Научная статья на тему 'Моделирование идентификации профиля кибератак на основе анализа поведения устройств в сети провайдера телекоммуникационных услуг'

Моделирование идентификации профиля кибератак на основе анализа поведения устройств в сети провайдера телекоммуникационных услуг Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
306
59
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ / СЕТИ ПРОВАЙДЕРОВ ТЕЛЕКОММУНИКАЦИОННЫХ УСЛУГ / МОНИТОРИНГ СЕТИ / ROC-АНАЛИЗ / ПРОФИЛЬ КИБЕРАТАКИ / INTRUSION DETECTION / NETWORK OF TELECOMMUNICATION SERVICE PROVIDERS / NETWORK MONITORING / ROC-ANALYSIS / CYBERATTACK PROFILE

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Болодурина Ирина Павловна, Парфёнов Денис Игоревич, Забродина Любовь Сергеевна, Жигалов Артур Юрьевич, Торчин Вадим Александрович

В настоящее время существует множество угроз сетевой безопасности. Это особенно актуально для операторов связи и провайдеров телекоммуникационных услуг, являющихся ключевым звеном инфраструктуры передачи данных для любой компании. Для обеспечения защиты собственной инфраструктуры и облачных сервисов, предоставляемых конечным пользователям, операторам связи приходится применять нетривиальные решения. При этом не последнее место занимает точность определения атак системами безопасности. В рамках настоящего исследования разработан подход и проведено моделирование обнаружения атак на основе анализа цепочек состояний сетевых узлов. Предложенный подход позволяет осуществлять сопоставление событий, происходящих в сети, с событиями, фиксируемыми системами обнаружения вторжений. В нашем исследовании мы решаем проблему формализации типичного профиля атаки в сети провайдеров телекоммуникационных услуг путем построения последовательности переходов состояний узлов сети и времени изменения состояния отдельных исследуемых устройств. Исследование затрагивает наиболее популярные типы атак. Для формализации правил классификации состояний в исследовании используется алгоритм дерева решений для построения цепочки событий безопасности. В экспериментальной части исследования проведена оценка точности классификации известных типов атак, зафиксированных в журналах событий безопасности с использованием ROC-анализа. Полученные результаты позволили оценить эффективность разработанной модели для распознавания сетевых атак в инфраструктуре провайдеров телекоммуникационных услуг. Экспериментальные результаты показывают достаточно высокую точность определения популярного типа атаки. Это позволит в будущем также сократить время реагирования на инциденты безопасности в большой сети за счет более раннего обнаружения нелегитимного поведения.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Болодурина Ирина Павловна, Парфёнов Денис Игоревич, Забродина Любовь Сергеевна, Жигалов Артур Юрьевич, Торчин Вадим Александрович

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

MODELING THE IDENTIFICATION OF THE PROFILE OF CYBER ATTACKS BASED ON ANALYSIS OF THE DEVICE BEHAVIORIN THE TELECOMMUNICATION SERVICES PROVIDER NETWORK

There are currently many threats to network security. This is especially true for telecom operators and telecommunication service providers, which are a key link in the data transmission infrastructure for any company. To ensure the protection of their infrastructure and cloud services provided to end-users, telecom operators have to use non-trivial solutions. At the same time, the accuracy of defining attacks by security systems is not the least. In the framework of this study, an approach was developed and attack detection was modeled based on the analysis of state chains of network nodes. The proposed approach allows the comparison of events occurring in the network with events recorded by intrusion detection systems. In our study, we solve the problem of formalizing a typical attack profile in a network of telecommunication service providers by constructing a sequence of transitions of states of network nodes and the time of the state change of individual devices under study. The study covers the most popular types of attacks. To formalize the rules for classifying states, the study uses a decision tree algorithm to build a chain of security events. In the experimental part of the study, the accuracy of the classification of known types of attacks recorded in security event logs using ROC analysis was assessed. The results obtained made it possible to evaluate the effectiveness of the developed model for recognizing network attacks in the infrastructure of telecommunication service providers. The experimental results show fairly high accuracy in determining the popular type of attack. This will also help in the future to reduce the response time to security incidents in a large network, due to earlier detection of illegitimate behavior.

Текст научной работы на тему «Моделирование идентификации профиля кибератак на основе анализа поведения устройств в сети провайдера телекоммуникационных услуг»

Инфокоммуникационные технологии и системы

УДК 62-51 DOI: 10.14529/ctcr190405

МОДЕЛИРОВАНИЕ ИДЕНТИФИКАЦИИ ПРОФИЛЯ КИБЕРАТАК НА ОСНОВЕ АНАЛИЗА ПОВЕДЕНИЯ УСТРОЙСТВ В СЕТИ ПРОВАЙДЕРА ТЕЛЕКОММУНИКАЦИОННЫХ УСЛУГ

И.П. Болодурина1'Д.И. Парфёнов1'Л.С. Забродина1, А.Ю. Жигалов1, В.А. Торчин1

10ренбургский государственный университет, г. Оренбург, Россия, 2 Федеральный научный центр биологических систем и агротехнологий РАН, г. Оренбург, Россия

