Learning yordamida tarmoq hujumlarini erta aniqlash


Download 168.19 Kb.
bet1/7
Sana19.06.2023
Hajmi168.19 Kb.
#1603411
  1   2   3   4   5   6   7
Bog'liq
Tar 2201.11628


Learning yordamida tarmoq hujumlarini erta aniqlash

Tanvir Ahmad * , Dragos Truscan * , Juri Vain *'*' va Ivan Porres *


* Fan va muhandislik fakulteti, Abo Akademi universiteti, Finlyandiya
' Yuqori ishonchli dasturiy ta'minot laboratoriyasi, Tallin Texnologiya Universiteti, Estoniya
{ tanwir.ahmad , dragos.truscan , ivan.porres } @abo.fi, juri.vain@ttu.ee



arXiv:2201.11628v2 [cs.CR] 11 Mar 2022


Xulosa — Internet tajovuzkorlar tomonidan xavfsizlik hujumlari va bosqinlari uchun asosiy ob'ektga aylandi. Ushbu hujumlar tizimning noto'g'ri ishlashiga, tarmoqning buzilishiga, ma'lumotlarning buzilishiga yoki o'g'irlanishiga olib kelishi mumkin. Tarmoqqa kirishni aniqlash tizimi (IDS) tarmoq trafigini kuzatish orqali ruxsatsiz va zararli xatti-harakatlarni aniqlash uchun foydalaniladigan vositadir. Intrusionni aniqlashning zamonaviy tizimlari hujum haqidagi toʻliq maʼlumotni tekshirish orqali hujumni aniqlash uchun moʻljallangan. Bu shuni anglatadiki, IDS hujumni faqat hujum ostidagi tizimda amalga oshirilgandan keyin aniqlay oladi va tizimga zarar yetkazishi mumkin. Ushbu maqolada biz tarmoq hujumlarini hujum ostida bo'lgan tizimga ko'proq zarar yetkazishi va kutilmagan uzilishlar va uzilishlarning oldini olish uchun oldini olish uchun uchdan oxirigacha erta kirishni aniqlash tizimini taklif qilamiz. Biz hujumni aniqlash uchun chuqur neyron tarmoqqa ­asoslangan tasniflagichdan foydalanamiz. Tarmoq boshqa yondashuvlarda qo'llaniladigan qo'lda xususiyat tanlash jarayoniga tayanish o'rniga, xom tarmoq trafiki ma'lumotlaridan tegishli xususiyatlarni olish uchun nazorat ostida o'qitiladi. Bundan tashqari, biz taklif qilayotgan yondashuv hujumlarni qanchalik erta aniqlashini baholash uchun ertalik deb nomlangan yangi ko'rsatkichni taqdim etamiz. Biz CICIDS2017 ma'lumotlar to'plamiga bo'lgan yondashuvimizni empirik tarzda baholadik. Natijalar shuni ko'rsatadiki, bizning yondashuvimiz yaxshi ishladi va umumiy 0,803 muvozanatli aniqlikka erishdi.
Indeks shartlari - erta tasniflash, hujumni erta aniqlash, chuqur o'rganish, konvolyutsion neyron tarmog'i

  1. Kirish

taqsimoti, aloqa va transport uchun o'zaro bog'langan dasturiy ta'minot tizimlarining keng doirasiga sezilarli darajada bog'liq . ­Cheklangan maqsadlar uchun yopiq tarmoqlarda boshqariladigan aloqa davri tugadi. Internet-texnologiyalarning joriy etilishi munosabati bilan deyarli barcha moliya, davlat va ijtimoiy tarmoqlar maxfiy ma'lumotlarni qayta ishlash va saqlash uchun tarmoq axborot tizimlariga tayanishni boshladi. Natijada, bu tizimlar tajovuzkorlar tomonidan xavfsizlik hujumlari va bosqinlarining asosiy ob'ektiga aylandi. Ushbu hujumlar tizimning noto'g'ri ishlashiga, tarmoqning buzilishiga, ma'lumotlarning buzilishiga yoki o'g'irlanishiga olib kelishi mumkin. Shu sababli, imkon qadar tezroq tarmoq hujumlarini real vaqt rejimida kuzatish va aniqlash orqali tarmoq xavfsizligini ta'minlash juda muhimdir.
Tarmoq tajovuzlarini aniqlash tizimi (IDS) tarmoq trafigini kuzatish orqali ruxsatsiz va zararli xatti-harakatlarni aniqlash va tarmoq ma'murlariga tarmoq infratuzilmasi va tegishli tugunlarni himoya qilish uchun tegishli profilaktika choralarini ko'rishda yordam berish uchun foydalaniladigan vositadir ­[1] . Bosqinning ko'pchiligi
ITEQS 2022 aniqlash tizimlariga taqdim etilgan oldindan chop etishni ikki guruhga bo'lish mumkin: anomaliyaga ­asoslangan va imzoga asoslangan aniqlash tizimlari [2] . Avvalgi guruhda aniqlash tizimi oddiy tarmoq trafigining profilini o'rganadi va agar u odatdagi trafik profilidan oldindan belgilangan anomaliya chegarasidan ko'proq chetga chiqsa, berilgan tarmoq trafigi ma'lumotlarini intruziv yoki anomal deb tasniflaydi. Bu ushbu tizimlarga ochilmagan va yangi hujumlarni aniqlash imkonini beradi. Biroq, anomaliya chegarasining qiymati tizimlarning aniqligiga sezilarli ta'sir ko'rsatadi. Anomaliya chegarasining optimal qiymatini topish murakkab ish bo'lib, ko'p hollarda qo'lda sozlashni talab qiladi.
Imzoga asoslangan tajovuzni aniqlash tizimi berilgan tarmoq trafigi maʼlumotlarini maʼlum hujumlarning imzolari (masalan, qator va muntazam ifodalar ketma-ketligi) bilan solishtirish orqali trusiv tarmoq trafigini aniqlaydi . ­Tarmoq IDS ning ushbu toifasi kundalik amaliyotda eng ko'p qo'llaniladi [3] . Ushbu tizimlarning aksariyati ma'lum hujumlar va tizim zaifliklaridan olingan bilim bazalariga (ya'ni, hujum modellari va naqshlarining oldindan belgilangan to'plami) tayanganligi sababli, ular bilimga asoslangan yoki noto'g'ri foydalanish IDS deb ham nomlanadi [4 ] . Ko'pgina hollarda, domen mutaxassislari bilim bazalarini qo'lda tuzadilar, bu zerikarli va xatolarga moyil bo'lishi mumkin [5] . Anomaliyaga asoslangan IDSlardan farqli o'laroq, ushbu IDS guruhi faqat ma'lumot bazalarida aniqlangan hujumlarni aniqlay oladi. Biroq, bu usullar anomaliyaga asoslangan IDS [2] , [6] bilan solishtirganda yuqori darajadagi aniqlik va past noto'g'ri signal darajasini ko'rsatadi . Ushbu tizimlarni ishlab chiqishdagi asosiy muammolardan biri hujumning turli xil o'zgarishlarini ko'rsatishi mumkin bo'lgan ma'lum hujumning imzosini olish yoki aniqlashdir . ­Bundan tashqari, katta imzo bilim bazasini boshqarish va trafikka qarshi imzolarni moslashtirish ko'p vaqt va resurs talab qiladigan vazifalardir [2] .
Yuqori tezlikdagi tarmoqlarning tarqalishi va tez tarqaladigan tahdidlar hujum bilan bog'liq butun tarmoq trafik ma'lumotlarini tekshirish orqali hujumni aniqlaydigan joriy IDS uchun qo'shimcha qiyinchiliklarni keltirib chiqaradi. Bu shuni anglatadiki, IDS hujumni faqat hujum ostidagi tizimda amalga oshirilgandan keyin aniqlay oladi va tizimga allaqachon zarar yetkazgan bo'lishi mumkin. Shu sababli, tarmoq hujumlarini tizimga ko'proq zarar yetkazishidan oldin oldini olish uchun kiberxavfsizlik sohasida hujumni (yoki tajovuzni) erta aniqlash maqsadga muvofiqdir. Trafikni dastlabki tasniflash natijalariga asoslanib, tarmoq ma'muri trafikni to'xtatish va signalni yuborish yoki qarshi choralarni qo'llash to'g'risida qaror qabul qilishi mumkin.
Yuqoridagi muammolarni hal qilish uchun ushbu ishda biz tarmoq hujumlarini yuqori aniqlik bilan imkon qadar erta aniqlash uchun uchdan uchgacha erta imzoga asoslangan IDSni taklif qilamiz. Biroq, hujumlar imzolarini qo'lda olish o'rniga, bizning usulimiz davom etayotgan hujumlarni erta tasniflash uchun ishlatilishi mumkin bo'lgan xom tarmoq trafik ma'lumotlaridan tegishli xususiyatlarni olish uchun chuqur neyron tarmog'idan (DNN) foydalanadi. Chuqur o'rganish - bu DNN-lardan foydalaniladigan mashinani o'rganishning bir turi [7] yoki ko'p qatlamli neyron tarmoqlari berilgan o'quv ma'lumotlarining turli darajadagi ko'rinishlarini o'rganish orqali murakkab funktsiyalarni taxmin qilish uchun. Xulosa qilib aytganda, ushbu maqolaning hissasi quyidagicha:

  1. Biz tarmoqqa kirishni erta aniqlash usulini taqdim etamiz. Intuitiv ravishda bizning yondashuvimiz, agar ko'proq ma'lumot mavjud bo'lsa, berilgan tarmoq trafik ma'lumotlarining sinf belgisi (masalan, normal yoki zararli) haqida ko'proq ma'lumotga ega bo'lgan qaror qabul qilishi mumkin, ammo bu qarorni kechiktiradi. Shunday qilib, ushbu ishda biz hujumni aniqlashning aniqligini minimal kechikish (yoki maksimal ertalik) bilan optimallashtirishga qaratamiz.

  2. Bizning yondashuvimiz qo'lda funksiyalarni yaratish jarayoniga tayanish o'rniga, xom tarmoq trafiki ma'lumotlaridan tegishli xususiyatlarni oxirigacha chiqaradi. Shuning uchun bizning yondashuvimiz domendan mustaqil va domenga xos ma'lumotlarni oldindan qayta ishlash bosqichlarini talab qilmaydi.

  3. taklif qilgan yondashuvimiz hujumlarni qanchalik erta aniqlashi mumkinligini baholash uchun ertalik deb nomlangan yangi ko'rsatkichni taqdim etamiz .

  4. Keras yordamida yondashuvimiz uchun vositani qo'llab-quvvatlaymiz [8] kutubxona.

  5. Biz yondashuvimizni CI-CIDS2017 [9] yordamida empirik baholaymiz. maʼlumotlar toʻplami.

Maqolaning qolgan qismi quyidagicha tuzilgan: II bo'lim bizning yondashuvimizni tavsiflaydi. III bo'limda biz yondashuvimizni empirik tarzda baholaymiz. IV bo'limda tegishli ishlarning umumiy ko'rinishi keltirilgan. V bo'limda ushbu ishning haqiqiyligiga tahdidlar ko'rsatilgan. Nihoyat, VI bo'limda xulosalar chiqariladi va kelajakdagi ishlar muhokama qilinadi.

  1. Yondashuv

Ushbu bo'lim tarmoq hujumlarini aniqlash uchun hujumlarni erta aniqlash tizimini taklif qiladi. Bizning yondashuvimizning asosiy maqsadi tarmoq trafigini real vaqt rejimida kuzatib borish, ­tarmoq trafigining xom ashyosidan avtomatik ravishda xususiyatlarni ajratib olish, an'anaviy usullardan foydalangan holda xususiyatlarni olish uchun vaqt talab qiluvchi va mashaqqatli ishlarning oldini olish va tarmoq hujumlarini aniq aniqlashdir. imkon qadar erta. Bizning yondashuvimiz rasmda ko'rsatilganidek, ikki bosqichga bo'linishi mumkin 1. Birinchi bosqichda biz yorliqlangan tarmoq oqimlari va ushbu oqimlarga mos keladigan tarmoq paketlarini o'z ichiga olgan ma'lumotlar to'plamidan foydalangan holda dastlabki oqim klassifikatorini o'qitamiz va baholaymiz. Ikkinchi bosqichda biz ma'lum bir tarmoq oqimi zararli yoki normal bo'lishi mumkinligini taxmin qilish uchun o'qitilgan erta oqim klassifikatoridan foydalanamiz. Tarmoq oqimi - bu ma'lum vaqt oralig'ida ikkita so'nggi nuqta (masalan, veb-server va mijoz) o'rtasida almashinadigan paketlarning ikki tomonlama ketma-ketligi, ba'zi umumiy oqim xususiyatlariga ega [10] manba va maqsad IP manzillari, manba va maqsad port raqamlari va protokol turi kabi. Bizning ishimizda biz tarmoq oqimini T tartibli paketlar ketma-ketligi sifatida aniqlaymiz, bu erda T to'liq oqim uzunligini ifodalaydi. Oqim quyidagicha ifodalanadi:
F t = { P i ,P 2 ,...,P t }V P i & R d L 1 < i < T (1)
Bu erda d - paketning o'lchami (yoki uzunligi).
Yondashuvimizning ikkala bosqichida uchta moduldan iborat bo'lgan ­oqimni qayta ishlash quvur liniyasi qo'llaniladi: paketlarni filtrlash, oqimni aniqlash va paketlarni oldindan qayta ishlash moduli. Paket filtrlash moduli tarmoq paketlarini ushlaydi va agar ular berilgan mezonlarga javob bersa, ularni keyingi modullarga yo'naltiradi. Misol uchun, agar biz 80-portda ishlaydigan veb-serverni himoya qiladigan bo'lsak, modulni faqat maqsad yoki manba porti 80 bo'lgan paketlarni yo'naltirish uchun sozlashimiz mumkin. Keyingi ikkita modul paketlarni o'zgartiradi va ularni tarmoq oqimlariga guruhlaydi. Har safar tarmoq oqimi yangi paket bilan yangilanganda, biz oqimga mos keladigan bashoratni yangilash uchun dastlabki oqim tasniflagichidan foydalanamiz.

  1. Oqimni qayta ishlash quvur liniyasi

Ushbu bo'limda biz quvur liniyasining modullarini muhokama qilamiz.


Download 168.19 Kb.

Do'stlaringiz bilan baham:
  1   2   3   4   5   6   7




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling