|
Ikkinchi bosqich (feature preprocessing) связан с выделением (на базе входных данных) наиболее существенных параметров, характеризуюtarmoqning faolligini tavsiflovchi va ularni keyinchalik klassifikator yordamida qayta ishlash uchun eng samarali ishlatilishi mumkin bo'lgan shaklda taqdim etilgan eng muhim parametrlarni (kirish ma'lumotlari asosida) ajratish bilan bog'liq.
Uchinchi bosqich (tasniflash) hujumlarni aniqlash va tan olishdir. Ushbu bosqichda NS-dan foydalanish paket sarlavhalari ma'lumotlarini ma'lum hujum imzolari bilan oddiy taqqoslashni amalga oshiradigan klassik SOA-larga qaraganda afzalroqdir, chunki NS har doim joriy tarmoq faoliyati belgilari o'quv namunasidagi hujum namunalariga qanchalik o'xshashligini aniqlashga harakat qiladi. NS umumlashtirish qobiliyati tufayli, o'quv namunasining etarli hajmi va vakolatliligi bilan NS noma'lum turlarga ma'lum tarmoq hujumlari turlari haqidagi bilimlarini ekstrapolyatsiya qilishi mumkin. Bunday holda, hujumlarni aniqlash vazifasiga mos keladigan NS arxitekturasini tanlash hal qiluvchi rol o'ynaydi.
Keling, ushbu muammoni shakllantirish va hal qilishning turli xil variantlari haqida batafsilroq to'xtalamiz.
SYN toshqini hujumini aniqlash. Ushbu hujum "xizmatni rad etish" tipidagi hujumlar sinfiga tegishli, ya'ni.uning asosiy maqsadi maxfiy ma'lumotlarni o'zgartirish yoki O'g'irlashga urinish emas, balki server ishini blokirovka qilishdir. Bu, shuningdek, katta zarar etkazishi mumkin, chunki ma'lumotni o'z vaqtida taqdim etmaslik noto'g'ri qaror qabul qilishga yoki korxonaning ishlamay qolishiga olib kelishi mumkin.
Shaklda. 3.4 oddiy vaziyat (a) va hujum paytida (b) mos ravishda server holatini o'zgartirish uchun vaqt jadvallarini ko'rsatadi. Цифрами по оси S i o'qi bo'ylab raqamlariserver holatini ko'rsatadi: 1-boshlang'ich holat, server mijozdan so'rovni kutadi; 2-TСЛ-пакета с установленным флагом mijozdan C-SYN bayrog'i o'rnatilgan SL paketini olish; 3-serverga mijozga javobberish( TSR-s-Lsk bayrog'i bo'lgan paket), server so'rovi (tSL yuborish-s-SYN bayrog'i o'rnatilgan paket), mijozdan javobni kutish (пакет с флагом S-ACK bayrog'i bo'lgan TCP to'plami); 4-mijozdanCP-пакета с флагом S - ACK bayrog'i bilan T CP paketini olish; 5-sessiya o'rnatildi.
Hujum holati va normal ishlash o'rtasidagi farq shundaki, 3-holatga o'tgandan so'ng, mijoz s-ACK bayrog'ini o'z ichiga olgan paketni yubormaydi, bu esa serverni biroz kutishga majbur qiladi. Mijozdan har bir so'rovni qayta ishlash uchun kompyuter resurslarining bir qismi (masalan, operativ xotira) ajratilganligini hisobga olsak, ko'p sonli so'rovlar serverning bo'sh resurslarining etishmasligiga olib kelishi mumkin, natijada u o'z vazifalarini bajara olmaydi.
Ushbu hujumga qarshi kurashda qiyinchilik serverning bo'sh resurslari tugashidan oldin uni dastlabki bosqichda tezda aniqlash zarurligidadir.
Hujum belgisi-bu diagrammada ko'rsatilgandek, 3-holatga mos keladigan qisqa vaqt ichida ulanishlar sonining keskin ko'payishi. 3.5, a (bu erda N - t vaqtidagi bir vaqtning o'zida ulanishlar sonit). Shuning uchun tahlil ΔNqilish uchun 3 va 5 holatlarga mos keladigan birikmalar soni orasidagi ΔN farqidan manba ma'lumotlari sifatida foydalanish mumkin. Hujumning dastlabki bosqichida mijozning server bilan normal ishlashi uchun xos bo'lmagan ΔN qiymatining keskin o'sishi sodir bo'lishini ko'rish oson.
Ushbu hujumni aniqlashning mavjud usullari ΔN qiymatini oldindan belgilangan belgilangan chegara bilan taqqoslashga asoslangan (masalan, hujum ΔN ≥100 shartining bajarilishi deb hisoblanadi) yoki ΔN qiymatlarining oldingi vaqt nuqtalaridagi nisbatlarini ma'lum bir miqdor bilan taqqoslashga asoslangan (ya'ni, hujum hozirgi ΔN qiymatining oshishi hisoblanadi, masalan, besh marta).
Ushbu usullarning kamchiliklari bor. Yuqoridagi chegara qiymatlari har bir alohida holatda tanlanishi kerak, har bir server uchun ular turli qiymatlarni qabul qilishlari mumkin. Hujum va normal holatga aniq mos keladigan aniq chegaralar yo'q. Bundan tashqari, ushbu chegaralar vaqtga bog'liq - masalan, server bilan ishlashning kunlik statistikasi tungi vaqtdan sezilarli darajada farq qiladi. Shuning uchun, serverning ishlashini tavsiflovchi joriy parametrlar uchun doimiy sozlash zarur, bu usullar bilan deyarli mumkin emas.
NS ning yuqoridagi afzalliklarini va, avvalambor, ularning o'zgaruvchan kirishlar to'plamida o'rganish qobiliyatini hisobga olgan holda, biz SYN Flood tipidagi hujumni aniqlash uchun NS dan foydalanish imkoniyatini ko'rsatamiz SYN Flood[78]. Hujumni aniqlash vazifasi bu holda quyidagicha shakllantirilishi mumkin: ΔN parametrining joriy va oldingi qiymatlarini kamaytirish ΔNva ularni mos yozuvlar diagrammalari bilan taqqoslash asosida (смrasmga qarang). 3.5), NS hujumning mavjudligi yoki yo'qligini ko'rsatadigan natijani berishi kerak.
Tahlil uchun dastlabki ma'lumotlar ma'lum vaqtdan keyin olinadi, shartli ravishda o'lchov deb ataladi. Hujumlarning mavjudligini tahlil qilish uchun biz rasmda ko'rsatilgan NS sxemasidan foydalanamiz. 3.6, bu erda MLP ko'p qatlamli perceptron(ko'p qatlamli Perceptron); z-1 - bir soatlik tsikl uchun vaqtni kechiktirish elementi.
Bu erda server holati to'g'risidagi ma'lumotlar perceptron yozuvlariga qo'llaniladi: joriy qiymat birinchi kirishga beriladi ΔN, ikkinchi kirishga - uning oldingi qiymati, uchinchisiga - qiymati ΔN, ikki o'lchov uchun kechiktirilgan va boshqalar. (aniqlik uchun bu erda perceptron kirishlar soni sakkizga teng). Agar hujum aniqlansa, NS chiqishi "1" ga, aks holda "0" ga teng bo'ladi.
Yuqorida ta'kidlab o'tilganidek, zamonaviy tarmoq darajasidagi hujumlarni aniqlash tizimlarining aksariyati hujum imzolarini topishning turli usullaridan foydalanishga asoslanganсигнатур атаку, ya'ni.tarmoq trafigini uzatish axborot tizimiga ma'lum bir hujum doirasida amalga oshirilishining o'ziga xos belgilari (ko'rsatkichlari). SOA-da axborotni qayta ishlash jarayoni quyidagi bosqichlarni o'z ichiga oladi (1-rasm). 3.3):
belgilar (parametrlar) ro'yxatini aniqlash;
parametrlarni oldindan qayta ishlash;
hujumlarni aniqlash (tasniflash)
Tasniflash natijasi
Shakl: 3.3. SOA-da axborotni qayta ishlash jarayonining diagrammasi
Do'stlaringiz bilan baham: |
