Концептуальная модель принимающего узла компьютерной сети под воздействием сетевых


Детектирование аномального сетевого трафика



Download 2,31 Mb.
bet27/47
Sana12.03.2022
Hajmi2,31 Mb.
#492247
1   ...   23   24   25   26   27   28   29   30   ...   47

Детектирование аномального сетевого трафика


Для того, чтобы выяснить существует атака или нет в первую очередь необходимо обратиться к телеметрии принимающего узла. При условии штатной работы метрики загрузки сетевых ресурсов и вычислительных ресурсов будут находиться в пределах нормы. Любое отклонение параметров свидетельствует о наличии атаки. В то же время классификация сетевых атак может не детектировать атаку, в случае если она не была описана в обучающем наборе данных. В данной ситуации атака будет новой для системы и являться аномалией для принимающего узла компьютерной сети.


Процесс выявления аномального сетевого трафика описан на рисунке 2.1



Рисунок 2.2. Процесс выявления аномального трафика
Этап наблюдения за активностью пользователя требует подсчета следующих параметров:

  • подсчет среднего времени ответа приложения;

  • подсчет возникновения ошибок в ответе приложения;

  • подсчет количества запросов в секунду.

  • Подсчет уникальных пользователей.

Этап анализа наблюдаемых данных необходим для того, чтобы выявить начало сетевой атаки. На данном этапе необходимо установить порог для метрик активности пользователя. Тот трафик, который будет превышать порог, записывается и отправляется на кластеризацию.
Последний этап характеризуется поиском множества объектов, которые являются аномальными для штатного потока принимаемых сетевых пакетов. Данный этап необходим для того, чтобы понять атрибуты (паттерны) ранее неустановленной сетевой атаки, а также ликвидировать возможное ложное срабатывания, при котором легитимный трафик может быть заблокирован.


      1. Сбор данных для выявления неизвестных ранее сетевых атак типа


«отказ в обслуживании»

Обозначим множество объектов (входящих сетевых пакетов) – X. При этом обозначим множество меток кластеров наличия сетевой атаки – Y.


Между входящими множествами задана функция расстояния 𝜌(𝑥, 𝑥). Конечная обучающая выборка сетевых атак имеет вид:
𝑋𝑚 = {𝑥1, 𝑥2, … 𝑥𝑚} ⊂ 𝑋 (2.24)
Необходимо каждому входящему сетевому пакету 𝑥𝑖 ∈ 𝑋𝑚 сопоставить метку сетевой атаки 𝑦𝑖 ∈ 𝑌, таким образом, чтобы объекты внутри каждого кластера были близки относительно метрики 𝜌, а объекты из разных кластеров значительно различались [139].
Метод кластеризации косвенно отличается от метода классификации тем, что метки объектов из обучающей выборки 𝑦𝑖 изначально не заданы, и даже само множество 𝑌 может быть неизвестно [140]. Это является достаточным для выявления ранее неописанных в классификаторе DDoS атак.
Каждый собранный пакет имеет набор метаданных, представленных в виде вектора 𝑝:
𝑝 = (𝑖𝑑, 𝑑𝑎𝑡𝑒, 𝑥1, 𝑥2, … , 𝑥𝑛), (2.25) где n-размерность вектора, id-идентификатор сеанса, date-временная метка,
𝑥1,…,𝑥𝑛-направления, адреса и порты отправителя и получателя, размер пакета, тип протокола, различные флаги и поля обслуживания [141].



      1. Download 2,31 Mb.

        Do'stlaringiz bilan baham:
1   ...   23   24   25   26   27   28   29   30   ...   47




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish