[go: up one dir, main page]

RU2696296C1 - Method of detecting anomalies in traffic of main internet networks based on multifractal heuristic analysis - Google Patents

Method of detecting anomalies in traffic of main internet networks based on multifractal heuristic analysis Download PDF

Info

Publication number
RU2696296C1
RU2696296C1 RU2018138651A RU2018138651A RU2696296C1 RU 2696296 C1 RU2696296 C1 RU 2696296C1 RU 2018138651 A RU2018138651 A RU 2018138651A RU 2018138651 A RU2018138651 A RU 2018138651A RU 2696296 C1 RU2696296 C1 RU 2696296C1
Authority
RU
Russia
Prior art keywords
multifractal
time series
network
spectrum
traffic
Prior art date
Application number
RU2018138651A
Other languages
Russian (ru)
Inventor
Петр Дмитриевич Зегжда
Дарья Сергеевна Лаврова
Original Assignee
федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" (ФГАОУ ВО "СПбПУ")
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" (ФГАОУ ВО "СПбПУ") filed Critical федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" (ФГАОУ ВО "СПбПУ")
Priority to RU2018138651A priority Critical patent/RU2696296C1/en
Application granted granted Critical
Publication of RU2696296C1 publication Critical patent/RU2696296C1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/003
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

FIELD: information technology.
SUBSTANCE: invention relates to a method of detecting anomalies in main Internet traffic based on multifractal heuristic analysis. Method includes multifractal heuristic analysis of time series generated from parameters of network traffic collected from backbone routers and having undergone preliminary processing. At that, time series are formed from such parameters of network traffic as network packet size, number of network packets in stream, type of network protocol of transport level, number of network protocol packets of each type, number of outgoing and incoming connections for a host. Table with normal multifractal characteristics for each time series is generated in a database located on a database server. For each multifractal characteristic of each time series, the value of the maximum permissible deviation from the normal value is recorded in the database, after which the time series are distributed between the simultaneously operating computational nodes of the high-performance server. At each server computer unit, over each time series, multifractal characteristics are calculated, such as the width of the multifractal spectrum, the width of the left spectrum "branch", the width of right spectrum "branch", height of left spectrum "branch", height of right spectrum "branch". At that, for each time series there performed is checking for deviation of multifractal characteristics values from normal values. If the values of three or more multifractal characteristics deviate from the normal values by more than the value of the maximum allowable deviation, an anomaly warning is generated.
EFFECT: high accuracy of detecting network attacks owing to parallel calculation of multifractal characteristics of network traffic, which enable to estimate changes in main traffic, typical for different types of network attacks.
1 cl, 2 dwg, 1 tbl

Description

Изобретение относится к области компьютерных систем, а именно, к магистральным сетям Интернет и обнаружению аномалий в сетевом трафике.The invention relates to the field of computer systems, namely, to the backbone networks of the Internet and the detection of anomalies in network traffic.

Известен способ, осуществляющий обнаружение аномалий в сетевых потоках (патент Китая № CN101895420, опубл. 24.11.2010 по классам МПК H04L12/24; H04L12/26) и решающий задачу обнаружения аномалий путем вычисления значения коэффициента Хёрста для потока сетевого трафика и сравнением полученного значения с заранее установленным пороговым значением. Способ обеспечивает получение информации обо всех сетевых устройствах в системе, прием всех потоков данных для каждого устройства, извлечение времени поступления сетевого пакета и информации о его размере, формирование временного ряда из этих данных, вычисление коэффициента Хёрста посредством построения автокорреляционной функции для временного ряда, сравнение вычисленного значения коэффициента Хёрста с пороговым значением и принятие решения о наличии/отсутствии аномалии на основе выполненного сравнения.A known method for detecting anomalies in network streams (Chinese patent No. CN101895420, published on November 24, 2010 according to IPC classes H04L12 / 24; H04L12 / 26) and solving the problem of detecting anomalies by calculating the Hurst coefficient for a network traffic stream and comparing the obtained value with a predetermined threshold value. The method provides obtaining information about all network devices in the system, receiving all data streams for each device, extracting the network packet arrival time and information about its size, generating a time series from these data, calculating the Hurst coefficient by constructing an autocorrelation function for the time series, comparing the calculated values of the Hurst coefficient with a threshold value and the decision on the presence / absence of an anomaly based on the comparison.

Недостатками аналога являются:The disadvantages of the analogue are:

1. Малое число параметров, извлекаемых из сетевых пакетов (только размер пакета и времени его поступления). Этого недостаточно для обнаружения различных сетевых атак, поскольку сетевая атака каждого типа имеет свои отличительные особенности, и, чтобы с высокой вероятностью обеспечить ее обнаружение, необходимо извлекать из сетевого трафика различные параметры, «чувствительные» к атакам различного типа (например, число пакетов определенного сетевого протокола или число пакетов с установленными флагами SYN или ACK).1. A small number of parameters extracted from network packets (only the size of the packet and the time it arrived). This is not enough to detect various network attacks, since each type of network attack has its own distinctive features, and in order to ensure its detection with high probability, it is necessary to extract from the network traffic various parameters that are “sensitive” to various types of attacks (for example, the number of packets of a certain network protocol or the number of packets with the SYN or ACK flags set).

2. Вычисление только коэффициента Хёрста, позволяющего анализировать периодичность или фрактальность сетевого трафика. Трафик реальных сетей не всегда обладает свойством фрактальности, особенно если рассматривать его на небольших масштабах. Исследование [Vieira, F. H. T.; Bianchi, G. R. and Lee, L.L. A Network Traffic Prediction Approach Based on Multifractal Modeling. J. High Speed Netw, vol 17(2), pp. 83-96, 2010] показывает, что гораздо чаще сетевой трафик обладает свойством мультифрактальности, то есть поведение сетевого трафика может быть описано несколькими сменяющими друг друга фрактальными алгоритмами. Следовательно, если анализировать сетевой трафик на предмет аномалий только с помощью фрактального коэффициента Хёрста, возможно большое число ошибок первого (ложных срабатываний) и второго рода (пропуск аномалий).2. Calculation of only the Hurst coefficient, which allows analyzing the frequency or fractality of network traffic. The traffic of real networks does not always have the property of fractality, especially if we consider it on a small scale. Research [Vieira, F. H. T .; Bianchi, G. R. and Lee, L.L. A Network Traffic Prediction Approach Based on Multifractal Modeling. J. High Speed Netw, vol 17 (2), pp. 83-96, 2010] shows that much more often network traffic has the multifractality property, that is, the behavior of network traffic can be described by several successive fractal algorithms. Therefore, if we analyze network traffic for anomalies only using the Hurst fractal coefficient, a large number of errors of the first (false positives) and second type errors (skipping anomalies) are possible.

Известен способ обнаружения ботнетов в одноранговых (Peer-to-Peer, P2P) сетях (патент Китай № CN105516164A, опубл. 20.04.2016 по классу МПК H04L29/06), в основе которого лежит совокупное использование мультифрактального подхода и принципа самоадаптации. Способ решает задачу обнаружения ботнетов, анализируя сетевой трафик на наличие свойства монофрактальности (то есть, оценивая самоподобие трафика на больших временных промежутках) и мультифрактальности (оценивая самоподобие трафика на малых временных промежутках). С использованием фильтра Калмана полученные оценки самоподобия считаются нормальными или аномальными.A known method for detecting botnets in peer-to-peer (P2P) networks (China Patent No. CN105516164A, published April 20, 2016 according to IPC class H04L29 / 06), which is based on the combined use of the multifractal approach and the principle of self-adaptation. The method solves the problem of detecting botnets by analyzing network traffic for the presence of monofractality (that is, evaluating the self-similarity of traffic over large time intervals) and multifractality (evaluating the self-similarity of traffic over small time intervals). Using the Kalman filter, the obtained self-similarity estimates are considered normal or abnormal.

Заявленный способ обнаружения ботнетов в одноранговых (Peer-to-Peer, P2P) сетях обладает следующими недостатками:The claimed method for detecting botnets in peer-to-peer (P2P) networks has the following disadvantages:

1. Монофрактальный анализ сетевого трафика с использованием коэффициента Хёрста. Исследование [Vieira, F. H. T.; Bianchi, G. R. and Lee, L.L. A Network Traffic Prediction Approach Based on Multifractal Modeling. J. High Speed Netw, vol 17(2), pp 83-96, 2010] показывает, что трафик реальных сетей не всегда монофрактален (периодичен в течение длительных временных промежутков), следовательно, оценка монофрактальности может давать ложные срабатывания. Поскольку изобретение реализует обнаружение аномалий на основе совокупного монофрактального и мультифрактального анализа, ошибки первого и второго рода при монофрактальном анализе могут повлиять на корректность результирующего обнаружения аномалий.1. Monofractal analysis of network traffic using the Hurst coefficient. Research [Vieira, F. H. T .; Bianchi, G. R. and Lee, L.L. A Network Traffic Prediction Approach Based on Multifractal Modeling. J. High Speed Netw, vol 17 (2), pp 83-96, 2010] shows that the traffic of real networks is not always monofractal (periodic for long time periods), therefore, monofractality assessment can give false positives. Since the invention implements the detection of anomalies based on the combined monofractal and multifractal analysis, errors of the first and second kind in monofractal analysis can affect the correctness of the resulting detection of anomalies.

2. Для мультифрактального анализа авторы изобретения вычисляют показатель Гёльдера (Holder index, Holder exponent, пункты [0010] SUMMARY, [0046], [0047] DETAILED DESCRIPTION). Данный показатель относительно мультифрактального спектра Лежандра, являющегося основой мультифрактального анализа, может характеризовать только смещение спектра относительно оси абсцисс. В то время как при изменении поведения сетевого трафика мультифрактальный спектр может также смещаться по оси ординат. Кроме того, исследования [Moreno G., Álvarez D., Requejo S., et al. Multifractal analysis of soil surface roughness. Vadose Zone Journal, 7(2): p. 512–520, 2007 и Diosdado A., Ramirez-Hernandez L. et al. Multifractal analysis and the NYHA index. AIP Conference Proceedings 1626(1): p. 155-158, 2014] демонстрируют, что изменения в данных также вызывают изменения в длинах левой и правой «ветвей» мультифрактального спектра. Такие изменения показатель Гёльдера, вычисляемый заявленным способом, не отразит. Следовательно, возможен пропуск аномалий.2. For multifractal analysis, the inventors calculate the Holder index (Holder index, Holder exponent, paragraphs [0010] SUMMARY, [0046], [0047] DETAILED DESCRIPTION). This indicator relative to the multifractal spectrum of Legendre, which is the basis of multifractal analysis, can only characterize the shift of the spectrum relative to the abscissa axis. Whereas when the behavior of network traffic changes, the multifractal spectrum can also shift along the ordinate axis. In addition, studies [Moreno G., Álvarez D., Requejo S., et al. Multifractal analysis of soil surface roughness. Vadose Zone Journal, 7 (2): p. 512-520, 2007 and Diosdado A., Ramirez-Hernandez L. et al. Multifractal analysis and the NYHA index. AIP Conference Proceedings 1626 (1): p. 155-158, 2014] demonstrate that changes in the data also cause changes in the lengths of the left and right “branches” of the multifractal spectrum. Such changes Hölder indicator calculated by the claimed method will not reflect. Therefore, anomalies can be skipped.

Технической проблемой заявляемого изобретения является разработка способа обнаружения аномалий в трафике магистральных сетей Интернет в режиме реального времени с целью выявления сетевых атак.The technical problem of the claimed invention is the development of a method for detecting anomalies in the traffic of the Internet backbone networks in real time in order to detect network attacks.

Технический результат заключается в увеличении точности обнаружения сетевых атак за счет параллельного вычисления мультифрактальных характеристик сетевого трафика, позволяющих оценить изменения в магистральном трафике, характерные для различных типов сетевых атак.The technical result consists in increasing the accuracy of detecting network attacks due to the parallel calculation of the multifractal characteristics of network traffic, allowing to evaluate the changes in the main traffic that are typical for various types of network attacks.

Решение поставленной задачи обеспечивается тем, что в способе обнаружения аномалий в трафике магистральных сетей Интернет на основе мультифрактального эвристического анализа реализуется параллельное вычисление набора из пяти мультифрактальных характеристик: ширина мультифрактального спектра, ширина и высота его левой и правой «ветвей». Различные мультифрактальные характеристики чувствительны к различным типам сетевых атак, преимущественно к атакам типа отказа в обслуживании, что в совокупности обеспечивает высокую точность обнаружения атак.The solution to this problem is provided by the fact that in the method for detecting anomalies in the traffic of the Internet backbones based on multifractal heuristic analysis, a parallel calculation of a set of five multifractal characteristics is implemented: the width of the multifractal spectrum, the width and height of its left and right “branches”. Various multifractal characteristics are sensitive to various types of network attacks, mainly to attacks such as denial of service, which together provides high accuracy of detection of attacks.

Изобретение поясняется Фиг. 1, изображающей мультифрактальный спектр с отмеченными на нем мультифрактальными характеристиками, соответствующими ширине спектра и параметрам его «ветвей». На Фиг.2 изображена общая блок-схема параллельного вычисления мультифрактальных характеристик.The invention is illustrated in FIG. 1, depicting a multifractal spectrum with multifractal characteristics marked on it, corresponding to the width of the spectrum and the parameters of its “branches”. Figure 2 shows a General block diagram of the parallel calculation of multifractal characteristics.

Термин «эвристика», в соответствии с источником [Ожегов С.И., Шведова Н.Ю. Толковый словарь русского языка: 72500 слов и 7500 фразеологических выражений / Рос. АН, Ин-т рус. яз., Рос. фонд культуры. – М.: Азъ, 1992. – 955 с.] представляет собой совокупность исследовательских методов, способствующих обнаружению ранее неизвестного. В информационной безопасности ранее всего эвристики стали применяться при обнаружении компьютерных вирусов. Антивирусные средства, использующие эвристики, детектировали вредоносные программы с помощью анализа их структуры и поведения. Таким образом, эвристики для обнаружения аномалий в трафике магистральных сетей Интернет представляют собой характеристики и инварианты сетевого трафика, значения которых изменяются при реализации сетевой атаки. В связи с этим мультифрактальный анализ, предполагающий вычисление характеристик, описывающих поведение трафика, является эвристическим.The term "heuristic", in accordance with the source [Ozhegov SI, Shvedova N.Yu. Explanatory dictionary of the Russian language: 72,500 words and 7,500 phraseological expressions / Ros. AN, Inst. lang., Ros. cultural fund. - M .: Az, 1992. - 955 p.] Is a set of research methods that contribute to the detection of previously unknown. In information security, heuristics were first used when detecting computer viruses. Antivirus tools that use heuristics have detected malware by analyzing their structure and behavior. Thus, heuristics for detecting anomalies in the traffic of the Internet backbone networks are the characteristics and invariants of network traffic, the values of which change during the implementation of a network attack. In this regard, multifractal analysis, which involves the calculation of characteristics that describe the behavior of traffic, is heuristic.

Мультифрактал представляет собой совокупность фракталов, каждый из которых характеризуется своей размерностью. Мультифрактал задается несколькими последовательно сменяющимися алгоритмами, каждый из которых генерирует шаблон со своей фрактальной размерностью. Мультифрактальность сетевого трафика говорит о том, что трафик можно разделить на части, и для каждой из частей будут наблюдаться свои свойства самоподобия. Таким образом, мультифрактальные характеристики представляют собой инварианты сетевого трафика.A multifractal is a set of fractals, each of which is characterized by its own dimension. A multifractal is defined by several successively changing algorithms, each of which generates a template with its own fractal dimension. The multifractality of network traffic suggests that traffic can be divided into parts, and for each part its own self-similarity properties will be observed. Thus, multifractal characteristics are invariants of network traffic.

Если фрактал может быть представлен одной величиной – фрактальной размерностью D, то для описания мультифрактала требуется множество таких размерностей. В связи с этим для описания мультифрактала широко используется мультифрактальный спектр, представляющий собой функцию, вычисляемую на основе ряда фрактальных размерностей, входящих в мультифрактал [Божокин, C. Фракталы и мультифракталы / С. Божокин, Д. Паршин. - Ижевск, - с. 67-70, 2001].If a fractal can be represented by one quantity - a fractal dimension D, then a multitude of such dimensions is required to describe a multifractal. In this regard, to describe a multifractal, the multifractal spectrum is widely used, which is a function calculated on the basis of a number of fractal dimensions included in the multifractal [Bozhokin, C. Fractals and multifractals / S. Bozhokin, D. Parshin. - Izhevsk, - p. 67-70, 2001].

Для вычисления функции мультифрактального спектра, обозначаемой f(α), требуется вычислить скейлинговую функцию τ(q) и осуществить над ней преобразование Лежандра. При осуществлении преобразования Лежандра над функцией

Figure 00000001
выполняется переход от переменных
Figure 00000002
и
Figure 00000001
к новым переменным
Figure 00000003
и
Figure 00000004
:To calculate the multifractal spectrum function, denoted by f (α), it is necessary to calculate the scaling function τ (q) and implement the Legendre transform on it. When implementing the Legendre transform over a function
Figure 00000001
transition from variables
Figure 00000002
and
Figure 00000001
to new variables
Figure 00000003
and
Figure 00000004
:

Figure 00000005
Figure 00000005
(1)(one)

Значение функции

Figure 00000001
Figure 00000001
может быть получено из выражения
Figure 00000006
Figure 00000006
, где
Figure 00000007
Figure 00000007
– момент распределения точек по ячейкам фрактального объекта, вся область которого разбита на кубы со стороной
Figure 00000008
Figure 00000008
, а показатель
Figure 00000002
Figure 00000002
может принимать любые действительные значения (
Figure 00000009
Figure 00000009
).Function value
Figure 00000001
Figure 00000001
can be obtained from expression
Figure 00000006
Figure 00000006
where
Figure 00000007
Figure 00000007
- the moment of distribution of points in the cells of a fractal object, the entire area of which is divided into cubes with side
Figure 00000008
Figure 00000008
, and the indicator
Figure 00000002
Figure 00000002
can take any valid values (
Figure 00000009
Figure 00000009
)

Функция мультифрактального спектра

Figure 00000004
Figure 00000004
вычисляется над временными рядами, сформированными из различных параметров сетевого трафика: размер сетевого пакета, число сетевых пакетов в потоке, тип сетевого протокола транспортного уровня, число сетевых пакетов протоколов каждого типа, число исходящих и входящих подключений для хоста. Выбор параметров обоснован тем, что, по данным «Лаборатории Касперского», число атак отказа в обслуживании (Denial of Service, DoS) стремительно растет [DDoS attacks in Q1 2018 [сайт], URL: https://securelist.com/ddos-report-in-q1-2018/85373/], и именно выделенные параметры сетевого трафика чувствительны к изменениям, характерным для DoS-атак. DoS-атаки в общем случае характеризуются увеличением объема поступающего трафика, что отразится на количестве сетевых пакетов и подключений – исходящих в случае атакующего узла или входящих в случае узла-жертвы. Помимо этого, реализация DoS-атак некоторых типов проявляется в росте числа пакетов определенного протокола, а, следовательно, и на числе флагов (например, SYN и ACK в случае атаки SYN-flood).Multifractal Spectrum Function
Figure 00000004
Figure 00000004
it is calculated over time series formed from various parameters of network traffic: the size of the network packet, the number of network packets in the stream, the type of network protocol of the transport layer, the number of network packets of protocols of each type, the number of outgoing and incoming connections for the host. The choice of parameters is justified by the fact that, according to Kaspersky Lab, the number of Denial of Service (DoS) attacks is growing rapidly [DDoS attacks in Q1 2018 [site], URL: https://securelist.com/ddos- report-in-q1-2018 / 85373 /], and it is the selected parameters of network traffic that are sensitive to changes characteristic of DoS attacks. DoS attacks are generally characterized by an increase in the amount of incoming traffic, which will affect the number of network packets and connections - outgoing in the case of an attacking node or incoming in the case of a victim node. In addition, the implementation of certain types of DoS attacks manifests itself in an increase in the number of packets of a certain protocol, and, consequently, in the number of flags (for example, SYN and ACK in case of a SYN flood attack).

Наблюдение за значениями

Figure 00000003
Figure 00000003
и
Figure 00000010
Figure 00000010
в скользящем окне позволяет получить информацию об изменении структуры наблюдаемого временного ряда. Изменение мультифрактальных свойств, проявляющихся в изменении мультифрактальных инвариантов, свидетельствует об изменении в поведении сетевого трафика, что характеризует атаку или неполадки в сети.Observing Values
Figure 00000003
Figure 00000003
and
Figure 00000010
Figure 00000010
in a sliding window allows you to get information about changes in the structure of the observed time series. A change in multifractal properties, manifested in a change in multifractal invariants, indicates a change in the behavior of network traffic, which characterizes an attack or a network malfunction.

На фиг.1 представлено изображение мультифрактального спектра с отмеченными на нем мультифрактальными характеристиками: Figure 1 presents the image of the multifractal spectrum with the marked multifractal characteristics:

1) значение ширины спектра, обозначаемой

Figure 00000011
Figure 00000011
, вычисляемое по формуле
Figure 00000012
Figure 00000012
;1) the value of the width of the spectrum indicated
Figure 00000011
Figure 00000011
calculated by the formula
Figure 00000012
Figure 00000012
;

2) значение ширины правой «ветви»

Figure 00000013
Figure 00000013
, вычисляемое по формуле
Figure 00000014
Figure 00000014
;2) the value of the width of the right "branch"
Figure 00000013
Figure 00000013
calculated by the formula
Figure 00000014
Figure 00000014
;

3) значение ширины левой «ветви»

Figure 00000015
Figure 00000015
, вычисляемое по формуле
Figure 00000016
Figure 00000016
;3) the value of the width of the left "branch"
Figure 00000015
Figure 00000015
calculated by the formula
Figure 00000016
Figure 00000016
;

4) значение высоты левой «ветви»

Figure 00000017
Figure 00000017
, вычисляемое по формуле
Figure 00000018
Figure 00000018
);4) the value of the height of the left "branch"
Figure 00000017
Figure 00000017
calculated by the formula
Figure 00000018
Figure 00000018
);

5) значение высоты правой «ветви»

Figure 00000019
Figure 00000019
, вычисляемое по формуле
Figure 00000020
Figure 00000020
.5) the value of the height of the right "branch"
Figure 00000019
Figure 00000019
calculated by the formula
Figure 00000020
Figure 00000020
.

Экспериментальные исследования продемонстрировали эффективность предложенных характеристик при обнаружении аномалий в сетевом трафике. Для проведения исследований был использован смоделированный магистральный трафик, содержащий как нормальный трафик, так и трафик с различными DoS-атаками (SlowLoris, DoS Hulk, DoS GoldenEye). Результаты по обнаружению атак с использованием предложенных характеристик представлены в таблице 1.Experimental studies have demonstrated the effectiveness of the proposed characteristics in detecting anomalies in network traffic. For research, we used simulated trunk traffic containing both normal traffic and traffic with various DoS attacks (SlowLoris, DoS Hulk, DoS GoldenEye). The results of the detection of attacks using the proposed characteristics are presented in table 1.

Таблица 1. Результаты по обнаружению DoS-атакTable 1. DoS Attack Detection Results

Тип DoS-атаки / МетрикаType of DoS Attack / Metric SlowLorisSlowlow DoS HulkDos hulk DoS GoldenEyeDoS GoldenEye Ширина мультифрактального спектра

Figure 00000021
Figure 00000021
;Multifractal Spectrum Width
Figure 00000021
Figure 00000021
; обнаруживаетdiscovers не обнаруживаетdoes not detect не обнаруживаетdoes not detect Ширина правой «ветви»
Figure 00000022
Figure 00000022
Width of the right “branch”
Figure 00000022
Figure 00000022
 обнаруживаетdiscovers не обнаруживаетdoes not detect обнаруживаетdiscovers Ширина левой «ветви»
Figure 00000023

Figure 00000024
The width of the left "branch"
Figure 00000023

Figure 00000024
 обнаруживаетdiscovers не обнаруживаетdoes not detect обнаруживаетdiscovers Высота правой «ветви»
Figure 00000025
The height of the right "branch"
Figure 00000025
 обнаруживаетdiscovers обнаруживаетdiscovers не обнаруживаетdoes not detect Высота левой «ветви»
Figure 00000026
Figure 00000026
)The height of the left "branch"
Figure 00000026
Figure 00000026
) обнаруживаетdiscovers не обнаруживаетdoes not detect обнаруживаетdiscovers

По результатам экспериментальных исследований можно сделать вывод о том, что в совокупности предложенные метрики обнаружили все проведенные атаки отказа в обслуживании. При этом, значение также имеют параметры, формирующие временной ряд, к которому применяется мультифрактальный эвристический анализ. В случае DoS атак на уровне HTTP показательными метриками являются число TCP пакетов, число TCP-пакетов с SYN-флагами, а также число HTTP пакетов.Based on the results of experimental studies, we can conclude that, in the aggregate, the proposed metrics found all conducted denial of service attacks. At the same time, the parameters forming the time series to which multifractal heuristic analysis is also important. In the case of DoS attacks at the HTTP level, the indicative metrics are the number of TCP packets, the number of TCP packets with SYN flags, and the number of HTTP packets.

Проведение экспериментальных исследований продемонстрировало, что для обнаружения атак значение имеют также параметры, которые используются для формирования временного ряда. Например, в случае DoS-атак на уровне HTTP показательными параметрами являются число TCP пакетов, число TCP-пакетов с SYN-флагами, а также число HTTP пакетов.Experimental studies have shown that the parameters used to form the time series are also important for detecting attacks. For example, in the case of DoS attacks at the HTTP level, the indicative parameters are the number of TCP packets, the number of TCP packets with SYN flags, and the number of HTTP packets.

Реализация заявляемого способа заключается в следующем:The implementation of the proposed method is as follows:

1. Получение в режиме реального времени временных рядов, сформированных из следующих параметров, извлеченных из трафика магистральных сетей Интернет, собираемого с маршрутизаторов сети:1. Real-time acquisition of time series generated from the following parameters extracted from Internet backbone traffic collected from network routers:

1.1 размер сетевого пакета;1.1 network packet size;

1.2 число сетевых пакетов в потоке;1.2 the number of network packets in the stream;

1.3 тип сетевого протокола транспортного уровня;1.3 type of network protocol transport layer;

1.4 число сетевых пакетов протоколов каждого типа;1.4 the number of network protocol packets of each type;

1.5 число исходящих подключений для хоста;1.5 the number of outgoing connections for the host;

1.6 число входящих подключений для хоста.1.6 the number of incoming connections for the host.

2. Формирование в базе данных, располагающейся на сервере баз данных, таблицы с нормальными значениями мультифрактальных характеристик для каждого временного ряда. Таблица включает в себя следующие мультифрактальные характеристики:2. Formation in the database located on the database server, tables with normal values of multifractal characteristics for each time series. The table includes the following multifractal characteristics:

2.1 ширину мультифрактального спектра;2.1 width of the multifractal spectrum;

2.2 ширину левой «ветви» спектра;2.2 the width of the left “branch” of the spectrum;

2.3 ширину правой «ветви» спектра;2.3 the width of the right “branch” of the spectrum;

2.4 высоту левой «ветви» спектра;2.4 the height of the left "branch" of the spectrum;

2.5 высоту правой «ветви» спектра. 2.5 the height of the right “branch” of the spectrum.

3. Формирование в базе данных, располагающейся на сервере баз данных, таблицы для записи результатов мультифрактального эвристического анализа.3. Formation in a database located on the database server, a table for recording the results of multifractal heuristic analysis.

4. Распределение временных рядов между параллельно работающими вычислительными узлами высокопроизводительного сервера, каждому узлу сопоставляется некоторое множество временных рядов. 4. The distribution of time series between parallel computing nodes of a high-performance server, each node is associated with some set of time series.

5. Параллельное вычисление на каждом узле мультифрактальных характеристик.5. Parallel calculation on each node of multifractal characteristics.

6. Запись результатов мультифрактального эвристического анализа в таблицу в базе данных. В таблицу для каждого временного ряда записываются значения вычисленных мультифрактальных характеристик.6. Writing the results of multifractal heuristic analysis into a table in the database. The table for each time series contains the values of the calculated multifractal characteristics.

7. Для каждого временного ряда выполняется проверка на отклонение значений мультифрактальных характеристик от нормальных значений.7. For each time series, a check is made for the deviation of the values of multifractal characteristics from normal values.

8. Если значения трех и более мультифрактальных характеристик отклоняются от нормальных значений, хранящихся в базе данных, генерируется предупреждение о наличии аномалии. Допустимое значение отклонения задается исследователем либо получается в результате обучения на образцах нормального магистрального трафика.8. If the values of three or more multifractal characteristics deviate from the normal values stored in the database, an anomaly warning is generated. The permissible deviation value is set by the researcher or is obtained as a result of training on the samples of normal trunk traffic.

В итоге над временными рядами, сформированными из сетевого трафика, будет произведен паралелльный мультифрактальный эвристический анализ. При этом будет обеспечено повышение точности обнаружения сетевых атак, поскольку к временным рядам применяется одновременно пять мультифрактальных характеристик, которые в совокупности позволят рассмотреть поведение временного ряда с различных сторон. Помимо этого, точность обнаружения сетевых атак также обеспечивается тем, что рассматривается большое число различных временных рядов, сформированных из параметров трафика магистральных сетей Интернет. Поскольку при сетевых атаках различного типа изменяются различные параметры трафика (размер сетевых пакетов, их число, установленные флаги и т.д.), необходимо контролировать изменение различных параметров. Это позволяет обнаруживать сетевые атаки различного типа.As a result, a parallel multifractal heuristic analysis will be performed on time series generated from network traffic. In this case, an increase in the accuracy of detecting network attacks will be ensured, since five multifractal characteristics are applied simultaneously to the time series, which together will allow us to consider the behavior of the time series from different sides. In addition, the accuracy of detecting network attacks is also ensured by the fact that it considers a large number of different time series generated from the traffic parameters of the Internet backbone networks. Since various types of traffic (network packet size, number of packets, set flags, etc.) change during network attacks of various types, it is necessary to control the change in various parameters. This allows you to detect network attacks of various types.

Также будет повышена скорость обнаружения сетевых атак. Это обеспечивается тем, что мультифрактальный эвристический анализ временных рядов выполняется параллельно: на каждый вычислительный узел поступают не все временные ряды, а только некоторая их часть. В условиях интенсивно поступающего трафика магистральных сетей Интернет это позволяет ускорить процесс анализа.Also, the speed of detection of network attacks will be increased. This is ensured by the fact that multifractal heuristic analysis of time series is performed in parallel: not every time series, but only some part of them comes to each computing node. In conditions of intensively incoming traffic of the Internet backbone networks this allows you to speed up the analysis process.

Claims (1)

Способ обнаружения аномалий в трафике магистральных сетей Интернет на основе мультифрактального эвристического анализа, включающий мультифрактальный эвристический анализ временных рядов, сформированных из параметров сетевого трафика, собираемого с маршрутизаторов магистральной сети и прошедшего предварительную обработку, отличающийся тем, что временные ряды формируются из таких параметров сетевого трафика, как размер сетевого пакета, число сетевых пакетов в потоке, тип сетевого протокола транспортного уровня, число сетевых пакетов протоколов каждого типа, число исходящих и входящих подключений для хоста, затем в базе данных, располагающейся на сервере баз данных, формируются таблица с нормальными значениями мультифрактальных характеристик для каждого временного ряда и таблица для записи результатов мультифрактального эвристического анализа для каждого временного ряда, затем для каждой мультифрактальной характеристики каждого временного ряда в базу данных записывается значение предельно допустимого отклонения от нормального значения, после чего временные ряды распределяются между одновременно работающими вычислительными узлами высокопроизводительного сервера, при этом каждому узлу сопоставляется некоторое множество временных рядов, затем на каждом вычислительном узле сервера над каждым временным рядом вычисляются мультифрактальные характеристики, такие как ширина мультифрактального спектра, ширина левой «ветви» спектра, ширина правой «ветви» спектра, высота левой «ветви» спектра, высота правой «ветви» спектра, затем значения вычисленных мультифрактальных характеристик для каждого временного ряда записываются в таблицу для результатов мультифрактального эвристического анализа, располагающуюся в базе данных на сервере баз данных, для каждого временного ряда выполняется проверка на отклонение значений мультифрактальных характеристик от нормальных значений, хранящихся в таблице с нормальными значениями мультифрактальных характеристик в базе данных на сервере баз данных, после чего выполняется проверка количества мультифрактальных характеристик для каждого временного ряда, отклоняющихся от нормальных значений, в результате которой при отклонении значений трех и более мультифрактальных характеристик от нормальных значений, хранящихся в базе данных, более, чем на значение предельно допустимого отклонения от нормального значения, генерируется предупреждение о наличии аномалии, отображаемое на экране панели оператора. A method for detecting anomalies in the traffic of Internet backbone networks based on multifractal heuristic analysis, including multifractal heuristic analysis of time series generated from network traffic parameters collected from the main network routers and subjected to preliminary processing, characterized in that time series are formed from such network traffic parameters, as the size of the network packet, the number of network packets in the stream, the type of network protocol of the transport layer, the number of network packets in the protocols of each type, the number of outgoing and incoming connections for the host, then in the database located on the database server, a table is formed with normal values of multifractal characteristics for each time series and a table for recording the results of multifractal heuristic analysis for each time series, then for of each multifractal characteristic of each time series, the value of the maximum permissible deviation from the normal value is written to the database, after which time the series are distributed between simultaneously working computing nodes of a high-performance server, while each node is assigned a certain set of time series, then on each computing node of the server over each time series multifractal characteristics are calculated, such as the width of the multifractal spectrum, the width of the left “branch” of the spectrum, the width of the right branches ”of the spectrum, the height of the left“ branch ”of the spectrum, the height of the right“ branch ”of the spectrum, then the values of the calculated multifractal characteristics for each of the time series are recorded in the table for the results of multifractal heuristic analysis, located in the database on the database server, for each time series, a check is made for the deviation of the values of multifractal characteristics from normal values stored in a table with normal values of multifractal characteristics in the database on the database server data, after which the number of multifractal characteristics is checked for each time series deviating from normal values Nij, which resulted in rejecting the values of three or more multifractal characteristics from normal values stored in the database, more than the value of the maximum permissible deviation from the normal value, a warning is generated on the availability abnormalities displayed on the operator panel screen.
RU2018138651A 2018-11-01 2018-11-01 Method of detecting anomalies in traffic of main internet networks based on multifractal heuristic analysis RU2696296C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2018138651A RU2696296C1 (en) 2018-11-01 2018-11-01 Method of detecting anomalies in traffic of main internet networks based on multifractal heuristic analysis

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2018138651A RU2696296C1 (en) 2018-11-01 2018-11-01 Method of detecting anomalies in traffic of main internet networks based on multifractal heuristic analysis

Publications (1)

Publication Number Publication Date
RU2696296C1 true RU2696296C1 (en) 2019-08-01

Family

ID=67586928

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2018138651A RU2696296C1 (en) 2018-11-01 2018-11-01 Method of detecting anomalies in traffic of main internet networks based on multifractal heuristic analysis

Country Status (1)

Country Link
RU (1) RU2696296C1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12430627B1 (en) 2022-10-26 2025-09-30 Kwi Method of restricting a feature set of a point-of-sale system based on network quality

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101895420A (en) * 2010-07-12 2010-11-24 西北工业大学 Rapid detection method for network flow anomaly
RU113041U1 (en) * 2011-08-31 2012-01-27 Александр Николаевич Марьенков DEVICE FOR PROTECTING COMPUTER NETWORKS AND SYSTEMS FROM COMPUTER ATTACKS
US20160261482A1 (en) * 2015-03-04 2016-09-08 Fisher-Rosemount Systems, Inc. Anomaly detection in industrial communications networks
US9614742B1 (en) * 2013-03-14 2017-04-04 Google Inc. Anomaly detection in time series data
RU2625053C1 (en) * 2016-07-29 2017-07-11 Акционерное общество "Лаборатория Касперского" Elimination of false activation of anti-virus records

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101895420A (en) * 2010-07-12 2010-11-24 西北工业大学 Rapid detection method for network flow anomaly
RU113041U1 (en) * 2011-08-31 2012-01-27 Александр Николаевич Марьенков DEVICE FOR PROTECTING COMPUTER NETWORKS AND SYSTEMS FROM COMPUTER ATTACKS
US9614742B1 (en) * 2013-03-14 2017-04-04 Google Inc. Anomaly detection in time series data
US20160261482A1 (en) * 2015-03-04 2016-09-08 Fisher-Rosemount Systems, Inc. Anomaly detection in industrial communications networks
RU2625053C1 (en) * 2016-07-29 2017-07-11 Акционерное общество "Лаборатория Касперского" Elimination of false activation of anti-virus records

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12430627B1 (en) 2022-10-26 2025-09-30 Kwi Method of restricting a feature set of a point-of-sale system based on network quality

Similar Documents

Publication Publication Date Title
Wu et al. Sequence alignment detection of TCP-targeted synchronous low-rate DoS attacks
CN108494746B (en) Method and system for detecting abnormal flow of network port
Dewaele et al. Extracting hidden anomalies using sketch and non gaussian multiresolution statistical detection procedures
CN111245807B (en) Quantitative assessment method of network situation based on attack chain factor
US9934379B2 (en) Methods, systems, and computer readable media for detecting a compromised computing host
Arshadi et al. Benford's law behavior of Internet traffic
Oshima et al. Early DoS/DDoS detection method using short-term statistics
CN105847283A (en) Information entropy variance analysis-based abnormal traffic detection method
RU133954U1 (en) NETWORK SECURITY DEVICE
CN107612933A (en) A kind of novel computer internet worm system of defense
Zhu Attack pattern discovery in forensic investigation of network attacks
CN107360127A (en) A kind of Denial of Service attack detection method at a slow speed based on AEWMA algorithms
US7277843B1 (en) Method for real-time auto-detection of outliers
Packialatha Hybrid classification model with tuned weight for cyber attack detection: Big data perspective
Bereziński et al. Entropy-based internet traffic anomaly detection: A case study
Osanaiye et al. Network data analyser and support vector machine for network intrusion detection of attack type
CN116405306A (en) Information interception method and system based on abnormal flow identification
Radivilova et al. Entropy analysis method for attacks detection
RU2696296C1 (en) Method of detecting anomalies in traffic of main internet networks based on multifractal heuristic analysis
Sun et al. A rough set approach for automatic key attributes identification of zero-day polymorphic worms
Alekseev Detection of distributed denial of service attacks in large-scale networks based on methods of mathematical statistics and artificial intelligence
Smith et al. An experimental exploration of the impact of sensor-level packet loss on network intrusion detection
Kalutarage et al. Towards an early warning system for network attacks using bayesian inference
Pardhi et al. A Study on Performance Comparison of Algorithms for Detecting the Flooding DDoS Attack
Kozik Distributed system for botnet traffic analysis and anomaly detection

Legal Events

Date Code Title Description
QB4A Licence on use of patent

Free format text: LICENCE FORMERLY AGREED ON 20201229

Effective date: 20201229