CC BY
2Научная статья УДК 519.61+539.1
DOI:10.31854/1813-324X-2023-9-5-112-119
Статистические характеристики фрактальной размерности трафика IoT на примере набора
данных Kitsune
Олег Иванович Шелухин, sheluhin@mail.ru Сергей Юрьевич Рыбаков s.i.rybakov@mtuci.ru
Московский технический университет связи и информатики, Москва, 111024, Российская Федерация
Аннотация: В работе рассмотрен метод оценки фрактальных свойств трафика, а также проведена оценка статистических параметров фрактальной размерности (ФР) трафика IoT. Анализ реального трафика с атаками из дампа Kitsune и проведенный анализ фрактальных свойств трафика в нормальном режиме и при воздействии атак типа SSDP Flood, Mirai, OS Scan показал, что скачки ФР трафика при возникновении атак могут быть использованы при создании алгоритмов обнаружения компьютерных атак в сетях IoT. Исследования показали, что в случае онлайн-анализа сетевого трафика при оценке ФР следует отдать предпочтение модифицированному алгоритму оценки показателя Херста в скользящем окне анализа.
Ключевые слова: показатель Херста, фрактальная размерность, трешолдинг, компьютерная атака, сетевой трафик, интернет вещей
Ссылка для цитирования: Шелухин О.И., Рыбаков С.Ю. Статистические характеристики фрактальной размерности трафика IoT на примере набора данных Kitsune // Труды учебных заведений связи. 2023. Т. 9. № 5. С. 112-119. DOI:10.31854/1813-324X-2023-9-5-112-119
IoT Traffic Fractal Dimension Statistical Characteristics on the Kitsune Dataset Example
Oleg Shelukhin, sheluhin@mail.ru © Sergey Rybakov —, s.i.rybakov@mtuci.ru
Moscow Technical University of Communications and Informatics, Moscow, 111024, Russian Federation
Abstract: The paper considers a method for estimating the fractal properties of traffic, and also evaluates the statistical parameters of the fractal dimension of IoT traffic. An analysis of real traffic with attacks from the Kitsune dump and an analysis of the fractal properties of traffic in normal mode and under the influence of attacks such as SSDP Flood, Mirai, OS Scan showed that jumps in the fractal dimension of traffic when attacks occur can be used to create algorithms for detecting computer attacks in IoT networks. Studies have shown that in the case of online analysis of network traffic, when assessing the RF, preference should be given to the modified algorithm for estimating the Hurst exponent in a sliding analysis window.
Keywords: Hurst exponent, fractal dimension, thresholding, computer attack, network traffic, internet of things
For citation: Shelukhin O., Rybakov S. IoT Traffic Fractal Dimension Statistical Characteristics on the Kitsune Dataset Example. Proceedings of Telecommun. Univ. 2023; 9(5):112-119. DOI:10.31854/1813-324X-2023-9-5-112-119
© Шелухин О.И., Рыбаков С.Ю., 2023
112
tuzs.sut.ru
Введение
Технологии интернета вещей (IoT, аббр. от англ. Internet of Things) появились сравнительно недавно и за последнее десятилетие получили широкое распространение. IoT представляет собой систему взаимосвязанных компьютерных сетей и физических объектов, оборудованных множеством встроенных сенсоров, которые собирают информацию об окружающей среде. С этой целью используется специальное программное обеспечение, которое обрабатывает данные и передает информацию с датчиков по сети для последующего анализа, удаленного контроля и управления объектами IoT без участия пользователя. Также программное обеспечение обеспечивает функции хранения данных и обеспечивает доступ к ним [1, 2]. Обычно в рамках IoT присутствуют отдельные сети, каждая из которых разработана для решения конкретных задач.
Специалисты в области IoT прогнозируют ежегодное увеличение на 20 % количества «умных» устройств в период с 2020 по 2025 гг. [3]. В связи с быстрым ростом количества устройств и развитием технологии в целом появляются риски, связанные с обеспечением информационной безопасности. Устройства IoT («умные» бытовые приборы с доступом в интернет) подключены к интернету, связаны между собой и нередко становятся целью злоумышленников, желающих получить доступ к ресурсам «умных» устройств.
