Learning yordamida tarmoq hujumlarini erta aniqlash


Download 168.19 Kb.
bet3/7
Sana19.06.2023
Hajmi168.19 Kb.
#1603411
1   2   3   4   5   6   7
Bog'liq
Tar 2201.11628

{F t= L z ik = 1,2,... , b T- 1 c}
s z
bu erda barcha segmentlar bir xil y j belgisiga ega asl oqim kabi. Misol uchun, turli uzunlikdagi uchta oqimni ko'rib chiqing: F 6 (1) , F 1 ( 5 2) va F 7 ( 0 3) . Biz segmentatsiya tezligini s r ni o'rnatamiz 0,25 gacha. Segment o'lchamlari s z F 6 (1) , F 1 ( 5 2) va F 7 ( 0 3) uchun mos ravishda 2, 4 va 18. I- jadvalda ma'lumotlarni ko'paytirish jarayoni tomonidan yaratilgan oqimlarning segmentlari keltirilgan.
I-JADVAL
F SEGMENTLASHTIRISH KO'RSATISH BO'YICHA PAST SEGMENTLAR s r = 0 . 25

Yo'q.

Oqimlar

Oqim segmentlari

1

F 6 (1) = { P 1 , P 2 ,..., P 6 }

{ P 1 , P 2 }

2

{ P 1 , P 2 , P 3 , P 4 }

3

F ( 5 2) = { P 1 , P 2 ,..., P 15 }

{ P i , P 2 , P 3 , P 4 }

4

{ P 1 , P 2 ,..

., P 8 }

5

{ P 1 , P 2 , ..

., P 12 }

6

F 7 3 = {P 1 ,P 2 ,...,P 70 }

{P 1 , P 2 , ..

., P 18 }

7

{P 1 , P 2 ,..

., P 36 }

8

{P 1 , P 2 ,..

., P 54 }

Ma'lumotlarni ko'paytirish faqat o'quv ma'lumotlar to'plamidagi oqimlarga qo'llaniladi. Ma'lumotlar to'plami ishlab chiqarilgan oqim segmentlarini qo'shish orqali kengaytiriladi. Biz dastlabki tasniflagichimizni H : F t (j) xaritalash funksiyasini o'rganishga o'rgatamiz. ^ y j , bu yerda t < T .Boshqacha aytganda, klassifikator sinf belgisini (j) bashorat qila olishi kerak.


y j berilgan oqimning F t faqat birinchi t paketlar bilan. Biz klassifikatorni o'rgatish uchun toifali o'zaro entropiyani yo'qotish funksiyasidan va Adam [21] optimallashtiruvchisidan foydalandik .

  1. Monitoring

Haqiqiy vaqtda yuqori tezlikdagi tarmoqlarni kuzatish ­yuqori paket tezligi tufayli qiyin vazifadir. Bu asosiy sabab, bizning yondashuvimizda biz aniqlamoqchi bo'lgan hujumlar turiga tegishli bo'lgan tarmoq paketlarini ushlaymiz va qayta ishlaymiz.
Paket sniffer moduli real vaqt rejimida tarmoq trafigini kuzatish uchun javobgardir. U 1 -rasmda ko'rsatilganidek, kiruvchi va chiquvchi tarmoq paketlarini ushlaydi va oqimni qayta ishlash quvuriga yo'naltiradi. Ushbu modul libpca p 1 yordamida amalga oshiriladi. dasturlash interfeysini ta'minlovchi kutubxona
1 https://github.com/the- tcpdump -group/ libpcap


Tarmoq oqimlari


Erta oqim tasniflagichi


Tasniflash
chegarasi


sinfni aniqlash




Quyidagi chiqish sinflari uchun ehtimollik taqsimoti:


