Интеллектуальный анализ данных бортовой системы диагностики локомотива
- Authors: 1, 1, 1, 1
-
Affiliations:
- Самарский государственный технический университет, филиал
- Issue: Vol 1 (2023)
- Pages: 396-397
- Section: Информационные технологии и техническая кибернетика
- URL: https://journals.eco-vector.com/osnk-sr2023/article/view/397840
- ID: 397840
Cite item
Full Text
Abstract
Обоснование. Современные информационные системы используют технологию удаленного доступа. Одним из видов мошеннических действий в информационной сети является организация сетевой атаки на ресурс, доступный в этой сети. Наиболее распространенным типом атаки является DoS-атака (Denial of Service) — это атака, целью которой является перегрузка подсистемы сервиса запросами на предоставление ресурса [1–3]. В результате атаки сетевой ресурс оказывается недоступен для использования легитимными пользователями. Различают следующие разновидности атак. DoS-атака характеризуется использованием одиночного потока запросов. DDoS (Distributed Denial of Service) связана с использованием многопоточных запросов, которые генерируются несколькими сетевыми источниками. Ранняя и достоверная идентификация начала сетевой атаки является одной из наиболее актуальных задач при обеспечении бесперебойного легитимного доступа к ресурсу, разделяемому между сетевыми пользователями.
Цели - создание метода раннего детектирования DoS и DDoS-атак, разработка программного обеспечения.
Методы. Современные методы детектирования используют анализ статистики потока запросов: сетевая атака характеризуется возрастанием плотности потока. Основная сложность использования современных методов определяется необходимостью детектирования атаки в условиях возможного применения различных сценариев атакующей стороной. Использование отдельного временного окна [2–4], характерное для современных методов обнаружения атаки, ограничивает чувствительность системы детектирования вследствие неопределенности сценария, используемого атакующей стороной. Неопределенность временных характеристик атаки (плавное, скачкообразное, ступенчатое и т.д. изменение потока запросов) приводит к невозможности оптимального выбора ширины окна. В свою очередь это вызывает невозможность отделения атаки от возникновения внезапного повышения спроса к ресурсу. Предлагаемый метод анализа использует двухэтапный подход. Метод идентификации степени опасности основан на одновременном анализе статистики в нескольких временных окнах, каждое из которых имеет уникальное значение ширины. Степень опасности определяется на основе характеристик программно-аппаратных средств, использующихся для доступа к ресурсу. При возникновении угрозы используется метод глубокого анализа. Целью анализа является идентификация причин повышенного спроса к ресурсу [1]. На этом этапе происходит обработка полей заголовков IP-пакетов с использованием локально хранимых списков, характеризующих историю доступа к ресурсу. IP-адрес и порт получателя используются для идентификации жертвы атаки. IP-адрес, порт источника и значения флагов позволяют отделить атаку от возникновения повышенного спроса к ресурсу. В случае если детектирована атака, эти поля заголовка позволяют также определить тип сетевой атаки.
Результаты. Предложен метод двухэтапного анализа потока запросов на предоставление сетевого ресурса. Разработан метод решения задачи детектирования изменения статистического распределения, основанный на использовании набора временных окон. Использование метода позволяет проводить анализ степени опасности ситуации с точки зрения доступности сетевого ресурса. Предложен метод анализа потока запросов к ресурсу в ситуации возникновения риска атаки. Разработано программное обеспечение, реализующее функции предлагаемых численных методов. Проведены численные исследования с использованием набора данных [5].
Выводы. К преимуществам использования предложенного метода можно отнести раннее определение атак и возможность детализации картины событий в информационной сети. Присутствует возможность использования программного обеспечения как отдельно, так и совместно с другими средствами защиты информации. Перспективы разработки связаны с реализацией методов глубокого машинного обучения при построении систем мониторинга. Масштабируемость решения позволяет использовать метод при построении как систем мониторинга конкретного сетевого ресурса, так и распределенных системы контроля. Актуальность использования метода связана с развитием новых сетевых технологий (Internet of Things, Internet everywhere) и технологий, архитектура которых включает сетевые решения («умные» технологии, наземные транспортные системы нового поколения, технологии автономных интеллектуальных агентов).
Full Text
Обоснование. Современные информационные системы используют технологию удаленного доступа. Одним из видов мошеннических действий в информационной сети является организация сетевой атаки на ресурс, доступный в этой сети. Наиболее распространенным типом атаки является DoS-атака (Denial of Service) — это атака, целью которой является перегрузка подсистемы сервиса запросами на предоставление ресурса [1–3]. В результате атаки сетевой ресурс оказывается недоступен для использования легитимными пользователями. Различают следующие разновидности атак. DoS-атака характеризуется использованием одиночного потока запросов. DDoS (Distributed Denial of Service) связана с использованием многопоточных запросов, которые генерируются несколькими сетевыми источниками. Ранняя и достоверная идентификация начала сетевой атаки является одной из наиболее актуальных задач при обеспечении бесперебойного легитимного доступа к ресурсу, разделяемому между сетевыми пользователями.
Цели - создание метода раннего детектирования DoS и DDoS-атак, разработка программного обеспечения.
Методы. Современные методы детектирования используют анализ статистики потока запросов: сетевая атака характеризуется возрастанием плотности потока. Основная сложность использования современных методов определяется необходимостью детектирования атаки в условиях возможного применения различных сценариев атакующей стороной. Использование отдельного временного окна [2–4], характерное для современных методов обнаружения атаки, ограничивает чувствительность системы детектирования вследствие неопределенности сценария, используемого атакующей стороной. Неопределенность временных характеристик атаки (плавное, скачкообразное, ступенчатое и т.д. изменение потока запросов) приводит к невозможности оптимального выбора ширины окна. В свою очередь это вызывает невозможность отделения атаки от возникновения внезапного повышения спроса к ресурсу. Предлагаемый метод анализа использует двухэтапный подход. Метод идентификации степени опасности основан на одновременном анализе статистики в нескольких временных окнах, каждое из которых имеет уникальное значение ширины. Степень опасности определяется на основе характеристик программно-аппаратных средств, использующихся для доступа к ресурсу. При возникновении угрозы используется метод глубокого анализа. Целью анализа является идентификация причин повышенного спроса к ресурсу [1]. На этом этапе происходит обработка полей заголовков IP-пакетов с использованием локально хранимых списков, характеризующих историю доступа к ресурсу. IP-адрес и порт получателя используются для идентификации жертвы атаки. IP-адрес, порт источника и значения флагов позволяют отделить атаку от возникновения повышенного спроса к ресурсу. В случае если детектирована атака, эти поля заголовка позволяют также определить тип сетевой атаки.
Результаты. Предложен метод двухэтапного анализа потока запросов на предоставление сетевого ресурса. Разработан метод решения задачи детектирования изменения статистического распределения, основанный на использовании набора временных окон. Использование метода позволяет проводить анализ степени опасности ситуации с точки зрения доступности сетевого ресурса. Предложен метод анализа потока запросов к ресурсу в ситуации возникновения риска атаки. Разработано программное обеспечение, реализующее функции предлагаемых численных методов. Проведены численные исследования с использованием набора данных [5].
Выводы. К преимуществам использования предложенного метода можно отнести раннее определение атак и возможность детализации картины событий в информационной сети. Присутствует возможность использования программного обеспечения как отдельно, так и совместно с другими средствами защиты информации. Перспективы разработки связаны с реализацией методов глубокого машинного обучения при построении систем мониторинга. Масштабируемость решения позволяет использовать метод при построении как систем мониторинга конкретного сетевого ресурса, так и распределенных системы контроля. Актуальность использования метода связана с развитием новых сетевых технологий (Internet of Things, Internet everywhere) и технологий, архитектура которых включает сетевые решения («умные» технологии, наземные транспортные системы нового поколения, технологии автономных интеллектуальных агентов).
About the authors
Самарский государственный технический университет, филиал
Author for correspondence.
Email: serov.archer@gmail.com
студент, группа ЭИЗ-19(с)
Russian Federation, СызраньСамарский государственный технический университет, филиал
Email: dimapanov571@gmail.com
студент, группа ЭИ-20
Russian Federation, СызраньСамарский государственный технический университет, филиал
Email: teamparker17@gmail.com
студент, группа ЭИЗ-19(с)
Russian Federation, СызраньСамарский государственный технический университет, филиал
Email: crazyojj@mail.ru
References
- Фаткиева Р.Р. Разработка метрик для обнаружения атак на основе анализа сетевого трафика // Вестник Бурятского государственного университета. Математика, информатика. 2013. № 9. С. 81–86.
- Терновой О.С. Методика и средства раннего выявления и противодействия угрозам нарушения информационной безопасности в результате ddos атак // Известия Алтайского государственного университета. 2013. Т. 2, № 1. С. 123–125. doi: 10.14258/izvasu(2013)1.2-24
- Zhou Z., Gaurav A., Gupta B.B., et al. A statistical approach to secure health care services from DDoS attacks during COVID-19 pandemic // Neural Comput Appl. 2021. P. 1–14. doi: 10.1007/s00521-021-06389-6
- Gavrilis D., Dermatas E. Real-time detection of distributed denial-of-service attacks using RBF networks and statistical features // Comput Networks. 2005. Vol. 48, No. 2. P. 235–245. doi: 10.1016/j.comnet.2004.08.014
- Erhan D., Anarım E. Boğaziçi University distributed denial of service dataset // Data in brief. 2020. Vol. 32. ID 106187. doi: 10.1016/j.dib.2020.106187
Supplementary files
