|
"Xizmat ko'rsatishni rad etish" kabi tarmoq hujumlari mavjudligi uchun tarmoq trafigidagi anomaliyalarni qidirish usulini tanlash
Yuqorida aytib o'tilganidek, anomaliya - bu tizim xatti-harakatlarining odatdagidan chetga chiqishi. Anomaliya bo'lishi mumkin: xato, og'ish, shuningdek, chetga chiqish. Anomaliyalarning tabiati ham boshqacha bo'lib, texnologik nosozliklar, foydalanuvchi xatolari yoki tizimga qarshi ataylab noqonuniy harakatlar, masalan, xakerliklarda namoyon bo'lishi mumkin. Turli xil anomaliyalarni aniqlashning ko'plab usullari mavjud, shu bilan birga barcha usullar universal emas.
Anomaliyalar, [ga ko'ra142, 143] uchta toifaga bo'linadi: anomaliyalar, bunda ma'lumotlarning bir nusxasini anomaliya deb hisoblash mumkin; ikkinchi toifa shartli bo'lib, unda instantsiya anomaliyasi faqat ma'lum sharoitlarda o'zini namoyon qilganda ko'rib chiqiladi.
shartlar yoki ma'lum bir kontekst, boshqacha aytganda, anomaliya faqat ma'lum vaziyatlarda ko'rib chiqilsa; uchinchi turdagi anomaliyalar kollektivdir, boshqacha aytganda, bu turdagi anomaliyalar keyinchalik anomaliyalarning kollektiv zanjirini (masalan, vaqt seriyasini) tashkil etuvchi misollarning butun ketma-ketligiga mos keladi. Shubhasiz, zararli tarmoq trafigining boshqalarga nisbatan xatti-harakatlarining tabiati anomaliyalarning birinchi turiga mos keladi.
Anomaliya deb topilgan tarmoq trafigining qayd etilgan seansi arxivlangan maʼlumotlardir. Usulni tanlash vazifasi, birinchi navbatda, tahlil qilinadigan misolning boshqa kiruvchi tarmoq trafigiga nisbatan anomal bo'lish ehtimoli sathini baholashga asoslanishi kerak.
Tarmoq trafigidagi anomaliyalarni aniqlash rejimi, avval noma'lum bo'lgan hujumlarni aniqlash, nazoratsiz tanib olish rejimidir, boshqacha qilib aytganda, bunday anomal portlashlar kamdan-kam sodir bo'ladi deb taxmin qilinadi. Ushbu usul oqimli ma'lumotlar bilan ishlashni anglatmaydi, chunki u tahlil qilish uchun zarur bo'lgan barcha ma'lumotlar to'plamini qayta ishlashni talab qiladi.
Vazifaga qarab, anomaliyalarni aniqlash usullari beshta asosiy guruhga bo'linadi [144].
Tasniflash muammosiga asoslangan usullar. Bir yoki bir nechta obyektiv funksiya namunalari oddiy xatti-harakatlar sifatida tayinlanadi. Hech qanday sinfga mos kelmaydigan misol ko'rib chiqilayotgan ma'lumotlar to'plamidagi boshqa misollarga nisbatan anomaliya bo'ladi. Bu tur nazorat ostidagi mashinani oʻrganishga tegishli [145].
Klasterlash muammosiga asoslangan usullar. Klasterlash vazifasi obyektiv funksiyani talab qilmaydi. Sinflarning oddiy namunalari anomal klasterlarga qaraganda ancha yuqori zichlikni hosil qiladi. Afsuski, standart algoritmlar
Oddiy va anomal holatlar o'rtasidagi chegaraning xiralashishi tufayli klasterlar noto'g'ri musbatlarning yuqori sathiga ega [146].
Statistik ma'lumotlarni tahlil qilishga asoslangan usullar. Bunday holda, tizim xatti-harakatlarining normal modeli quriladi, xatti-harakatlardan har qanday og'ish anomal deb hisoblanadi. Asosiy muammo shundaki, agar anomaliyalarning tabiati oldindan ma'lum bo'lmasa, statistik taqsimot va chegaraning aniqligini aniqlash qiyin bo'ladi.147].
Eng yaqin qo'shni usuli. Bu usul misollar orasidagi Evklid masofasiga asoslangan. Avvalo, tahlil qilinayotgan misollarning o'xshashlik sathini tushunish kerak. Eng yaqin misolgacha bo'lgan masofa hisoblab chiqiladi. Misol qo'shnidan o'chirilganda - bu misol o'ta ko'rsatkich sifatida belgilanadi va anomaliya [ bilan belgilanadi.148].
Spektral tahlil usullari. Ushbu turdagi usul kirish ma'lumotlarining atributlarini yaqinlashtirish muammosi bilan tavsiflanadi. Ko'pincha tarmoq trafigini tahlil qilish uchun chastota xususiyatlarini olish uchun vaqt seriyasi quriladi. Keyinchalik, bu tahlil hujum paytida olingan seriyalarning spektral tahlili bilan taqqoslanadi. Burilishlar mavjudligi hujumning mavjudligini ko'rsatadi [149]. Shu bilan birga, ushbu usul bilan foydalanuvchilarning to'satdan faolligini taxmin qilish mumkin emas, shuning uchun DDoS hujumlari uchun spektral tahlil anomal holatlarni aniqlash uchun emas, balki faqat kiruvchi trafik oqimining gistogrammasini tahlil qilish uchun samarali bo'ladi. Shunday qilib, DDoS hujumlarini o'z ichiga olmaydigan trafik bo'yicha usulning noto'g'ri musbat ehtimoli yuqori.
Potensial tarmoq hujumlarining noma'lum holatlarida maqsadli o'zgaruvchi aniqlanmaganligi oldindan aniqlangan, shuning uchun o'qituvchi bilan ishlashga asoslangan mashinali o’qitish usullari va algoritmlari,
ya'ni tasniflash va statistik tahlil bu vazifa uchun ahamiyatsiz.
Spektral tahlil usuli amaliy emas, chunki noto'g'ri pozitivlarning yuqori sathi mavjud va bu usul signaturadan ko'ra trafikni statistik qayta ishlash uchun qo'llaniladi.
Klasterlash usuli ilgari atributlari bo'yicha misollarni birlamchi taqsimlash uchun ishlatilgan, shuning uchun bitta klasterlar orasidagi masofani aniqlash uchun eng yaqin qo'shni usulidan foydalanish mumkin.
Chiqib ketish ma'lumotlarning qolgan qismidan juda farq qiluvchi misol sifatida belgilanishi mumkinligi sababli, chetga chiqishni aniqlash algoritmidan foydalanish tavsiya etiladi. Matematik statistika sohasidagi mutaxassislar
[150] turli xil chegaralarni aniqlash algoritmlarini qoʻllash imkoniyatlarini keng oʻrgangan. Ma'lumotlar nuqtalari stokastik taqsimotdan foydalangan holda modellashtirilgan va shuning uchun ularning ushbu model bilan aloqasiga qarab chetga chiqadigan qiymatlar sifatida aniqlanadi. Shu bilan birga, ma'lumotlar nuqtalarining ko'p o'lchovli taqsimlanishini yuqori aniqlik bilan baholash mumkin emas. Shu bilan birga, mahalliy mahalla zichligini hisoblashda nuqtalarning bir-biridan to'liq o'lchamli masofasida anomaliyalarni aniqlashga qodir algoritmlar mavjud [151].
Mualliflar tomonidan ma'lum va sinovdan o'tgan [152] o'n to'qqizta anomaliyani aniqlash algoritmini har tomonlama baholashni amalga oshirdi, bu esa anomaliyalarni tahlil qilishda mahalliy chegara omillari algoritmi eng aniq ekanligini ko'rsatdi. Ushbu algoritm ilgari noma'lum DDoS hujumlarini aniqlash vazifasini qondiradi.
Do'stlaringiz bilan baham: |
