RU2781822C1 - Система и способ автоматической оценки качества сигнатур сетевого трафика - Google Patents
Система и способ автоматической оценки качества сигнатур сетевого трафика Download PDFInfo
- Publication number
- RU2781822C1 RU2781822C1 RU2021112789A RU2021112789A RU2781822C1 RU 2781822 C1 RU2781822 C1 RU 2781822C1 RU 2021112789 A RU2021112789 A RU 2021112789A RU 2021112789 A RU2021112789 A RU 2021112789A RU 2781822 C1 RU2781822 C1 RU 2781822C1
- Authority
- RU
- Russia
- Prior art keywords
- module
- network traffic
- signatures
- automated
- quality
- Prior art date
Links
- 230000002776 aggregation Effects 0.000 claims abstract description 142
- 238000004220 aggregation Methods 0.000 claims abstract description 142
- 230000000694 effects Effects 0.000 claims abstract description 78
- 238000000034 method Methods 0.000 claims description 18
- 238000011156 evaluation Methods 0.000 claims description 10
- 238000001303 quality assessment method Methods 0.000 claims description 3
- 238000001514 detection method Methods 0.000 abstract description 18
- 239000000126 substance Substances 0.000 abstract 1
- 238000004458 analytical method Methods 0.000 description 12
- 238000007619 statistical method Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 7
- 210000004544 DC2 Anatomy 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 5
- 230000002530 ischemic preconditioning Effects 0.000 description 5
- 230000015572 biosynthetic process Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 4
- 238000005755 formation reaction Methods 0.000 description 4
- 230000002547 anomalous Effects 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 230000000875 corresponding Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006011 modification reaction Methods 0.000 description 1
- 235000010956 sodium stearoyl-2-lactylate Nutrition 0.000 description 1
- 230000003068 static Effects 0.000 description 1
- 238000010972 statistical evaluation Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 235000010384 tocopherol Nutrition 0.000 description 1
- 235000019731 tricalcium phosphate Nutrition 0.000 description 1
Images
Abstract
Изобретение относится к информационной безопасности. Технический результат направлен на повышение точности выявления вредоносной активности в сети. Система автоматической оценки качества сигнатур сетевого трафика, включающая модуль сбора событий, список решающих сигнатур, анализирующий модуль и модуль финальной агрегации, отличается тем, что включает модуль предагрегации, который выполнен с возможностью непрерывной обработки необработанных данных и ресурсоемких вычислений, причем модуль сбора событий подключен к модулю предагрегации, который подключен к анализирующему модулю и/или модулю финальной агрегации, причем анализирующий модуль также подключен к модулю финальной агрегации, а список решающих сигнатур подключен к модулю сбора событий и к модулю финальной агрегации. 2 н. и 18 з.п. ф-лы, 10 ил.
Description
Область техники
[0001] Настоящее изобретение относится к системам и способам автоматической оценки качества сигнатур сетевого трафика. Изобретение является обратной связью систем фильтрации сетевого трафика и производит группировку сетевого трафика по характерным сигнатурам с последующей оценкой доли автоматизированной и неавтоматизированной активности в каждой группе на основании статического анализа сетевого трафика, что позволяет детектировать наличие вредоносной активности в сетевом трафике.
Уровень техники
[0002] Системы оценки качества сигнатур сетевого трафика и детектирования вредоносной активности в сетевом трафике зачастую состоят из нескольких модулей, содержащихся на сервере, таких, как модуль сбора данных, модуль базы данных, модуль идентификаторов сигнатур и модуль агрегации данных. Такие системы являются неавтоматизированными, т.к. в них не предусмотрены модули, способные автоматически генерировать дополнительные сигнатуры на основе проведенного статистического анализа собранных данных о сетевом трафике.
[0003] Известны также автоматизированные, включающие не только вышеперечисленные модули или их аналоги, но и дополнительные модули, отвечающие за статистический анализ собранных данных, генерацию сигнатур и репозицию сигнатур. Эти дополнительные модули позволяют сделать систему автоматизированной и, тем самым, более эффективной в детектировании автоматизированной активности. Такие автоматизированные системы также называют системами с обратной связью.
[0004] В патенте RU2740027C1 (опубл. 30.12.2020; МПК: G06F 21/50; G06F 21/60; H04L 29/06) описано изобретение, относящееся к способу и системе предотвращения вредоносных автоматизированных атак. Технический результат заключается в обеспечении предотвращения вредоносных атак. В способе оценивают пользователя на основании полученного запроса к компьютерной системе о сессии, выполняя сбор числовых и статистических метрик запроса, счет метрик, характеризующих пользователя на основании статистики его общения с ресурсом, определение метрик на основании общей статистики по ресурсу, показывающих отклонение сессии пользователя от медианной и средней сессии, на основании этих данных получают оценку легитимности запроса посредством статистической модели, на основании которой определяют пользователя к одной из категорий легитимного, подозрительного или бота, для легитимного пользователя предоставляют доступ к ресурсу, для бота - блокируют доступ к ресурсу, осуществляют дополнительную проверку в отношении подозрительного пользователя, при этом на основании анализа его поведения предлагают ему задачу с применением криптографических алгоритмов с использованием ассиметричного шифрования, в случае отсутствия верного решения задачи определяют его к категории бота и блокируют доступ к ресурсу, в случае верного решения определяют к категории легитимного пользователя и предоставляют доступ. Первым недостатком данной системы является ее неавтоматизированность. Система и способ детектируют вредоносную активность по предварительно заданным сигнатурам и не предусматривают дополнительную генерацию сигнатур. Также в системе и способе отсутствует этап, на котором производится статистический анализ сетевого трафика, позволяющий более эффективно детектировать вредоносную автоматизированную активность в сетевом трафике. Еще одним недостатком системы и способа является отсутствие предагрегации необработанных данных и наиболее ресурсоемких вычислений и, соответственно, модуля предагрегации данных, реализующего предагрегацию необработанных данных и наиболее ресурсоемких вычислений. В настоящих системе и способе предусмотрен этап, выполняемый модулем предагрегации, на котором непрерывно производится предагрегация необработанных данных и наиболее ресурсоемких вычислений на основе каскада материализованных представлений, что приводит к уменьшению потребности в вычислительных мощностях для финальной агрегации данных на 2-3 порядка в зависимости от типа агрегации.
[0005] В патенте RU2538292C1 (опубл. 27.01.2015; МПК: G06F 21/55) описывается изобретение, относящееся к вычислительной технике. Технический результат заключается в обнаружении компьютерных атак разных видов, комбинированных одновременных атак разных видов и определении видов атак. Способ обнаружения компьютерных атак на сетевую компьютерную систему, включающую, по крайней мере, один компьютер, подключенный к сети и имеющий установленную операционную систему и установленное прикладное программное обеспечение, включающее систему анализа трафика, в котором для анализа получаемых из сети пакетов выбираются определенные параметры и вычисляются их значения, которые затем сравниваются с эталонными значениями, а факт наличия одиночной или комбинированной одновременной атаки и определение видов атак определяется по сочетанию установленных условий для параметров. Для обработки получаемых из сети пакетов данных используется система анализа трафика, позволяющая вычислять параметры трафика в реальном масштабе времени. Первым недостатком данного способа является то, что детектирование вредоносной автоматизированной активности производится по предварительно заданным сигнатурам, соответственно, система является неавтоматизированной и детектирует вредоносную автоматизированную активность менее эффективно, чем автоматизированные аналоги, т.к. может детектировать лишь фиксированную часть вредоносной автоматизированной активности в сетевом трафике, которая попадает под предварительно заданные сигнатуры. Второй недостаток, связанный с первым недостатком, заключается в том, что в способе не предусмотрена генерация новых сигнатур. И последним недостатком является отсутствие предагрегации сырых данных и наиболее ресурсоемких вычислений и, соответственно, модуля предагрегации данных, реализующего предагрегацию сырых данных и наиболее ресурсоемких. В настоящих системе и способе предусмотрен этап, выполняемый модулем предагрегации, на котором непрерывно производится предагрегация сырых данных и наиболее ресурсоемких вычислений на основе каскада материализованных представлений, что приводит к уменьшению потребности в вычислительных мощностях для финальной агрегации данных на 2-3 порядка в зависимости от типа агрегации.