Oqim-1


Oqim-2


Oddiy


Hujum turi - 1


Oqim-n


Hujum turi - 2


Oqimlarning dastlabki tasnifi



Oddiy hujum turi-1 hujum turi-2
2-rasm. Oqimlarning dastlabki tasnifi


tarmoq interfeyslari orqali o'tadigan paketlarni ushlash. Kutubxona, shuningdek, faqat ma'lum paketlarni, masalan, maqsad porti 80 bo'lgan paketlarni olish uchun sozlanishi mumkin bo'lgan filtrlarni ham qo'llab-quvvatlaydi. Odatda Operatsion tizim yadrosi tomonidan qo'llab-quvvatlanadigan bu filtrlar paketlarni filtrlash jarayoniga qo'shimcha xarajatlarni kamaytirish orqali ish faoliyatini yaxshilaydi.
Biz faol oqimlar ro'yxatini va dastlabki oqim tasniflagichimiz tomonidan tuzilgan oqimlarga mos keladigan bashoratlarni saqlaymiz. Har safar tarmoq oqimi yangi paket bilan yangilanganda, biz 2 -rasmda ko'rsatilganidek, prognoz (ya'ni, chiqish sinflari uchun ehtimollik taqsimoti) olish uchun dastlabki oqim klassifikatoridan foydalanamiz. Oqimning yakuniy klassi - bu klassga ega bo'lgan sinfdir. boshqa sinflarga qaraganda yuqori ehtimollik va tasniflash chegarasi e [0,1) . Agar sinf ehtimolining hech biri ma'lum chegaradan yuqori bo'lmasa, bizning yondashuvimiz "Noma'lum" ni yakuniy sinf sifatida qaytaradi. Tasniflash chegarasini oshirganimiz sari noto'g'ri musbatlar soni (ya'ni, berilgan oqim bo'lmaganda hujum ekanligini ko'rsatadigan natija) kamayadi, bu tasniflash aniqligini yaxshilaydi, lekin yondashuvning ertaligini pasaytiradi. Eshik chegarasi tarmoq trafigini kuzatuvchi va tasniflash natijalariga ko'ra hujumlarga qarshi choralar ko'rish uchun mas'ul bo'lgan tarmoq ma'muri kabi shaxs tomonidan ta'minlanadi.

  1. Baholash

Ushbu bo'limda biz quyidagi tadqiqot savollariga javob berish orqali yondashuvimizning samaradorligini baholaymiz:

  • 1-savol: To'liq oqimlarni (ya'ni, barcha paketlar bilan oqimlarni) tasniflashda bizning yondashuvimiz qanday ishlaydi?

  • 2-savol: Oqimning faqat dastlabki bir nechta paketlarini tekshirish orqali real vaqt rejimida berilgan oqim sinfini aniqlashda bizning yondashuvimiz qanchalik samarali?

RQ1 bizning yondashuvimiz tasniflash samaradorligini tekshiradi ­; RQ2 esa real vaqt muhitida o'rnatilganda bizning yondashuvimiz samaradorligini baholaydi.
ma'lumotlarni oldindan qayta ishlash va Keras uchun Scikit-learn [22] kutubxonasidan foydalanamiz [8] dastlabki oqim tasniflagichini yaratish uchun kutubxona. Ushbu bo'limda baholash uchun foydalaniladigan ma'lumotlar to'plami va model arxitekturasi tavsiflanadi. Nihoyat, biz har bir tadqiqot savoli bo'yicha natijalarni muhokama qilamiz.

  1. Ma'lumotlar to'plami

yondashuvimiz samaradorligini baholash uchun CICIDS2017 [9] maʼlumotlar toʻplamidan foydalanamiz . Maʼlumotlar toʻplami oddiy va yetti turdagi hujum oqimlaridan (masalan, Hearbleed , Botnet, Web) hamda oqimlarga mos keladigan tarmoq paketlaridan iborat . Biz 2017-yil 6-iyul, payshanba kuni olingan va quyidagi veb-hujumlar bilan bog‘liq tarmoq oqimlarini o‘z ichiga olgan ma’lumotlar to‘plamining ma’lum bir qismidan foydalanamiz: (1) SQL Injection: tajovuzkor ma’lumotlar bazasiga kiritiladigan SQL buyruqlar qatorini taqdim etadi; (2) Cross ­Site Scripting (XSS): tajovuzkor veb-ilova kodiga skript kiritadi; (3) Qo'pol kuch: tajovuzkor administrator parolini topish uchun parollar ro'yxatini sinab ko'radi. II- jadvalda payshanba kungi ma'lumotlar to'plamidagi oqimlar soni va o'rtacha oqim uzunligi (ya'ni, paketlar soni) har bir sinf uchun keltirilgan.
JADVAL II
Yorliqli oqim ma'lumotlar to'plami


Download 168.19 Kb.

Do'stlaringiz bilan baham:
1   2   3   4   5   6   7



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling