko, A. S. Alghawli // Proceeding of 2019 IEEE International Scientific-Practical Conference Problems of Infocommunications, Science and Technology (PIC S&T), Kyiv, Ukraine, 2019. P. 443-446. doi: 10.1109/PICST47496.2019.9061451.
16. Kumar R. Signature-Anomaly Based Intrusion Detection Algorithm / R. Kumar, D. Sharma // Proc. of 2018 Second International Conference on Electronics, Communication and Aerospace Technology (ICECA), Coimbatore, 2018. P. 836-841. doi: 10.1109/ICECA.2018.8474781.
17. Yin C. A Deep Learning Approach for Intrusion Detection Using Recurrent Neural Networks / C. Yin, Y. Zhu, J. Fei, X. He // IEEE Access. 2017. Vol. 5. P. 21954-21961. doi: 10.1109/ACCESS.2017.2762418.
18. Liu H. Machine Learning and Deep Learning Methods for Intrusion Detection Systems: A Survey / H. Liu, B. Lang // Applied Sciences. 2019. Vol.9 P. 4396. doi:10.3390/app9204396.
19. Sandosh S. Complex Event Processing Over Intrusion Detection System: A Comprehensive Discussion / S. Sandosh, V. Govindasamy, G. Akila, A. Jeraldine,
D. Mithunkala, V. MohannaKasturi // Proceeding of 2019 IEEE International Conference on System, Computation, Automation and Networking (ICSCAN), Pondicherry, India, 2019. P. 1-6.
20. Ulvila J. W. Evaluation of Intrusion Detection Systems / J. W. Ulvila, J. E. Gaffney // Journal of research of the National Institute of Standards and Technology. 2003. Vol. 108(6). P. 453-473. doi:10.6028/jres.108.040.
21. Kumar G. Evaluation Metrics for Intrusion Detection Systems - A Study II International Journal of Computer Science and Mobile Applications. 2014. Vol.2, iss. 11. P. 11-17.
22. Gu Y. Detecting Anomalies in Network Traffic Using Maximum Entropy Estimation I Y. Gu, A. McCallum, D. Towsley II Proceeding of 5th ACM SIGCOMM conference on Internet Measurement, 2005, pp. 32-32.
23. Almutairi A. H. Innovative signature based intrusion detection system: Parallel processing and minimized database I A. H. Almutairi, N. T. Abdelmajeed II Proceeding of 2017 International Conference on the Frontiers and Advances in Data Science (FADS), Xi'an, 2017. P. 114-119. doi: 10.1109IFADS.2017.8253208.
24. Kirichenko L. Binary Classification of Fractal Time Series by Machine Learning Methods I L. Kirichenko, T. Radivilova, V. Bulakh II In Eds.: V. Lytvynenko, S. Babichev, W. Wojcik, O. Vynokurova, S. Vyshemyrskaya, S. Radetskaya. Lecture Notes in Computational Intelligence and Decision Making. ISDMCI 2019. Advances in Intelligent Systems and Computing. 2020. Vol. 1020. P. 701-711. doi: https :IIdoi.orgH0.1007I978-3-030-26474-1_49.
25. Liu X. Detecting Anomaly in Traffic Flow from Road Similarity Analysis I X. Liu, Y. Wang, J. Pu, X. Zhang II In Eds.: B. Cui, N. Zhang, J. Xu, X. Lian, D. Liu II Web-Age Information Management. WAIM 2016. Lecture Notes in Computer Science. 2016. Vol. 9659. P. 92-104. doi: https:IIdoi.org/10.1007I978-3-319-39958-4 8.
26. Kirichenko L. Machine Learning in Classification Time Series with Fractal Properties I L. Kirichenko, T. Radivilova, V. Bulakh II Data. 2019. Vol.4, issue 1, 5. P. 1-13. doi: 10.3390Idata4010005.
27. Cuadra-Sánchez A. Traffic Anomaly Detection I A. Cuadra-Sánchez, J. Aracil II Elsevier, 2015. 70 p.
28. Alazzam H. A Feature Selection Algorithm for Intrusion Detection System Based on Pigeon Inspired Optimizer I H. Alazzam, A. Sharieh, K. E. Sabri II Expert Systems with Applications. 2020. Vol. 148. P. 113249. doi: https:IIdoi.orgI10.1016Ij.eswa.2020.113249.
29. Ivanisenko I. Investigation of multifractal properties of additive data stream I I. Ivanisenko, L. Kirichenko, T. Radivilova II 2016 IEEE First International Conference on Data Stream Mining & Processing (DSMP), Lviv, 2016. P. 305-308. doi: 10.1109IDSMP.2016.7583564.
30. Al-Kasassbeh M. Towards generating realistic SNMP-MIB dataset for network anomaly detection I M. Al-Kasassbeh, G. Al-Naymat, E. Al-Hawari II International Journal of Computer Science and Information Security. 2016. Vol. 14, №9. P. 1162-1185.
31. GitHub. 2020. Ddos-Attack. [online] Available at: https:IIgithub. comIHa3MrXIDDos-Attack. [Accessed 02 April 2020].
32. Dromard J. Online and Scalable Unsupervised Network Anomaly Detection Method I J. Dromard, G. Roudière, P. Owezarski II IEEE Transactions on Network and Service Management. 2014. Vol. 14, №1. P. 34-47. doi: 10.1109ITNSM.2016.2627340.
Надшшла до редколегп 12.05.2020 Рецензент: д-р техн. наук, проф. Толюпа C.B.
Радiвiлова Тамара Анатоливна, канд. техн. наук, доцент кафедри шфокомушкацшно! iнженерii iM. В.В. Поповського, ХНУРЕ. HyKOBi iнтереси: шфор-мацiйна безпека, виявлення аномалiй, yправлiння трафiком, фрактальний аналiз, телекомyнiкацiйнi си-стеми. Адреса: Украша, 61166, Харк1в, пр. Науки, 14, тел. 380577021320, e-mail: tamara.radivilova@gmail.com. 1льков Андрш Анатолiйович, старший помiчник начальника навчального вiддiлy, ХНУПС iM. 1.Кожедуба. Наyковi iнтереси: iнформацiйна безпека, радiолокацiя, радiоелектроннi системи, iдентифiкацiя вторгнень. Адреса: Украша, 61023, Харшв, вул. Сумсь-ка 77/79, тел. +380577049645, e-mail: andreyilkov428@gmail.com.
Тавалбех Максим Хаджем, астрант кафедри шфоко-мyнiкацiйноi iнженерii iM. В.В. Поповського, ХНУРЕ. Наyковi штереси: телекомyнiкацiйнi системи, шфор-мацiйна безпека, маршрyтизацiя, якiсть обслуговування, yправлiння трафком. Адреса: Украша, 61166, Харкiв, пр. Науки, 14, тел. +380577021320, e-mail: tavalbeh@icloud. com.
Radivilova Tamara, Ph.D., ass.professor, ass.professor at V.V. Popovskyy department of infocommunication engineering, Kharkiv National University of Radio Electronics. Research interests: information security, anomaly detection, traffic engineering, fractal analysis, telecommunication system. Address: Ukraine, 61166, Kharkiv, Nauka Ave., 14, Phone/fax: +380577021320, email: tamara.radivilova@gmail.com. Ilkov Andrii, senior assistant of the head of educational department, Ivan Kozhedub Kharkiv National Air Force University. Research interests: information security, radiolocation, radioelectronic systems, intrusion detection. Address: Ukraine, 61023, Kharkiv, Sumska St., 77/79, Phone/fax: +380577049645, e-mail:
andreyilkov428@gmail.com.
Tawalbeh Maxim, postgraduate student at V.V. Popovskyy department of infocommunication engineering, Kharkiv National University of Radio Electronics. Research interests: telecommunication system, information security, routing, quality of service, traffic engineering. Address: Ukraine, 61166, Kharkiv, Nauka Ave., 14, Phone/fax: +380577021320, e-mail: tavalbeh@icloud.com.