[0006] В патенте RU2722693C1 (опубл. 03.06.2020; МПК: G06F 21/56) предлагается компьютерно-реализуемый способ выявления инфраструктуры вредоносной программы или киберзлоумышленника, в котором: получают запрос, содержащий элемент инфраструктуры и тэг о принадлежности данного элемента вредоносной программе или киберзлоумышленнику; извлекают из базы данных параметр полученного элемента инфраструктуры, дополнительный элемент инфраструктуры, используемый той же вредоносной программой, что и полученный элемент инфраструктуры, и параметр дополнительного элемента инфраструктуры; анализируют полученный элемент инфраструктуры и взаимосвязанный с ним параметр и дополнительный элемент инфраструктуры и взаимосвязанный с ним параметр; на основе анализа выявляют статистические связи между параметром полученного элемента инфраструктуры и параметром дополнительного элемента инфраструктуры; формируют правила поиска новых элементов инфраструктуры на основании выявленной статистической связи и извлекают из базы данных новые элементы инфраструктуры; присваивают новым элементам тэги, соответствующие определенным вредоносным программам или киберзлоумышленникам, и сохраняют результаты в базе данных. Технический результат заключается в повышении эффективности выявления компьютерных атак. Недостатком данных системы и способа является отсутствие предагрегации сырых данных и наиболее ресурсоемких вычислений и, соответственно, модуля предагрегации данных, реализующего предагрегацию сырых данных и наиболее ресурсоемких вычислений. В настоящих системе и способе предусмотрен этап, выполняемый модулем предагрегации, на котором непрерывно производится предагрегация сырых данных и наиболее ресурсоемких вычислений на основе каскада материализованных представлений, что приводит к уменьшению потребности в вычислительных мощностях для финальной агрегации данных на 2-3 порядка в зависимости от типа агрегации.
[0007] В патенте US7565693B2 (опубл. 21.07.2009; МПК: G06F 11/00) описывает изобретение, относящееся к системе обнаружения и предотвращения сетевых вторжений. Система включает в себя: детектирующее устройство на основе сигнатуры; устройство обнаружения аномального поведения; и новое устройство для создания и проверки сигнатуры, расположенное между устройством обнаружения на основе сигнатуры и устройством обнаружения на основе аномального поведения, при этом, если устройство обнаружения на основе аномального поведения обнаруживает пакеты, подозрительные на сетевую атаку, новое устройство создания и проверки сигнатуры собирает и выполняет поиск, обнаруживает подозрительные пакеты для общей информации, а затем создает новую сигнатуру на основе найденной общей информации и в то же время проверяет, применима ли созданная новая сигнатура к устройству обнаружения на основе сигнатуры, а затем регистрирует созданную новую сигнатуру к устройству обнаружения на основе сигнатуры, если определено, что созданная новая сигнатура применима. Недостатком данных системы и способа присутствует этап детектирования автоматизированной активности на основе выявления аномального поведения в трафике, выполняемый соответствующим модулем. Он позволяет системе обнаружения и предотвращения вторжений предварительно идентифицировать информацию о нормальном поведении обычного пользователя и отслеживать аномальные сетевые операции для поиска сетевых вторжений и т.п. в случае, когда аномальная сетевая работа противоречит нормальному поведению. генерируется на основе информации о нормальном поведении. Однако метод обнаружения, основанный на аномальном поведении, имеет недостаток в том, что нормальный пользователь ошибочно определяется как вторжение в сеть. Кроме того, метод обнаружения на основе аномального поведения имеет недостаток в том, что, поскольку для обнаружения вторжения в сеть требуется так много времени, в отличие от метода обнаружения на основе сигнатур, сетевое вторжение не может быть защищено. В исследуемом способе при помощи статистического анализа рассчитываются граничные значения характерной доли трафика для каждой группы сигнатур. Каждая группа сигнатур может встречаться во множестве пар подсеть-сервис. В способе рассчитывается доля трафика в каждой такой паре для каждой группы, 25-ый и 75-ый перцентили. Эти данные позволяют рассчитывать ожидаемую долю трафика каждой группы. А далее сравнивать подозрительную активность со статистически найденной средней пользовательской активностью. Этот подход позволяет более точно и быстро детектировать новые автоматизированные атаки, которые до этого не улавливались системой и способом, т.к. отсутствует привязка к предыдущим атакам. Вторым недостатком данных системы и способа является отсутствие предагрегации необработанных данных и наиболее ресурсоемких вычислений и, соотсветсвенно, модуля предагрегации данных, реализующего предагрегацию необработанных данных и наиболее ресурсоемких вычислений. В настоящих системе и способе предусмотрен этап, выполняемый модулем предагрегации, на котором непрерывно производится предагрегация необработанных данных и наиболее ресурсоемких вычислений на основе каскада материализованных представлений, что приводит к уменьшению потребности в вычислительных мощностях для финальной агрегации данных на 2-3 порядка в зависимости от типа агрегации.
[0008] Наиболее близким аналогом является патент RU2634209C1 (опубл. 24.10.2017; МПК: G06F 21/35), в котором описано изобретение, относящееся к области обнаружения компьютерных атак. Техническим результатом является повышение эффективности выявления компьютерных атак. Способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью, выполняемый на сервере, включает, по крайней мере, следующие шаги: получают, по крайней мере, одно событие из базы данных событий, сформированной данными, полученными от, по крайней мере, одного сенсора; анализируют полученное, по крайней мере, одно событие на принадлежность к классу взаимодействия с центрами управления вредоносных программ; извлекают из, по крайней мере, одного вышеупомянутого события, относящегося к классу взаимодействия с центрами управления вредоносных программ, по крайней мере, один признак, используемый для формирования решающих правил; формируют решающие правила с использованием, по крайней мере, одного вышеупомянутого извлеченного признака; сохраняют сформированные решающие правила и предоставляют возможность получения обновления решающих правил для, по крайней мере, одного сенсора; сенсоры циклично проверяют доступность обновлений на центральном узле и при наличии обновлений получают их для использования, при этом в случае получения обновлений на сенсорах срабатывает триггер, осуществляющий перезагрузку решающих правил. Отличием и недостатком данных системы и способа является отсутствие предагрегации необработанных данных и наиболее ресурсоемких вычислений и, соответственно, модуля предагрегации данных, реализующего предагрегацию необработанных данных и наиболее ресурсоемких вычислений. В настоящих системе и способе предусмотрен этап, выполняемый модулем предагрегации, на котором непрерывно производится предагрегация необработанных данных и наиболее ресурсоемких вычислений на основе каскада материализованных представлений, что приводит к уменьшению потребности в вычислительных мощностях для финальной агрегации данных на 2-3 порядка в зависимости от типа агрегации.
Сущность изобретения
[0009] Задачей настоящего изобретения является создание и разработка системы и способа автоматической оценки качества сигнатур сетевого трафика, обеспечивающей высокоэффективное детектирование автоматизированной активности в сетевом трафике и уменьшение потребности в вычислительных мощностях для финальной агрегации данных.
[0010] Указанная задача достигается благодаря такому техническому результату, как высокая эффективность детектирования автоматизированной активности, возможность обратной связи и обеспечение уменьшения потребности в вычислительных мощностях для финальной агрегации данных. Технический результат достигается в том числе, но не ограничиваясь, благодаря:
• использованию статистического анализа для автоматизации системы;
• использованию статистического анализа для детектирования наличия вредоносной автоматизированной активности в сети;
• использованию статистического анализа для формирования и обновления решающих сигнатур;
• использованию конвейера предагрегации необработанных данных и наиболее ресурсоемких вычислений;
• наличию этапа финальной агрегации данных с группировкой и оценкой пропорциональности автоматизированной и неавтоматизированной активности.
[0011] Более полно, технический результат достигается системой автоматической оценки качества сигнатур сетевого трафика, включающей модуль сбора событий, список решающих сигнатур, анализирующий модуль и модуль финальной агрегации, и отличающейся тем, что включает модуль предагрегации, который выполнен с возможностью непрерывной обработки необработанных данных и наиболее ресурсоемких вычислений, причем модуль сбора событий подключен к модулю предагрегации, который подключён к анализирующему модулю и/или модулю финальной агрегации, причем анализирующий модуль также подключен к модулю финальной агрегации, а список решающих сигнатур подключен к модулю сбора событий и к модулю финальной агрегации.
[0012] При этом модуль сбора событий необходим для сбора событий в сетевом трафике и их группировки по сигнатурам. Список решающих сигнатур необходим для хранения решающих сигнатур, по которым производится детектирование автоматизированной активности в сетевом трафике. Анализирующий модуль необходим для вычисления характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, а также формирования граничных значений и решающих сигнатур с применением методов статистического анализа. Модуль финальной агрегации необходим для оценки качества трафика для каждой группы параметров, например, подсеть-источник, сервис-приемник, TCP/IP-сигнатура, SSL/TLS-сигнатура, HTTP-сигнатура. Модуль предагрегации данных необходим для формирования непрерывного конвейера предагрегации необработанных данных и наиболее ресурсоемких вычислений, что значительно увеличивает быстродейственность системы, а также уменьшает потребности в вычислительных мощностях для финальной агрегации данных.