В настоящее время существует множество угроз сетевой безопасности. Это особенно актуально для операторов связи и провайдеров телекоммуникационных услуг, являющихся ключевым звеном инфраструктуры передачи данных для любой компании. Для обеспечения защиты собственной инфраструктуры и облачных сервисов, предоставляемых конечным пользователям, операторам связи приходится применять нетривиальные решения. При этом не последнее место занимает точность определения атак системами безопасности. В рамках настоящего исследования разработан подход и проведено моделирование обнаружения атак на основе анализа цепочек состояний сетевых узлов. Предложенный подход позволяет осуществлять сопоставление событий, происходящих в сети, с событиями, фиксируемыми системами обнаружения вторжений. В нашем исследовании мы решаем проблему формализации типичного профиля атаки в сети провайдеров телекоммуникационных услуг путем построения последовательности переходов состояний узлов сети и времени изменения состояния отдельных исследуемых устройств. Исследование затрагивает наиболее популярные типы атак. Для формализации правил классификации состояний в исследовании используется алгоритм дерева решений для построения цепочки событий безопасности. В экспериментальной части исследования проведена оценка точности классификации известных типов атак, зафиксированных в журналах событий безопасности с использованием ROC-анализа. Полученные результаты позволили оценить эффективность разработанной модели для распознавания сетевых атак в инфраструктуре провайдеров телекоммуникационных услуг. Экспериментальные результаты показывают достаточно высокую точность определения популярного типа атаки. Это позволит в будущем также сократить время реагирования на инциденты безопасности в большой сети за счет более раннего обнаружения нелегитимного поведения.

Ключевые слова: обнаружения вторжений, сети провайдеров телекоммуникационных услуг, мониторинг сети, ЯОС-анализ, профиль кибератаки.

Введение

Широкое применение компьютерных сетей в различных сферах деятельности и высокие требования по обеспечению надежности их работы обусловливают актуальность задачи мониторинга сетей. Задача инверсивного выявления подозрительной активности при заведомо известном нелегитимном событии на данный момент является в достаточной степени изученной.

С другой стороны, решение проблемы обнаружения атак в реальном времени является нетривиальной задачей. Это обусловлено несколькими факторами. В первую очередь, ввиду разнородности представленных данных серверами и сетевыми устройствами. Вторым, но при этом не менее важным, фактором является сложность разделения нетипового поведения сети на легитимное и нелегитимное [1]. В связи с этим разработка современных методов выявления вторжений и атак на сети провайдеров телекоммуникационных услуг в настоящее время направлена на фор-

мирование нового класса алгоритмических решений. Основой для разрабатываемых решений являются методы интеллектуального анализа данных. Одним из ключевых источников таких данных являются журналы сетевых событий. Существующие Security Information and Event Management (SIEM) системы позволяют работать с потоками данных в режиме реального времени [2]. Как правило, большая часть таких систем основана на построении типового профиля пользователя и поиске в его действиях подозрительной активности. При этом точность и эффективность выявления атак при использовании данного подхода напрямую зависит от набора признаков, выбранных для идентификации нелегитимного поведения. В рамках настоящего исследования разработана методика построения типового профиля наиболее распространенных типов атак, основанная на мониторинге изменений состояния узлов сети.

1. Обзор исследований

Подход определения подозрительной сетевой активности, предложенный в данной работе, основан на анализе изменений состояний узлов сети провайдеров телекоммуникационных услуг и формировании на их базе профилей различных типов нелегитимного поведения. Анализ событий безопасности и выявление сетевых атак исследовался в ряде научных работ.

В работе исследователей из Санкт-Петербургского политехнического университета Петра Великого решается задача обнаружения атак на магистральных сетях передачи данных. Авторы предлагают прототип модуля анализа сетевого трафика, позволяющий объединять данные, получаемые из потока трафика во временные ряды и проводить дальнейший математический анализ. В основе предложенного модуля положен иерархический принцип агрегации данных, что существенно сокращает время на анализ данных [3].

В работе L. Olejnik и C. Castelluccia предложен потенциально новый подход к системе идентификации активности пользователей внутри сети. Этот метод может использоваться для обнаружения аномалий в анализе трафика и выявления подозрительной активности при доступе к облачным информационным ресурсам, расположенным на сайте поставщика телекоммуникационных услуг [4].

В рамках исследования, проведенного T. Ishitaki и др., разработан подход, основанный на использовании нейронной сети для идентификации сетевых соединений, организованных с использованием Tor. Авторы отмечают, что основными метриками выступали: число сетевых пакетов, время отклика, джиттер и число потерянных сетевых пакетов. Данная работа подтверждает возможность формирования типового профиля пользователя для идентификации его активности в сети [5].

Подход, основанный на анализе системных журналов, которые содержат данные сетевых подключений, предлагается в исследовании B.S. Borkar и A.S. Patil [6]. Для обработки данных авторы использовали метод Sequitur, который позволил уменьшить размер журнала событий. В качестве классификатора в рамках исследования авторы использовали алгоритм ^-средних. Это позволило идентифицировать аномальное поведение пользователей.

В исследовании A. Ambre и N. Shekokar разработали вероятностный подход анализа журнала событий, иллюстрирующий частоту возникновения события, при одновременном учете частоты ложных тревог на приемлемом уровне [7]. Однако авторы указывают на необходимость создания превентивного подхода.