Поскольку устройства IoT обладают ограниченным объемом памяти и малой вычислительной мощностью, в них обычно не устанавливаются средства обеспечения безопасности от сетевых атак. Однако производители услуг и оборудования, связанных с IoT, чаще всего не придерживаются принципа сквозной информационной безопасности в основном из-за экономических факторов. Это означает, что информационной безопасности в сфере IoT обычно не уделяется должного внимания, несмотря на то, что все больше пользователей и организаций приобретают «умные» устройства: роутеры, камеры видеонаблюдения и др. К сожалению, мало кто задумывается о защите этих устройств и установке актуальных обновлений.
Существует опасность, связанная с распространением целевых кибератак на устройства IoT, и количество таких атак продолжает расти [4]. Злоумышленники, в частности, используют зараженные сети «умных» устройств для осуществления DDoS-атак или в качестве прокси-серверов для других вредоносных действий. Поэтому решения вопросов информационной безопасности должны учитываться и закладываться еще на стадии проектирования устройства или услуги, и поддерживаться на протяжении всего их жизненного цикла.
Согласно предоставленным данным [5], атаки на устройства IoT обычно не требуют сложной ре-
ализации, однако они достаточно незаметны для обычных пользователей. Одним из самых распространенных видов вредоносных программ, позволяющих ботнетам захватывать и управлять устройствами IoT путем использования устаревших уязвимостей, является Mirai. Например, одна из версий вредоносной сети Mirai проникла в более чем 5 миллионов устройств, включая устройства IoT, в 164 странах мира. Это семейство вредоносного программного обеспечения использовалось в 39 % всех атак. К числу других наиболее распространенных атак в сетях IoT относятся атаки типа SSDP Flood, OS Scan.
Постановка задачи
Одним из важных параметров сетевого трафика, который может быть положен в основу создания средства обеспечения безопасности от сетевых атак IoT, являются характеристики его фрактальных свойств. Известно, что сетевой трафик обладает свойствами самоподобия или фрактальными свойствами [6, 7]. Для количественной оценки фрактальных свойств трафика в основном используется показатель Херста H, который связан с фрактальной размерностью (ФР) D следующим соотношением: D = 2 - H.
В работах [8-10] было показано, что на основе показателя Херста можно обнаружить аномальную активность сетевого трафика, которая может характеризоваться следующими статистическими характеристиками:
1) выборочное среднее:
М,
1 li + n
l* = nLMS"
где ^ - выборочное значение оценки показателя Херста трафика в момент ^; 2) выборочная дисперсия:
D,
1 1 ' + n
3) коэффициент асимметрии, определяющий степень асимметричности плотности вероятности распределения показателя Херста относительно оси, проходящей через центр ее тяжести:
Y ни
n^+nt(sr- Мнл)
D
H,i
4) коэффициент эксцесса, демонстрирующий, насколько острую вершину имеет плотность распределения вероятности показателя Херста по сравнению с нормальным распределением:
Y H2,i
-T—'LfJiiSj - Мн,д
D2
-3.
H,i
2
4
Данные параметры могут быть положены в основу построения эффективной системы сетевой защиты на базе интеллектуального анализа данных [11, 12] и методов фрактального анализа.
Целью работы является исследование статистических характеристик ФР наиболее распространенных атак в сети IoT на примере анализа базы данных Kitsune.
База данных
Оценку статистических параметров ФР трафика IoT будем проводить на основе выгрузки данных сетевого трафика базы Kitsune [13-15]. Kitsune -это сетевая система обнаружения вторжений (NIDS, аббр. от англ. Network Intrusion Detection System) на основе искусственной нейронной сети (ANN, аббр. от англ. Artificial Neural Network), работающей онлайн в автоматическом режиме.
На рисунке 1 представлена топология сети, на основе которой осуществлялся захват сетевого трафика на маршрутизаторах в точках 1, 2, 3 и X. Для каждого набора данных вначале захватывался чистый трафик для первого миллиона пакетов, а затем проводилась атака. На иллюстрации также указаны векторы атак.
Deployment A
Attacker Deployment B
Client (viewer)
Office Deployment
Remote Site
Attack Vector ^VPN Chanel S2S) Ethernet
^ VPN Router 0 Swith(PoE) WiR Router DVR
Sony SNC-EB6C0 Profocot HTTPS - tfU SonySNC-EB6Q2R ^^Protocol: HTTWTCP % Sony SNC-EM6C0
• Protocol: R7P
^SonvSNC-EM602RC Protocol: R7P Various Hone ^ Surveillance Modds Protocob RTP
Рис. 1. Топология сети [13]
Fig. 1. Network Topology [13]
Структура извлечения объектов, называемая Afterimage, эффективно отслеживает шаблоны каждого сетевого канала, используя затухающие инкрементные статистические данные, и извлекает вектор признаков для каждого пакета. Вектор фиксирует временной контекст канала и отправителя пакета. Наблюдаемые объекты отображаются на видимые нейроны ансамбля автокодеров (KitNET https: //github.com/ymirsky/KitNET-py).
Набор данных Kitsune был передан в крупнейший репозиторий реальных и модельных задач машинного обучения с протоколом UCI (аббр. от англ. Universal Chess Interface) и стал общедоступным в 2019 г. В нем содержится информация о четырех типах атак: разведка (Recon), человек посе-
редине (MitM), отказ в обслуживании (DoS) и вредоносное ПО для ботнетов (Botnet Malware), например, Mirai - вредоносное программное обеспечение, которое заражает устройства IoT, работающие на процессорах ARC, и превращает их в сеть дистанционно управляемых ботов. Последних также называют «зомби». Этот ботнет часто используется для запуска DDoS-атак.
Данные об атаках были получены из коммерческой IP-системы наблюдения и сети, включающей устройства IoT. Каждый набор данных содержит миллионы сетевых пакетов и различные кибе-ратаки.
Для каждого типа атак имеется следующий набор данных:
- предварительно обработанный набор данных, который готов для применения алгоритмов машинного обучения в формате .csv;
- файл с метками (также в формате .csv);
- исходный захваченный сетевой трафик в формате .pcap.
В таблице 1 представлены типы и виды сетевых атак, которые содержатся в наборе данных Kitsune. В исследовании анализировались фрактальные свойства трафика IoT до и во время воздействия атак: SSDP Flood (длительность 54 сек.), Mirai (44 мин.), OS Scan (длительность 29 сек.), представленные на рисунке 2.
100
й о о
5 50 _0
ё о
о
0 s
g 1500
la
1 500
СО
с °0
оЗООО
s
§2000 15
шюоо
со
с о-
Атака Mirai
3 4 5 Атака OS scan
Х104
0,5
1 1,5 2 2,5 Атака SSDP Flood
3 3,5 Х104
о
0,5
1
1,5
2
Х104
2,5
Рис. 2. Трафик IoT: нормальный (голубой); c атакой (красный)
Fig. 2. IoT Traffic: Normal Traffic (Blue), Attack Traffic (Red)
Для оценки фрактальных свойств использовался трафик пакетов, захваченный в скользящем окне с интервалом захвата в 100 мс. В таблице 2 представлены характеристики предварительно обработанного набора данных в формате .csv, а также вектор меток, соответствующий исходному сетевому захвату в формате .pcap.
Каждая строка csv-файла представляет собой перехваченный и обработанный пакет и содержит информацию о временной статистике, которая
2
6
7
8
описывает контекст передачи этого пакета, включая данные о хостах и протоколах, участвовавших в передаче. Эта информация содержит 115 различных статистических данных (атрибутов), относящихся к отправителю пакета и трафику между отправителем и получателем. Сбор статистики осуществлялся для всего трафика, который отправляется от источника, используя исходный МАС-адрес и 1Р-адрес пакета ^гсМАС-1Р). Для получения дополнительной информации при анализе трафика использовался и исходный 1Р-адрес пакета ^гс1Р). Для изучения канала связи между исходным и целевым 1Р-адресами пакета (обозначенного как ка-
нал) можно анализировать отправляемые данные. Для изучения сетевых соединений, которые обозначаются как Socket и определяются между источником и получателем пакета, использовалась информация о сокете протокола TCP/UDP.
Общее количество признаков (атрибутов), которые можно извлечь из одного временного окна анализа, составляет 23. Для извлечения атрибутов используется пять окон анализа различной длительности: 100 мс, 500 мс, 1,5 сек., 10 сек. и 1 мин., что в совокупности позволяет создать 115 атрибутов. При отсутствии данных в пакете протокола TCP/UDP соответствующие функции обнуляются.
ТАБЛИЦА 1. Информация об атаках
TABLE 1. Attack Information
Тип атаки Название атаки Описание Вектор атаки Количество пакетов Длительность, мин.
Recon OS Scan Атакующий сканирует хосты в сети и их операционные системы, пытаясь обнаружить возможные уязвимости 1 1 697851 52,2
Fuzzing Атакующий сканирует на наличие уязвимостей веб-сервер камер посредством отправки случайных команд 3 2 244 139 85,5
Man in the Middle Video Injection Злоумышленник встраивает записанное видео в общий видеопоток 1 2472401 33,4
ARP MitM Злоумышленник перехватывает весь LAN-трафик посредством ARP-атаки 1 2 504 267 28,2
Active Wiretap Злоумышленник перехватывает весь сетевой трафик через активную прослушку (сетевой мост), установленную на оголенном кабеле 2 4 554 925 95,6
Denial of Service SSDP Flood Злоумышленник перегружает видеорегистратор, заставляя камеры рассылать спам на сервер рекламными объявлениями 1 4077266 40,8
SYN DoS Злоумышленник отключает видеопоток камеры, перегружая ее веб-сервер 1 2 771 276 52,8
SSL Renegotiation Злоумышленник отключает видеопоток камеры, отправляя на нее множество пакетов повторного согласования SSL 1 6 084 492 65,6
Botnet Malware Mirai Злоумышленник заражает устройства IoT вредоносным программным обеспечением Mirai, используя учетные данные по умолчанию, а затем сканирует новую уязвимую сеть жертвы X 764 137 118,9
ТАБЛИЦА 2. Характеристики набора данных Kitsune
TABLE 2. Characteristics of the Kitsune Dataset
Тип атаки Название атаки Количество пакетов
Вредоносное программное обеспечение для ботнетов Mirai 764 136
Отказ в обслуживании SSL Renegotiation 2 207570
SSDP Flood 4 077 265
SYN DoS 2 771 275
Человек посередине ARP MitM 2 504 266
Видеоинъекция 2472400
Активная прослушка 2 278688
Разведка Сканирование ОС 1 697850
Fuzzing 2 244 138
Экспериментальная оценка статистических параметров ФР
Наиболее часто для оценки показателя Херста, характеризующего ФР, используются анализ нормированного размаха (й/5-метод), график изменения дисперсии и вейвлет-анализ [6, 7].
При использовании й/5-метода для заданного набора наблюдений X со средним:
х = - X"=- х),
п ' '
где п - количество наблюдений, вводится понятие размаха (разности между максимальным и минимальным отклонением):
Я(п) = тахДу — ттД,-, где -<] <п; Ак = %к=1(X¿ — кХ); У к = —п,
1 v" — 2 S(n)=-\ (Xj-X).
7
Для многих природных явлений математическое ожидание нормированного размаха примерно равно спн при п^ х, где с - положительная константа, не зависящая от п. В результате показатель Н можно оценить, изобразив график зависимости log(M^(-)) от ^(п), и, используя получении)
ные точки, подобрать по методу наименьших квадратов прямую линию с наклоном Н [6, 7].
Чтобы определить количественное значение Н, используется соотношение в виде:
Ыф/Б)
H =
Щп/2)
(1)
Для оценки ФР в режиме реального времени используется оценка показателя Херста в скользящем окне размера L. Для нейтрализации резких выбросов и уменьшения дисперсии искажений в работе [9] предлагается воспользоваться процедурой трешолдинга (от англ. Thresholding) - T. Под трешолдингом понимают метод очистки сигналов от шумов, основанный на вейвлет-преобразовании.