[0013] Дополнительно модуль сбора событий может быть выполнен с возможностью сбора событий в сетевом трафике, отправленном с по крайней мере одного компьютера, компьютерной системы и/или сервера, выполненных с возможностью подключения к сети.
[0014] Модуль сбора событий также может дополнительно включать модуль группировки для группировки событий по набору сигнатур.
[0015] Анализирующий модуль может дополнительно включать в себя список граничных значений и модуль репозитория граничных значений, выполненный с возможностью автоматического обновления списка граничных значений на основе непрерывно поступающих новых данных.
[0016] Также анализирующий модуль может дополнительно включать модуль оценки, который оценивает наличие статистических выбросов. Это позволяет более точно определять граничные значения для всех событий с учетом погрешностей вычислений.
[0017] Модуль финальной агрегации может включать в себя модуль репозитория сигнатур, выполненный с возможностью обновления списка решающих сигнатур. Это обеспечивает возможность более точного определения автоматизированной вредоносной активности в сети, т.к. происходит статистическая оценка неизвестных и формально-легитимных сигнатур, решающих на основе постоянно обновляющихся данных.
[0018] Также заявленный технический результат достигается способом автоматической оценки качества сигнатур сетевого трафика, реализованным программно и циклично на сервере, по которому собирают события в сетевом трафике при помощи модуля сбора событий, производят предагрегацию необработанных данных и наиболее ресурсоемких вычислений при помощи модуля предагрегации, рассчитывают, на основании собранных событий, граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике для каждого из событий при помощи анализирующего модуля и производят финальную агрегацию всех событий, собранных в сетевом трафике, при помощи модуля финальной агрегации.
[0019] При этом этап, на котором собирают события в сетевом трафике необходим для формирования базы данных событий сетевого трафика, среди которых будут проверять наличие автоматизированной вредоносной активности. Этап, на котором производят предагрегацию необработанных данных и наиболее ресурсоемких вычислений необходим для увеличения быстродейственности способа, а также уменьшения потребности в вычислительных мощностях для этапа финальной агрегации данных. Этап, на котором рассчитывают граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике необходим для формирования граничных значений и определения доли вредоносной автоматизированной активности в сетевом трафике с использованием методов статистического анализа. Этап, на котором производится финальная агрегация всех событий, необходим для формирования решающих сигнатур.
[0020] Дополнительно после этапа, на котором собирают события в сетевом трафике, может производиться этап, на котором группируют события по сигнатурам. Это позволяет удобнее сравнивать сигнатуры со списком решающих сигнатур и формировать новые решающие сигнатуры.
[0021] Дополнительно после этапа, на котором рассчитывают, на основании собранных событий, граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, могут производить автоматическое обновление списка граничных значений для каждого из событий при помощи модуля репозитория граничных значений. Это делает систему более эффективной в детектировании и определении вредоносной автоматизированной активности.
[0022] Дополнительно после этапа, на котором рассчитывают на основании собранных событий, граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, могут производить оценку наличия статистических выбросов для каждого из событий при помощи модуля оценки. Это позволяет более точно определять граничные значения для каждого из событий с учетом погрешностей вычислений.
[0023] На этапе, на котором производят предагрегацию необработанных данных при помощи модуля предагрегации, могут дополнительно записывать необработанные данные и производить ресурсоемкие вычисления с записанными необработанными данными, что увеличивает быстродейственность способа, а также уменьшает потребности в вычислительных мощностях для этапа финальной агрегации данных.
[0024] На этапе, на котором производят предагрегацию необработанных данных, после этапа, на котором производят ресурсоемкие вычисления с записанными необработанными данными могут дополнительно производить при помощи модуля предагрегации по крайней мере отправку предобработанных данных в анализирующих модуль и/или отправку предобработанных данных в модуль финальной агрегации, что увеличивает быстродейственность способа, а также уменьшает потребности в вычислительных мощностях для этапа финальной агрегации данных и этапа статистического анализа.
[0025] Дополнительно на этапе, на котором производят финальную агрегацию всех событий, могут производить сопоставление рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике. Это позволяет оценить наличие потенциальной вредоносной активности в сетевом трафике.
[0026] Дополнительно на этапе, на котором производят финальную агрегацию всех событий, могут производить сопоставление рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике с граничными значениями характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, рассчитанными на по крайней мере одном предыдущем цикле. Это позволяет сравнить новые полученные данные с данными, полученными на предыдущих циклах, что, в свою очередь,
дает более точную информацию о наличии или отсутствии вредоносной активности в сетевом трафике.
[0027] Дополнительно на этапе, на котором производят финальную агрегацию всех событий, могут производить оценку, на основании рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, отношения автоматизированной и неавтоматизированной активности в сетевом трафике. Оценка позволяет понять какова доля автоматизированной активности в сетевом трафике и проверить не выходит ли она за рамки нормы, что также позволяет отследить наличие или отсутствие вредоносной активности в сетевом трафике.
[0028] Дополнительно на этапе, на котором производят финальную агрегацию всех событий, могут производить формирование решающих сигнатур. Это позволяет обозначить найденную вредоносную сетевую активность.
[0029] Дополнительно на этапе, на котором производят финальную агрегацию всех событий, могут производить сохранение сформированных решающих сигнатур в список решающих сигнатур, что позволяет запомнить найденную вредоносную сетевую активность.
[0030] Дополнительно на этапе, на котором производят финальную агрегацию всех событий, могут производить обновление списка решающих сигнатур сформированными решающими сигнатурами при помощи модуля репозитория сигнатур, включающегося в модуль финальной агрегации. Это позволяет автоматически удалять и сохранять новые сформированные решающие сигнатуры, которые впоследствии будут полезны для детектирования вредоносной сетевой активности.
[0031] Также процесс финальной агрегации может поэтапно осуществляться следующим образом. Сначала могут производить сопоставление рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, затем сопоставление рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике с граничными значениями характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, рассчитанными на по крайней мере одном предыдущем цикле. После чего может производиться оценка, на основании рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, отношения автоматизированной и неавтоматизированной активности в сетевом трафике. На основании этой оценки могу формировать решающие сигнатуры, сохранять решающие сигнатуры в список решающих сигнатур и/или обновлять список решающих сигнатур сформированными решающими сигнатурами при помощи модуля репозитория сигнатур.
[0032] Дополнительно любой из вышеописанных этапов может производиться отдельно для каждой из сформированных групп событий по сигнатурам для удобства сравнения сигнатур со списком решающих сигнатур и формирования новых решающих сигнатур.
Описание чертежей
[0033] Объект притязаний по настоящей заявке описан по пунктам и четко заявлен в формуле изобретения. Упомянутые выше задачи, признаки и преимущества изобретения очевидны и нижеследующего подробного описания, в сочетании с прилагаемыми чертежами, на которых показано:
[0034] На Фиг. 1А представлен схематичный вид системы автоматической оценки качества сигнатур сетевого трафика.
[0035] На Фиг. 1Б представлен схематичный вид системы автоматической оценки качества сигнатур сетевого трафика с дополнительными элементами.
[0036] На Фиг. 2А представлена блок-схема, описывающая один из вариантов реализации способа автоматической оценки качества сигнатур сетевого трафика.
[0037] На Фиг. 2Б представлена блок-схема, описывающая один из вариантов реализации способа автоматической оценки качества сигнатур сетевого трафика с дополнительным этапом группировки событий.
[0038] На Фиг. 2В представлена блок-схема, описывающая один из вариантов реализации способа автоматической оценки качества сигнатур сетевого трафика с дополнительным этапом автоматического обновления списка граничных значений.
[0039] На Фиг. 2Г представлена блок-схема, описывающая один из вариантов реализации способа автоматической оценки качества сигнатур сетевого трафика с дополнительным этапом оценки наличия статистических выбросов.
[0040] На Фиг. 2Д представлена блок-схема, описывающая один из вариантов реализации способа автоматической оценки качества сигнатур сетевого трафика с вариантом процесса предагрегации необработанных данных.
[0041] На Фиг. 2Е представлена блок-схема, описывающая один из вариантов реализации способа автоматической оценки качества сигнатур сетевого трафика с дополнительным вариантом последовательности обработки данных.
[0042] На Фиг. 2Ё представлена блок-схема, описывающая один из вариантов реализации способа автоматической оценки качества сигнатур сетевого трафика с вариантами реализации процесса финальной агрегации.
[0043] На Фиг. 2Ж представлена блок-схема, описывающая один из вариантов реализации способа автоматической оценки качества сигнатур сетевого трафика, объединяющий все вышеупомянутые варианты.
Подробное описание
[0044] В приведенном ниже подробном описании реализации изобретения приведены многочисленные детали реализации, призванные обеспечить отчетливое понимание настоящего изобретения. Однако, квалифицированному в предметной области специалисту очевидно, каким образом можно использовать настоящее изобретение, как с данными деталями реализации, так и без них. В других случаях, хорошо известные методы, процедуры и компоненты не описаны подробно, чтобы не затруднять излишнее понимание особенностей настоящего изобретения.
[0045] Кроме того, из приведенного изложения ясно, что изобретение не ограничивается приведенной реализацией. Многочисленные возможные модификации, изменения, вариации и замены, сохраняющие суть и форму настоящего изобретения, очевидны для квалифицированных в предметной области специалистов.
[0046] На Фиг. 1А представлен схематичный вид системы автоматической оценки качества сетевого трафика. Система автоматической оценки качества сигнатур сетевого трафика включает в себя модуль сбора событий 100, модуль предагрегации 200, анализирующий модуль 300, модуль финальной агрегации 400 и список решающих сигнатур 500. Модуль сбора событий 100 подключен к модулю предагрегации 200, который, в свою очередь подключен к анализирующему модулю 300 и/или модулю финальной агрегации 400. Анализирующий модуль 300 также подключен к модулю финальной агрегации 400, а модуль финальной агрегации 400 подключен к списку решающих сигнатур 500. Список решающих сигнатур подключен к модулю сбора событий 100. При этом, модуль предагрегации данных 200 выполнен с возможностью непрерывной обработки необработанных данных и наиболее ресурсоемких вычислений.
[0047] Система работает следующим образом. Собирают события при помощи модуля сбора событий 100. Далее, собранные события отправляют в модуль предагрегации 200 для выполнения процесса предагрегации необработанных данных и наиболее ресурсоемких вычислений. После этого, предобработанные данные отправляют в анализирующий модуль 300 и/или в модуль финальной агрегации 400. В случае, если предобработанные данные были отправлены в анализирующий модуль 300, в анализирующем модуле 300 с ними производится расчет граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике. А далее, предобработанные ресурсоемкие данные вместе с рассчитанными граничными значениями отправляют в модуль финальной агрегации 400, который, в свою очередь, производит с ними процесс финальной агрегации данных. В случае, если модуль предагрегации 200 отправил предобработанные данные сразу на модуль финальной агрегации 400, то с ними производят процесс финальной агрегации без предварительного расчета граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике. После того, как предобработанные данные проходят процесс финальной агрегации, формируют решающие сигнатуры и сохраняют их в список решающих сигнатур 500, который далее используется в процессе сбора событий модулем сбора событий 100.
[0048] Система автоматической оценки качества сигнатур сетевого трафика также может включать в себя дополнительные подмодули, ранее и далее именуемые модулями, показанные на Фиг. 1Б.
[0049] Модуль сбора событий 100 системы автоматической оценки качества сигнатур сетевого трафика может дополнительно быть подключен к удаленному устройству 600 и быть выполнен с возможностью сбора событий в сетевом трафике с по крайней мере удаленного устройства 600. В качестве удаленного устройства 600 может использоваться компьютер, компьютерная система и/или сервер, выполненные с возможностью подключения к сети
[0050] Также модуль сбора событий 100 может дополнительно включать в себя модуль группировки 101, предназначенный для группировки собранных событий по сигнатурам.
[0051] Анализирующий модуль 300 может дополнительно включать в себя список граничных значений 301 и модуль репозитория граничных значений 302. При этом список граничных значений предназначен для хранения рассчитанных анализирующим модулем 300 граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике. Модуль репозитория граничных значений 302 предназначен для обновления списка граничных значений 301 в случае, если анализирующим модулем 300 были рассчитаны новые граничные значений характерной доли автоматизированной и неавторизированной активности в сетевом трафике.
[0052] Также анализирующий модуль 300 может дополнительно включать в себя модуль оценки 303, предназначенный для оценки наличия статистических выбросов.
[0053] Модуль финальной агрегации 400 может дополнительно включать в себя модуль репозитория сигнатур 401, выполненный с возможностью обновления списка решающих сигнатур 500 в случае, если на этапе финальной агрегации были сформированы новые решающие сигнатуры.
[0054] Вышеописанные дополнительные модули и списки, включенные в какой-либо из основных модулей и списков, могут быть интегрированы в систему как все вместе, так и по отдельности, в зависимости от нужд системы. Ниже будет описан один из образов работы системы, который включает каждый из вышеописанных дополнительных модулей и списков, однако, очевидно, что некоторые из нижеописанных моментов могут быть заменены и/или исключены из системы без существенных потерь для технического результата.