В работе V. Eliseev и Yu. Shabalin исследована проблема обнаружения аномалий в сетевой телекоммуникационной среде. Авторами предложен метод обнаружения аномалий, основанный на анализе динамического отклика сетевых устройств. При анализе характеристик проводится корреляция времени отклика системы и показателей ее производительности. При этом для выявления аномального поведения системы построен классификатор, основанный на нейронной сети [8].

В рамках реализации проекта SHIELD H2020 авторами предложен проект системы обеспечения сетевой безопасности. Основу системы безопасности составляет интеллектуальная система адаптивного мониторинга, позволяющая проводить обнаружение атак в режиме реального времени. Предложенное решение использует функциональные возможности NFV и SDN для перенастройки инфраструктуры, что позволяет эффективно реагировать на сетевые атаки [9].

Исследование эффективности метода обнаружения низкоинтенсивных атак проводилось Е.С. Абрамовым и Я.В. Тарасовым [10]. Авторы рассмотрели модель низкоинтенсивных атак в сети, содержащей аномальный трафик. Реализованный метод обнаружения при выделении одно-

родных групп на основе моделей распознавания образов и построения прогноза для обнаружения сценария атаки показал высокий процент обнаружения атак и низкий уровень ложных срабатываний.

В работе Ю.Г. Емельянова, А.А.Талалаева и др. предложен нейросетевой подход идентификации атак с использованием IDS Snort, который показал высокую скорость обработки сетевого трафика за счет сжатия признаков [11]. Технология может быть использована в комбинации с другими системами мониторинга для повышения уровня сетевой безопасности.

В работе I. Kotenko и др. предложен подход, основанный на применении интеллектуальных агентов для анализа сетевого трафика. В качестве базового алгоритма в рамках исследования используется псевдоградиентное адаптивное обнаружение аномалий. В качестве регулятора параметров работы алгоритма используется система нечеткого логического вывода [12].

В работе V. Dagar и др. проведено исследование различных алгоритмов сопоставления с образцом, применяемых в системах обнаружения вторжений [13]. В качестве входного набора данных авторы использовали файлы Pcap для определения эффективности алгоритмов с учетом их времени выполнения. Основной проблемой перечисленных наборов данных является то, что они не в полной мере соответствуют текущему конвергентному трафику современных сетей передачи данных и не позволяют провести верификацию построенных алгоритмических решений, направленных на их защиту. В представленных наборах данных отсутствует информация о влиянии атак на объекты инфраструктуры.

Таким образом, проведенный анализ исследований показал, что в настоящее время существует множество методов выявления атак на сетевую инфраструктуру. Однако не все рассмотренные методы могут с достаточной точностью определять атакующие воздействия, в том числе в реальном времени.

2. Постановка задачи

Рассмотрим сеть провайдеров телекоммуникационных услуг. Как правило, она представляет собой иерархию устройств, связанных между собой с использованием топологии «дерево». Подключение оборудования клиента к сети провайдера при помощи коммутаторов или базовых станций происходит на уровне доступа. На уровне агрегации потоки трафика сети объединяются на магистральном сетевом узле и предаются выше в ядро сети, которое в свою очередь соединится с вышестоящими провайдерами. Типовая схема сети провайдеров телекоммуникационных услуг представлена на рис. 1.

В целом задачу мониторинга сети можно описать следующим образом. Поскольку события, происходящие в сети провайдеров телекоммуникационных услуг, носят случайный характер, то для их анализа наиболее подходящими являются вероятностные математически модели. Кроме того, отметим, что переход каждого узла сети из одного состояния в другое проходит при определенных условиях, а значит, сопровождается соответствующими характеристиками.

Зафиксируем основные возможные состояния узлов сети провайдеров телекоммуникационных услуг в процессе мониторинга параметров сетевого оборудования:

S0 - отсутствие неисправностей;

S - перегрузка узла;

52 - снижение пропускной способности;

53 - недоступность порта;

54 - физическая недоступность устройства;

55 - фрагментация пакета;

56 - полный отказ.

Цепь событий, имеющих некоторую вероятность происхождения, в ходе мониторинга сети можно представить в виде графа состояний (рис. 2).

Вероятность того, что узел находится в i-м состоянии, определяется в данном случае как вероятность нахождения в состоянии, то есть вероятность обнаружения системой мониторинга изменений в отслеживаемом параметре в сети. В каждый момент времени ti вероятность перехода

из состояния Si в состояние Sj зависит от

изменения параметров сети. В рамках настоящего исследования основными параметрами, влияющими на переход из одного состояния в другое, являются:

1) количество трафика K0, проходящего через узел в момент времени ti;

2) показатель CPU Kj, %;

3) время отклика узла K2, мс;

4) количество потерянных пакетов K3 , %;

5) состояние оперативной памяти RAM KA, %;

Рис. 2. Граф перехода состояний узла в сети провайдера телекоммуникационных услуг

6) пропускная способность K5, %;

7) статистика нарушений входов K6 , %.

Для того чтобы исследовать влияние каждого фактора на переход из состояния Si в состояние Sj (i, j = 0,6, i Ф j ), проведем анализ, который позволит выявить зависимость состояния узла от

параметров, фиксируемых системой мониторинга. В исследовании для оценки зависимости состояний узла от его параметров будет использоваться набор данных, аппроксимированных на основе CICIDS2017, разработанный в University of New Brunswick [14].

3. Моделирование идентификации кибератак

Для выявления наличия зависимости между различными факторами внутри определенного класса (каждое состояние узла является классом, которому соответствуют свои характеристики) используем решающие деревья, которые относятся к группе логических методов поддержки принятия решений, активно использующихся в машинном обучении, а также в анализе данных. Основная идея построения решающих деревьев состоит в объединении конечного количества простых решающих правил, вследствие чего конечный алгоритм становится легко интерпретируемым.

Решающее дерево представляет собой бинарное дерево, где каждой вершине сопоставляется некоторое правило вида « j - признак имеет значение меньше b », а листья содержат значения

предсказаний. Важность каждого признака можно оценить на основании того, насколько существенно улучшился критерий качества благодаря использованию этого признака в вершинах деревьев.

Алгоритм LearnID3 построения решающего дерева:

1) ПРОЦЕДУРА LearnID3 (U с Xl);

2) если все объекты из U лежат в одном классе с е У, то вернуть новый лист v, cv := c;

3) найти предикат с максимальной информативностью:

ß := arg max I (ß,U);

ßeB

/(ß,x') = #{(xt; Xj ):yl= у j ß(.v;) = (ЗЦ.)} - критерий Джини;

4) разбить выборку U = Ui)\JlJ] по предикату ß :

UQ = {и e U: ß(x) = 0} ;

Uj ={u eU: ß( x) = 1} ;

5) если U0 =0 или U1 =0, то

6) вернуть новый лист v,cv := Мажоритарный класс (U);

7) создать новую внутреннюю вершину v, ßv := ß;

построить левое поддерево: Lv := LearnID3(U0) ;

построить правое поддерево: Rv := LearnID3(U1);

8) вернуть v.

На основе рассмотренного алгоритма LeamID3 построения решающего дерева проанализированы данные о состоянии узла и его параметрах, фиксируемые системой мониторинга, и получены результаты, представленные на рис. 3. Каждая вершина решающего дерева содержит информацию о количестве объектов каждого класса, попавших в рассматриваемый узел.

Согласно построенному дереву решений (см. рис. 3) можно выделить для каждого состояния узла сети наиболее важные параметры К^, влияющие на изменение данного состояния. Результаты оценки зависимостей состояний узла от его параметров представлены в табл. 1.

Таблица 1

Значимые характеристики состояний узла сети

Состояние Параметры

£0 - отсутствие неисправностей { ко ; К1 ; К2 ; Кз ; К 4 ; К5 ; К6 }

- перегрузка узла {Кб }

^2 - снижение пропускной способности { Ко ; К2 ; Кз ; К4 ; К6 }

5"з - недоступность порта { Ко ; К2 ; Кз ; К6 }

^4 - физическая недоступность устройства { К1 ; Кз ; К5 }

£5 - фрагментация пакета {К1; Кз}

- полный отказ {К1; Кз; К4; К5}

По графу (см. рис. 2) составим математическую модель процесса изменения состояний узла в виде системы уравнений с учётом вероятностей pi (г) нахождения в момент времени г в состоянии -. Заметим, что каждое состояние в соответствии с решающим деревом (см. рис. 3) зависит от определенного набора характеристик. Однако переход в это состояние возможен лишь из состояний, связанных с ним (см. рис. 2). В связи с этим распределим набор влияющих характеристик между состояниями, из которых возможен переход в соответствии с техническими возможностями узла:

= - Ро(г)(ко + к1 + к2 + къ + кА + -1 + к6); ш к5

(г) = Ро (г )кб + Рз (г )кб - рх (г)к6;

Ш

Л = Ро (г)(ко + кб) + Р1 (г )(к2 + къ + к4) + р5 (г )(ко + к4) - р2 (г )(ко + к2 + къ + к4 + кб);

Шр2( г)

ш

= Ро ( г)(ко + к2) + Р1 ( 0(кэ + кб) + Р2 ( г)кз + Р5 ( г)(ко + к2) - Рз ( г )к + к2 + кз + к6);

ш

^^ = ро(г)(к1 + кз + + рз(г)кз -Р4(0(к1 + кз + (1)

Ш г к^ кз

= Ро (г)(к + кз) + Р1 (г)кз + Р2 (г)(к1 + кз) - р5 (г)(к + кз);

ш

= Р2 ( 0(к + кз + к4 + + Рз ( г)(кз + к4) + Р5 ( 0(к + кз) + Р4 ( 0(к1 + кз + к4 + Ш г к^ к^

где к1 - соответствующие безразмерные характеристики параметров К-.

Математическая модель процесса изменения состояний узла (1) описывает скорости изменения вероятностей нахождения узла в каждом из состояний. Зафиксируем момент времени г1, характеризующий последнюю запись основных характеристик узла в системе мониторинга. Тогда вероятности нахождения узла в каждом из состояний в следующий момент времени г1+1, согласно методу Эйлера, описываются следующей системой уравнений:

Р} (г1+1) = р} (г1) + • (г1+1 - г-), ] = о,..6. (2)

Таким образом, построенная модель (1)-(2) определения вероятностей нахождения узла в состоянии - позволяет с помощью наиболее вероятного из состояний сделать прогноз для узла на

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

следующий момент времени и, следовательно, отследить для каждого узла полную цепочку событий.