В результате использования трешолдинга формула для текущей оценки показателя Херста [9, 10] приобрела следующий вид:
Ьо
H(tm) = ^a(H)^(H) (tm) +
1=1
J Ч
(2)
j=1 1=1
Н0,8 0,7 0,6 0,5 ^0,4 0,3 0,2 0,1
4
\
— —J
/ \
500 1000 1500 2000
2500 Д
3000 3500 4000 4500
где ф\ &т), ^^ ^тп) - базисная масштабирующая и вейвлет-функция; , — аппроксимирующие и детализирующие коэффициенты оценки показателя Херста при т-м положении окна фильтрации; Т(й^) — отфильтрованные с помощью преобразования трешолдинга детализирующие вейвлет-коэф-фициенты; ^ = 21т™, < Ь); 1тах = \log2L] -максимальное число масштабов разложения; \\og2L] — целая часть числа; масштабный коэффициент аппроксимации, равный скалярному произведению оценки показателя Херста Н(Ьт) и масштабной функции «самого грубого» масштаба j, смещенной на l единиц масштаба вправо от начала координат, определяется согласно выражению:
С =
m
вейвлет-коэффициент детализации масштаба j, равный скалярному произведению оценки показателя Херста Н(Ьт) и вейвлета масштаба j, смещенного на l единиц масштаба вправо от начала координат, определяется согласно выражению:
d
m
= {H(tm),^
Воспользовавшись соотношениями (1) и (2) для обработки экспериментальных данных трафика IoT, были получены статистические характеристики показателя Херста. На рисунке 3 представлены зависимости вычисленных статистических параметров ФР - Мн и DH - для дампа нормального трафика и под атакой Mirai.
н 0,06
0,05
4500
Метод скачка фр. размерности стрешолдингом на атаке - - R/S анализ на атаке
- Метод скачка фр. размерности стрешолдингом на нормальном трафике
- R/S анализ на нормальном трафике
Рис. 3. Зависимости статистических параметров показателя H от размера окна анализа Д д ля дампа нормального трафика IoT
и в условиях воздействия атаки Mirai: Мн - слева; Он - справа
Fig. 3. Dependencies of Statistical Parameters of Indicator H on Analysis Window Size for Normal IoT Traffic Dump and under Mirai Attack:
Mh - on the left; b) Dh - on the right
Сравнительный анализ представленных зависимостей показывает, что оценка указанных статистических характеристик с помощью Д/5-метода и вейвлет-анализа дает в целом близкие результаты. Разброс в Мн составляет порядка 0.1, а для DH не превышает 0.03. Различие в оценках объясняется скользящим характером оценок ФР в случае вейвлет-анализа.
Прокомментируем гистограммы распределения оценки показателя Херста на рисунке 4. Качественный анализ полученных результатов показывает, что при воздействии атаки Mirai трафик IoT имеет показатель Херста в интервале 0 < H < 0,5. Это означает, что анализируемый случайный процесс не обладает самоподобием.
В свою очередь, как это видно из рисунков 3 и 4, при отсутствии атак трафик обладает фрактальными свойствами, что может быть положено в основу алгоритма обнаружения атак в сетях. На рисунке 5 показана оценка показателя Херста в скользящем окне при использовании двух рассмотренных выше алгоритмов оценки.
Атака Mirai может быть уверенно обнаружена при превышении текущей оценки показателя Хер-ста и соответствующем выборе порогового уровня Нпор (см. рисунки 5a и 5b). На рисунках 5с и 5d показана текущая оценка показателя Херста в скользящем окне при использовании двух алгоритмов оценки для атаки OS Sran.
] Метод скачка фр. размерности с трешолдшгом на нормальном трафике ] Метод скачка фр. размерности с трешолдтгом на атаке
а)
H R/S анализ на нормальном трафике H R/S анализ на атаке
b)
Рис. 4. Распределение показателя Херста для дампа нормального (голубой ) трафика IoT и под атакой Mirai (красный) при Д = 200 сек. и использовании метода скачка ФР с трешолдингом (а) и R/S анализа (b)
Fig. 4. Distribution of the Hurst Exponent for a Normal IoT Traffic Dump and a Mirai Attack at Л = 200 sec Using the Algorithm: a) Method of Fixing Jumps of the Fractal Dimension with Thresholding; b) R/S Analysis
атака Mirai, Д = 200 сек.
---Hai ' -—---о-----1-1-—----
О 200 400 600 800 1000 1200 1400 1600 1800 2000 0 200 400 600 800 1000 1200 1400 1600 1800 2000
c) d)
атака SSDP Flood, Д = 10 сек.
ti ti e) f)
Рис. 5. Оценка H трафика IoT при использовании алгоритмов (1) и (2): а), c), e) фрагмент трафика с атакой; b), d), f) - оценка показателя Херста в скользящем окне
Fig. 5. Estimation H of IoT Traffic Using Algorithms (1) and (2): a), c), e) Fragment of Traffic with Attack; b), d), f) - Estimation of the Hurst Exponent in a Sliding Window
Анализ численных значений показателя Херста, представленных на рисунках 5с и 5d, показывает, что трафик IoT в отсутствие атак не обладает фрактальными свойствами, а при появлении атаки OS Scan они наблюдаются, что может быть положено в основу алгоритма обнаружения. Данное явление можно объяснить спецификой трафика устройств IoT. Как и в случае атаки Mirai, атака OS Sœn может быть уверенно обнаружена при превышении текущей оценки показателя Херста порогового уровня Нпор (см. рисунок 5d). Аналогичные результаты наблюдаются и для атаки SSDP Flood. Численное значение показателя Херста при использовании алгоритмов (1) и (2) представлены на рисунках 5e и 5f.
Сравнительный анализ зависимостей, представленных на рисунке 5, показывает, что лучшие результаты оценки ФР атак показывает алгоритм (2), реализующий метод текущей оценки ФР, основанный на вейвлет-анализе с дополнительной фильтрацией в виде преобразования трешолдинга.
Выводы
По итогам исследования были получены значения статистических параметров фрактальной размерности для нормального трафика в разных точках описанной топологии сети IoT и разных типов атак. Можно сделать вывод о том, что сетевой трафик интернета вещей обладает свойствами самоподобия в том случае, если присутствуют привычные для обычной топологии сети устройства, такие как стационарные ПК и мобильные устройства. Однако в случае, когда компьютерная сеть ограничивается лишь устройствами IoT с низкой пропускной способностью, фрактальные свойства трафика исчезают. В то же время при воздействии атак типа OS Scan и SSDP Flood у анализируемого трафика наблюдаются фрактальные свойства, что может быть использована при создании алгоритмов обнаружения компьютерных атак в сетях IoT. В случае онлайн-анализа сетевого трафика, при оценке ФР следует отдать предпочтение модифицированному алгоритму оценки показателя Херста в скользящем окне анализа (2) с использованием трешолдинга.
Список литературы
1. Minerva R., Biru A., Rotondi D. Towards a definition of the Internet of Things (IoT). Telecom Italia S.p.A., 2015. PP. 10-21. URL: https://iot.ieee.org/images/files/pdf/IEEE_IoT_Towards_Definition_Internet_of_Things_Revision1_27MAY15.pdf (Accessed 25.10.2023)
2. Dorsemaine B., Gaulier J.-P., Wary J.-P., Kheir N., Urien P. Internet of Things: A Definition & Taxonomy // Proceedings of the 9th International Conference on Next Generation Mobile Applications, Services and Technologies (NGMAST, Cambridge, UK, 09-11 September 2015). IEEE, 2015. D0I:10.1109/NGMAST.2015.71
3. Internet of Things (IoT) connected devices installed base worldwide from 2015 to 2025 // Statista. URL: https://www.statista.com/statistics/471264/iot-number-of-connected-devices-worldwide (Accessed 12.02.2023)
4. Demeter D., Preuss M., Shmelev Y. IoT: a malware story // Securelist. 2019. URL: https://securelist.com/iot-a-malware-story/94451 (Accessed 11.02.2023)
5. Шевцов В.Ю., Касимовский Н.П. Анализ угроз и уязвимостей концепций I0T и II0T // НБИ технологии. 2020. Т. 14. № 3. С. 28-35. D0I:10.15688/NBIT.jvolsu.2020.3.5
6. Шелухин О.И. Сетевые аномалии. Обнаружение, локализация, прогнозирование. М.: Горячая линия - Телеком, 2019. 448 с.
7. Шелухин О.И. Осин А.В. Смольский С.М. Самоподобие и фракталы. Телекоммуникационные приложения. М.: Физматлит. 2008. 368 с.
8. Sheluhin O.I., Lukin I.Yu. Network traffic anomalies detection using fixing method of jumps of multifractal dimension in the real-time mode // Automatic Control and Computer Sciences. 2018. Vol. 52. Iss. 5. PP. 421-430. D0I:10.3103/S01464 11618050115
9. Шелухин О.И., Рыбаков С.Ю., Ванюшина А.В. Модификация алгоритма обнаружения сетевых атак методом фиксации скачков фрактальной размерности в режиме online // Труды учебных заведений связи. 2022. Т. 8. № 3. С. 117-126. D0I:10.31854/1813-324X-2022-8-3-117-126
10. Sheluhin 0.I., Rybakov S.Y., Vanyushina A.V. Detection of Network Anomalies with the Method of Fixing Jumps of the Fractal Dimension in the 0nline Mode // Proceedings of the Conference on Wave Electronics and its Application in Information and Telecommunication Systems (WECONF, St. Petersburg, Russia, 30 May - 03 June 2022). IEEE, 2022. D0I:10.1109/WEC0NF55058.2022. 9803635
11. Sheluhin 0.I., Rakovskiy D.I. Multi-Label Learning in Computer Networks // Proceedings of the Conference on Systems of Signals Generating and Processing in the Field of on Board Communications (Moscow, Russia, 14-16 March 2023). IEEE, 2023. D0I:10.1109/IEEEC0NF56737.2023.10092157
12. Большаков А.С., Губанкова Е.В. Обнаружение аномалий в компьютерных сетях с использованием методов машинного обучения // REDS: Телекоммуникационные устройства и системы. 2020. Т. 10. № 1. С. 37-42.
13. Mirsky Y., Doitshman T., Elovici Y., Shabtai A. Kitsune: An Ensemble of Autoencoders for 0nline Network Intrusion Detection // arXiv:1802.09089. 2018. D0I:10.48550/arXiv.1802.09089
14. Miyamoto K., Goto H., Ishibashi R., Han C., Ban T., Takahashi, et al. Malicious Packet Classification Based on Neural Network Using Kitsune Features // Proceedings of the Second International Conference on Intelligent Systems and Pattern Recognition (ISPR 2022, Hammamet, Tunisia, 24-26 March 2022). Communications in Computer and Information Science. Cham: Springer; 2022. Vol. 1589. PP. 306-314. D0I:10.1007/978-3-031-08277-1_25
15. Alabdulatif A., Rizvi S.S.H. Machine Learning Approach for Improvement in Kitsune NID // Intelligent Automation & Soft Computing. 2022. Vol. 32. Iss. 2. PP. 827-840. D0I:10.32604/iasc.2022.021879
References
1. Minerva R., Biru A., Rotondi D. Towards a definition of the Internet of Things (IoT). Telecom Italia S.p.A.; 2015. p.10-21. URL: https://iot.ieee.org/images/files/pdf/IEEE_IoT_Towards_Definition_Internet_of_Things_Revision1_27MAY15.pdf [Accessed 25.10.2023]
2. Dorsemaine B., Gaulier J.-P., Wary J.-P., Kheir N., Urien P. Internet of Things: A Definition & Taxonomy. Proceedings of the 9th International Conference on Next Generation Mobile Applications, Services and Technologies (NGMAST, Cambridge, UK, 09-11 September 2015). IEEE; 2015. D0I:10.1109/NGMAST.2015.71
3. Statista. Internet of Things (IoT) connected devices installed base worldwide from 2015 to 2025. URL: https://www.statista. com/statistics/471264/iot-number-of-connected-devices-worldwide [Accessed 12.02.2023]
4. Securelist. Demeter D., Preuss M., Shmelev Y. IoT: a malware story. 2019. URL: https://securelist.com/iot-a-malware-story/94451 [Accessed 11.02.2023]
5. Shevtsov V.Y., Kasimovsky N.P Threat and vulnerability analysis of IoT and IIoT concepts. NBI technologies. 2020;14(3): 28-35. D0I:10.15688/NBIT.jvolsu.2020.3.5
6. Sheluhin 0. I. Network Anomalies. Detection, Localization, Forecasting. Moscow: Goryachaya liniya - Telekom Publ.; 2019. 448 p.
7. Sheluhin O.I., Osin A.V., Smolsky S.M. Self-Similarity and Fractals. Telecommunication. Moscow: Fizmatlit Publ.; 2008. 368 p.
8. Sheluhin O.I., Lukin I.Yu. Network traffic anomalies detection using fixing method of jumps of multifractal dimension in the real-time mode. Automatic Control and Computer Sciences. 2018;52(5):421-430. D01:10.3103/S0146411618050115
9. Sheluhin O., Rybakov S., Vanyushina A. Modified Algorithm for Detecting Network Attacks Using the Fractal Dimension Jump Estimation Method in Online Mode. Proceedings of Telecom. Univ. 2022;8(3):117-126. DOI:10.31854/1813-324X-2022-8-3-117-126
10. Sheluhin O.I., Rybakov S.Y., Vanyushina A.V. Detection of Network Anomalies with the Method of Fixing Jumps of the Fractal Dimension in the Online Mode. Proceedings of the Conference on Wave Electronics and its Application in Information and Telecommunication Systems. WECONF, 30 May - 03 June 2022, St. Petersburg, Russia. IEEE; 2022. DOI:10.1109/wECONF 55058.2022.9803635
11. Sheluhin O.I., Rakovskiy D.I. Multi-Label Learning in Computer Networks. Proceedings of the Conference on Systems of Signals Generating and Processing in the Field of on Board Communications, 14-16 March 2023, Moscow, Russia. IEEE; 2023. DOI:10.1109/IEEECONF56737.2023.10092157
12. Bolshakov A.S., Gubankova E.V. Anomaly detection in computer networks using machine learning methods. REDS: Telecommunication Devices and Systems. 2020;10(1):37-42.
13. Mirsky Y., Doitshman T., Elovici Y., Shabtai A. Kitsune: An Ensemble of Autoencoders for Online Network Intrusion Detection. arXiv:1802.09089. 2018. DOI:10.48550/arXiv.1802.09089
14. Miyamoto K., Goto H., Ishibashi R., Han C., Ban T., Takahashi, et al. Malicious Packet Classification Based on Neural Network Using Kitsune Features. Proceedings of the Second International Conference on Intelligent Systems and Pattern Recognition, ISPR 2022, 24-26 March 2022, Hammamet, Tunisia. Communications in Computer and Information Science, vol.1589. Cham: Springer; 2022. p.306-314. DOI:10.1007/978-3-031-08277-1_25
15. Alabdulatif A., Rizvi S.S.H. Machine Learning Approach for Improvement in Kitsune NID. Intelligent Automation & Soft Computing. 2022;32(2):827-840. D0I:10.32604/iasc.2022.021879
Статья поступила в редакцию 18.06.2023; одобрена после рецензирования 01.08.2023; принята к публикации 02.11.2023.
The article was submitted 18.06.2023; approved after reviewing 01.08.2023; accepted for publication 02.11.2023.
Информация об авторах:
доктор технических наук, профессор, заведующий кафедрой «Информационная безопасность» Московского технического университета связи и информатики https://orcid.org/0000-0001-7564-6744
аспирант кафедры «Информационная безопасность» Московского технического университета связи и информатики https://orcid.org/0000-0002-4593-9009
ШЕЛУХИН Олег Иванович
РЫБАКОВ Сергей Юрьевич