Построим типовой профиль каждой атаки на основе отслеживания и прогноза состояний всех узлов в сети. В данном исследовании рассмотрены следующие наиболее распространенные типы атак: Brute-force; Heartbleed; Ботнет; DoS -атака; DDoS-атака; SQL-инъекция; Атака на проникновение; Fuzzers; Worms; Analysis (табл. 2).

Типовой профиль каждой атаки определен цепочкой переходов состояний и скоростью перехода между ними, которую определим интервалами, статистически определенными как зафиксированные минимальные и максимальные скорости переходов.

Таблица 2

Типовые профили атак

Тип атаки Профиль атаки

Brute-force î0,2e[Aimin;Aimaxb T2,5e[-^imn;^Щах ]l T5,1 sl^imn^max ]l 50 ^ ^2 ^ S ^ 51 ^ S2 ^ S5

Heartbleed T(22e[Ainin'Arnax]2 ^SS^mm^maxb S0 ^ S2 ^ T522e[Aimin;Aimax]2 t25e[Atmin; ^miax ]2 S5 ^ S2 ^ S5

Ботнет T032 s[ Atmin; Atmax ]3 T235 s[ ^ШШ ; ^Щах ]3 S0 ^ S2 ^ 3 3 3 3 4 4 T5,3e[Afmin;Aimax]3 T3,6e[Aimin;Aimax]3 S5 ^ S3 ^ S6

DoS-атака Т^Л^Чахк T142e[Afmin;Afmax]4 ^S^Hrn ^Щах ]4 So ^ Si ^ S2 ^ ^s^mrn^maxk T446e[Aimin;Aimax]4 S3 ^ S4 ^ S6

DDoS-атака Т&З^ЧахЬ T152e[Atmin'Atmax ]5 T25,5 s[^Шш ;^ax ]5 So ^ Si ^ S2 ^ T553e[Aimin;Aimax]5 T354e[Afmrn;Aimax]5 T45,6e[Afmrn;Aimax]5 S5 ^ S3 ^ S4 ^ S6

SQL-инъекция T062e[Afmin;Aimax]6 ^Z^^^min ; ^max ]6 S0 ^ S 2 ^ T5^1e[Afmin;Aimax]6 e[Atmin; ^max ]6 S5 ^ S1 ^ S5

Атака на проникновение T0,2e[Aimin;Aimax]7 ^.S^^minS^maxb ^^^min^maxb S( ^ S2 ^ S5 ^ S3

Fuzzers Т^Ч^ЧахЬ T182e[Aimin;Aimax]8 T2i,5e[Afmin;Afmax]8 S0 ^ S1 ^ S2 ^ T583e[Afmin;Aimax]8 T384e[Aim^;Aimax]8 T4i,8e[Afmm;Afmax]8 S5 ^ S3 ^ S4 ^ S6

Worms T091e[Afmm;Aimax]9 T195 e[-^imn ;^Щах ]9 ^S^mrn^maxb S0 ^ S1 ^ S5 ^ T293 s[ ^гШП ; ^ПШХ ]9 T394e[-^imn ^Щах ]9 S2 ^ S3 ^ S4

Analysis ^.^^min^max ]10 S0 ^ S2

Запись вида S; ^ S ■ означает, что переход из состояния Si в состояние Sj для

определенного типа атаки происходит за минимальное время Л^ь и максимальное время Л^ах, где l - порядковый номер перехода в цепочке, k - идентификатор атаки в базе данных SIEM.

4. Экспериментальные исследования

Для оценки эффективности использования типовых профилей атак при выявлении подозрительной сетевой активности в сети провайдеров телекоммуникационных услуг проведем ROC-анализ, используемый для анализа результатов бинарной классификации. Процесс классификации действий на атаки различного типа представляет собой бинарную классификацию атака/неатака. При этом выделяют класс с положительными исходами (верно классифицированные события), а также с отрицательными исходами (неверно классифицированные события). ROC-кривая показывает зависимость истинно положительных примеров от ложно отрицательных примеров. Введем следующие обозначения: TP (True Positives) - истинно положительные случаи; TN (True Negatives) - истинно отрицательные случаи;

FN (False Negatives) - положительные примеры, классифицированные как отрицательные (ошибка I рода, ложно отрицательные случаи);

FP (False Positives) - отрицательные примеры, классифицированные как положительные (ошибка II рода, ложно положительные случаи).

При анализе чаще оперируют относительными показателями (долями): доля истинно положительных примеров (True Positives Rate):

TP • 100%/(TP + FN); (3)

доля ложно положительных примеров (False Positives Rate):

FPR = FP-100%/(TN + FP). (4)

Важно отметить, что объективная ценность бинарного классификатора отражается в его чувствительности и специфичности.

Чувствительность (Sensitivity) - доля истинно положительных случаев:

Se = TPR = TP -100%/(TP + FN). (5)

Специфичность (Specificity) - доля истинно отрицательных случаев, которые были верно идентифицированы моделью:

Sp = TN-100%/(TN + FP). (6)

Выделим для прогностической модели идентификации атак ложно положительные (False Positive) и истинно положительные (True Positive) случаи (табл. 3).

Таблица 3

Типовые профили атак

Результаты классификации fp tp fpf tpf

4264 39643 0 0

Brute-force 543 5462 0,01643 0,100635

Heartbleed 254 7342 0,101641 0,236837

Ботнет 763 2039 0,365854 0,374417

DoS-атака 1209 4454 0,64939 0,486769

DDoS-атака 439 5955 0,752345 0,636985

SQL-инъекция 76 2953 0,770169 0,711475

Атака на проникновение 142 2806 0,803471 0,782257

Fuzzers 309 2778 0,846096 0,813162

Worms 378 3227 0,867943 0,934106

Analysis 151 2627 1 1

Построим на их основе ROC-кривую, позволяющую провести анализ результатов точности и прогностической силы модели распознавания атак с помощью разработанных типовых профилей

(рис. 4). Для подтверждения эффективности предложенного решения (Классификатор 1) проведено сравнение на наборе данных CГСГОS2017 с использованием аналогичного классификатора (Классификатор 2), предложенного авторами I. Sharafaldin и А.Н. Lashkari [15].

0,4 0,6 Специфичность

Рис. 4. ROC-кривые моделей распознавания атак в сети

Баланс между чувствительностью и специфичностью модели распознавания атак в сети провайдеров телекоммуникационных услуг на основе типовых профилей (Классификатор 1) определяет значение показателя AUC (Area Under Curve) = 0,77141905, что, согласно экспертной шкале, соответствует хорошей прогностической силе модели и достаточно высокой точности определения класса подозрительной активности. Классификатор 2, построенный на основе алгоритма машинного обучения, указания наилучшего набора функций для обнаружения определенных категорий атак, соответствует значению AUC = 0,722304611. Таким образом, можно сделать вывод о том, что разработанная модель идентификации подозрительной сетевой активности работает более эффективно и построенные типовые профили атак позволяют оптимально проводить классификацию.

Заключение

В ходе исследования представлена модель вычисления вероятностей нахождения узла телекоммуникационной сети провайдера в некотором состоянии. Предложенная модель позволяет спрогнозировать изменение состояния для каждого узла сети в следующий момент времени. На основе выявленных закономерностей изменения состояний сетевых и вычислительных узлов определены цепочки событий, формирующие типовой профиль для исследуемых типов кибератак. В рамках экспериментального исследования проведена оценка эффективности разработанной модели распознавания атак в сети провайдеров телекоммуникационных услуг, которая показывает достаточно высокую точность определения класса подозрительной активности. Полученные результаты в дальнейшем планируется использовать для управления механизмами обеспечения безопасности в сетях провайдеров телекоммуникационных услуг.

Работа выполнена при финансовой поддержке РФФИ проект № 18-07-01446, гранта Президента Российской Федерации для государственной поддержки молодых российских ученых - кандидатов наук (МК-860.2019.9), а также Министерства образования Оренбургской области (Соглашение № 12 от 14.08.2019). Исследования выполнены в соответствии с планом НИР на 2019-2020 гг. ФГБНУ «Федеральный научный центр биологических систем и агротехнологий РАН» (№ 0761-2019-0004).

Литература

1. Near-miss situation based visual analysis of SIEM rules for real time network security monitoring / A. Majeed, R. Ur Rasool, F. Ahmad et al. // Journal of Ambient Intelligence and Humanized Computing. - 2019. - Vol. 10 (4). - P. 1509-1526. DOI: 10.1007/s12652-018-0936-7

2. Парфёнов, Д.И. Разработка и исследование алгоритмов формирования правил для узлов сетевой безопасности в мультиоблачной платформе / Д.И. Парфёнов, И.П. Болодурина,

B.А. Торчин // Моделирование и анализ информационных систем. - 2019. - Т. 26, № 1 (79). -

C. 90-100.

3. Poltavtseva, M.A. The hierarchial data aggregation method in backbone traffic streaming analyzing to ensure digital systems information security /M.A. Poltavtseva, P.D. Zegzhda, Il.D. Pankov // Eleventh International Conference "Management of large-scale system development" (MLSD). - 2018. -Paper number 8551916. DOI: 10.1109/MLSD.2018.8551916

4. Olejnik, L. Towards web-based biometric systems using personal browsing interests / L. Olejnik, C. Castelluccia // The 8th International Conference on Availability, Reliability and Security (ARES). -2013. - Paper number 6657252. DOI: 10.1109/ARES.2013.36

5. Ishitaki, T. A neural network based user identification for tor networks: data analysis using friedman test / T. Ishitaki, T. Oda, L. Barolli // 30th International Conference on Advanced Information Networking and Applications Workshops (WAINA). - 2016. - Paper number 7471164. DOI: 10.1109/WAINA. 2016.143

6. Borkar, B.S. Post-attack detection using log files analysis / B.S. Borkar, A.S. Patil // International Journal of Innovative Research in Science, Engineering and Technology. - 2013. - Vol. 2 (1). -P. 1195-1199.

7. Ambre, A. Insider threat detection using log analysis and event correlation / A. Ambre, N. Shekokar // Procedia Computer Science. - 2015. - Vol. 45. - P. 436-445. DOI: 10.1016/j.procs.2015.03.175

8. Eliseev, V. Dynamic response recognition by neural network to detect network host anomaly activity / V. Eliseev, Y. Shabalin // Proceeding SIN '15 Proceedings of the 8th International Conference on Security of Information and Networks. - 2015. - P. 246-249. DOI: 10.1145/2799979.2799991

9. Nandi, A.K. Interdicting attack graphs to protect organizations from cyber attacks: A bi-level defender-attacker model / A.K. Nandi, H.R. Medal, S. Vadlamani // Computers & Operations Research. -2016. - Vol. 75. - P. 118-131. DOI: 10.1016/j.cor.2016.05.005

10. Абрамов, Е.С. Применение комбинированного нейросетевого метода для обнаружения низкоинтенсивных DDoS-атак на web-сервисы / Е.С. Абрамов, Я.В. Тарасов // Инженерный вестник Дона. - 2017. - Т. 46, № 3 (46). - С. 59.

11. Нейросетевая технология обнаружения сетевых атак на информационные ресурсы / Ю.Г. Емельянова, А.А. Допира, И.П. Тищенко, В.П. Фраленко //Программные системы: теория и приложения. - 2011. - Т. 2, № 3. - С. 3-15.

12. Kotenko, I. Intelligent agents for network traffic and security risk analysis in cyber-physical systems /1. Kotenko, S. Ageev, I. Saenko // 11th International Conference on Security of Information and Networks. - 2018. - Paper number 3264487. DOI: 10.1145/3264437.3264487

13. Dagar, V. Analysis of pattern matching algorithms in network intrusion detection systems / V. Dagar, V. Prakash, T. Bhatia // 2nd International Conference on Advances in Computing, Co m-munication, & Automation (ICACCA). - 2016. - Paper number 7748969. DOI: 10.1109/ICACCAF.2016.7748969

14. IDS 2017 | Datasets | Research | Canadian Institute for Cybersecurity | UNB // Canadian Institute for Cybersecurity. - https://www.unb.ca/cic/datasets/ids-2017.html (дата обращения: 01.08.2019).

15. Sharafaldin, I. Toward Generating a New Intrusion Detection Dataset and Intrusion Traffic Characterization /1. Sharafaldin, A.H. Lashkari // Proceedings of the 4th International Conference on Information Systems Security and Privacy (ICISSP 2018). - 2018. - P. 108-116. DOI: 10.5220/0006639801080116

Болодурина Ирина Павловна, д-р техн. наук, профессор, заведующий кафедрой прикладной математики, Оренбургский государственный университет; Федеральный научный центр биологических систем и агротехнологий РАН, г. Оренбург; [email protected].

Парфёнов Денис Игоревич, канд. техн. наук, заведующий сектором программно-технической поддержки дистанционного обучения, Оренбургский государственный университет; Федеральный научный центр биологических систем и агротехнологий РАН, г. Оренбург; parfenovdi@ mail.ru.

Забродина Любовь Сергеевна, ассистент кафедры прикладной математики, Оренбургский государственный университет, г. Оренбург; [email protected].

Жигалов Артур Юрьевич, ведущий программист, Оренбургский государственный университет, г. Оренбург; [email protected].

Торчин Вадим Александрович, студент, Оренбургский государственный университет, г. Оренбург; [email protected].

Поступила в редакцию 1 сентября 2019 г.

DOI: 10.14529/ctcr190405

MODELING THE IDENTIFICATION OF THE PROFILE OF CYBER ATTACKS BASED ON ANALYSIS OF THE DEVICE BEHAVIOR IN THE TELECOMMUNICATION SERVICES PROVIDER NETWORK

I.P. Bolodurina1,2, [email protected], D.I. Parfenov1'2, [email protected], L.S. Zabrodina1, [email protected], A.Ju. Zhigalov1, [email protected], V.A. Torchin1, [email protected]

1 Orenburg State University, Orenburg, Russian Federation,

2 Federal Research Centre of Biological Systems and Agrotechnologies RAS, Orenburg, Russian Federation

There are currently many threats to network security. This is especially true for telecom operators and telecommunication service providers, which are a key link in the data transmission infrastructure for any company. To ensure the protection of their infrastructure and cloud services provided to end-users, telecom operators have to use non-trivial solutions. At the same time, the accuracy of defining attacks by security systems is not the least. In the framework of this study, an approach was developed and attack detection was modeled based on the analysis of state chains of network nodes. The proposed approach allows the comparison of events occurring in the network with events recorded by intrusion detection systems. In our study, we solve the problem of formalizing a typical attack profile in a network of telecommunication service providers by constructing a sequence of transitions of states of network nodes and the time of the state change of individual devices under study. The study covers the most popular types of attacks. To formalize the rules for classifying states, the study uses a decision tree algorithm to build a chain of security events. In the experimental part of the study, the accuracy of the classification of known types of attacks recorded in security event logs using ROC analysis was assessed. The results obtained made it possible to evaluate the effectiveness of the developed model for recognizing network attacks in the infrastructure of telecommunication service providers. The experimental results show fairly high accuracy in determining the popular type of attack. This will also help in the future to reduce the response time to security incidents in a large network, due to earlier detection of illegitimate behavior.

Keywords: intrusion detection; network of telecommunication service providers; network monitoring; ROC-analysis; cyberattack profile.

References

1. Majeed A., Rasool R. Ur, Ahmad F., Alam M., Javaid N. Near-miss Situation Based Visual Analysis of SIEM Rules for Real Time Network Security Monitoring. Journal of Ambient Intelligence and Humanized Computing, 2019, vol. 10 (4), pp. 1509-1526. DOI: 10.1007/s12652-018-0936-7

2. Parfyonov D.I., Bolodurina I.P., Torchin V.A. Development and Research of Algorithms of Rule Formation for Network Safety Nodes in Multi-Layer Platform. Modeling and Analysis of Information Systems, 2019, vol. 26, no. 1 (79), pp. 90-100. (in Russ.)

3. Poltavtseva M.A., Zegzhda P.D., Pankov Il.D. The Hierarchial Data Aggregation Method in Backbone Traffic Streaming Analyzing to Ensure Digital Systems Information Security. Eleventh International Conference "Management of Large-scale System Development" (MLSD), 2018, Paper Number 8551916. DOI: 10.1109/MLSD.2018.8551916

4. Olejnik L., Castelluccia C. Towards Web-Based Biometric Systems Using Personal Browsing Interests. The 8th International Conference on Availability, Reliability and Security (ARES), 2013, Paper Number 6657252. DOI: 10.1109/ARES.2013.36

5. Ishitaki T., Oda T., Barolli L. A Neural Network Based User Identification for Tor Networks: Data Analysis Using Friedman Test. 30th International Conference on Advanced Information Networking and Applications Workshops (WAINA), 2016, Paper Number 7471164. DOI: 10.1109/WAINA.2016.143

6. Borkar B.S., Patil A.S. Post-Attack Detection Using Log Files Analysis. International Journal of Innovative Research in Science, Engineering and Technology, 2013, vol. 2 (1), pp. 1195-1199.

7. Ambre A., Shekokar N. Insider Threat Detection Using Log Analysis and Event Correlation. Procedia Computer Science, 2015, vol. 45, pp. 436-445. DOI: 10.1016/j.procs.2015.03.175

8. Eliseev V., Shabalin Y. Dynamic Response Recognition by Neural Network to Detect Network Host Anomaly Activity. Proceeding SIN '15 Proceedings of the 8th International Conference on Security of Information and Networks, 2015, pp. 246-249. DOI: 10.1145/2799979.2799991

9. Nandi A.K., Medal H.R., Vadlamani S. Interdicting Attack Graphs to Protect Organizations from Cyber Attacks: A Bi-Level Defender-Attacker Model. Computers & Operations Research, 2016, vol. 75, pp. 118-131. DOI: 10.1016/j.cor.2016.05.005

10. Abramov E.S., Tarasov Y.V. Application of Combined Neural Network Method for Detection of Low-Intensity DDoS-Atak on Web-Services. Don 's Engineering Bulletin, 2017, vol. 46, no. 3 (46), pp. 59. (in Russ.)

11. Emel'yanova Y.G., Dopira A.A., Tishchenko I.P., Fralenko V.P. Neural Network Technology for Detection of Network Attacks on Information Resources. Software Systems: Theory and Applications, 2011, vol. 2, no. 3, pp. 3-15. (in Russ.)

12. Kotenko I., Ageev S., Saenko I. Intelligent Agents for Network Traffic and Security Risk Analysis in Cyber-Physical Systems. 11th International Conference on Security of Information and Networks, 2018, Paper Number 3264487. DOI: 10.1145/3264437.3264487

13. Dagar V., Prakash V., Bhatia T. Analysis of Pattern Matching Algorithms in Network Intrusion Detection Systems. 2nd International Conference on Advances in Computing, Communication, & Automation (ICACCA), 2016, Paper Number 7748969. DOI: 10.1109/ICACCAF.2016.7748969

14. IDS 2017 | Datasets | Research | Canadian Institute for Cybersecurity | UNB. Canadian Institute for Cybersecurity. Available at: https://www.unb.ca/cic/datasets/ids-2017.html (accessed 01.08.2019).

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

15. Sharafaldin I., Lashkari A.H. Toward Generating a New Intrusion Detection Dataset and Intrusion Traffic Characterization. Proceedings of the 4th International Conference on Information Systems Security and Privacy (ICISSP 2018), 2018, pp.108-116. DOI: 10.5220/0006639801080116

Received 1 September 2019

ОБРАЗЕЦ ЦИТИРОВАНИЯ

FOR CITATION

Моделирование идентификации профиля кибератак на основе анализа поведения устройств в сети провайдера телекоммуникационных услуг / И.П. Болодурина, Д.И. Парфёнов, Л.С. Забродина и др. // Вестник ЮУрГУ. Серия «Компьютерные технологии, управление, радиоэлектроника». - 2019. - Т. 19, № 4. -С. 48-59. БО!: 10.14529/йсг190405

Bolodurina I.P., Parfenov D.I., Zabrodina L.S., Zhigalov A.Ju., Torchin V.A. Modeling the Identification of the Profile of Cyber Attacks Based on Analysis of the Device Behavior in the Telecommunication Services Provider Network. Bulletin of the South Ural State University. Ser. Computer Technologies, Automatic Control, Radio Electronics, 2019, vol. 19, no. 4, pp. 48-59. (in Russ.) DOI: 10.14529/ctcr190405

i Надоели баннеры? Вы всегда можете отключить рекламу.