[0055] Система автоматической оценки качества сигнатур сетевого трафика, согласно схеме на Фиг. 1Б, работает следующим образом. При помощи модуля сбора событий 100 собирают события в сетевом трафике с удаленного устройства 600. Группируют собранные события по сигнатурам при помощи модуля группировки 101, включенного в модуль сбора событий 100. Сгруппированные по сигнатурам события отправляют в модуль предагрегации 200, где происходит процесс предагрегации необработанных данных и наиболее ресурсоемких вычислений по группам сигнатур. После этого, предобработанные данные отправляют в анализирующий модуль 300 и/или в модуль финальной агрегации 400. В случае, если предобработанные данные были отправлены в анализирующий модуль 300, в анализирующем модуле 300 с ними производится расчет граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике. В случае, если граничные значения были рассчитаны первый раз, рассчитанные граничные значения сохраняют в список граничных значений 301. А в случае, если были рассчитаны новые граничные значения, отличные от тех, которые уже хранятся в списке граничных значений 301, то обновляют список граничных значений 301 новыми граничными значениями при помощи модуля репозитория граничных значений 302. Также производится оценка статистических выбросов при помощи модуля оценки 303, включенном в анализирующий модуль 300. А далее, предобработанные данные вместе с рассчитанными граничными значениями отправляют в модуль финальной агрегации 400, который, в свою очередь, производит с ними процесс финальной агрегации данных. В случае, если модуль предагрегации 200 отправил предобработанные данные сразу на модуль финальной агрегации 400, то с ними производят процесс финальной агрегации без предварительного расчета граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике. После того, как предобработанные данные проходят процесс финальной агрегации, формируют решающие сигнатуры и сохраняют их в список решающих сигнатур 500, который далее используется в процессе сбора событий модулем сбора событий 100. В случае, если в списке решающих сигнатур 500 уже хранились ранее сформированные решающие сигнатуры, обновляют список решающих сигнатур 500 при помощи модуля репозитория решающих сигнатур 401, включенном в модуль финальной агрегации 400.
[0056] На Фиг. 2А изображена блок-схема, иллюстрирующая способ автоматической оценки качества сигнатур сетевого трафика. Согласно предложенному способу, сначала собирают события в сетевом трафике при помощи модуля сбора событий 100. Далее, с собранными событиями производят предагрегацию необработанных данных при помощи модуля предагрегации 200. После чего, рассчитывают граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, на основании собранных событий, при помощи анализирующего модуля 300. Затем производят финальную агрегацию всех событий, собранных в сетевом трафике, при помощи модуля финальной агрегации 400. Вышеописанная последовательность производится программно и циклично.
[0057] На Фиг. 2Б изображена блок-схема, иллюстрирующая способ автоматической оценки качества сигнатур сетевого трафика, с дополнительным этапом, на котором после этапа, на котором собирают события в сетевом трафике при помощи модуля сбора событий 100, группируют события по сигнатурам при помощи модуля группировки 101, включающегося в модуль сбора событий 100.
[0058] На Фиг. 2В изображена блок-схема, иллюстрирующая способ автоматической оценки качества сигнатур сетевого трафика, с дополнительным этапом, на котором после этапа, на котором рассчитывают, на основании собранных событий, граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, производят автоматическое обновление списка граничных значений 301 при помощи модуля репозитория граничных значений 302.
[0059] На Фиг. 2Г изображена блок-схема, иллюстрирующая способ автоматической оценки качества сигнатур сетевого трафика, с дополнительным этапом, на котором после этапа, на котором рассчитывают на основании собранных событий, граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, оценивают наличие статистических выбросов при помощи модуля оценки 303, включающегося в анализирующий модуль 300.
[0060] Этап, на котором производится предагрегация данных может быть реализована многими способами, но предпочтительным является способ, изображенный на Фиг. 2Д. Здесь изображена блок-схема, иллюстрирующая способ автоматической оценки качества сигнатур сетевого трафика, с возможным вариантом реализации этапа, на котором производится предагрегация необработанных данных, по которому записывают необработанные данные, собранные из событий, а затем производят ресурсоемкие вычисления с записанными необработанными данными, собранными из событий. Этот этап может производится также без записи необработанных данных. Необработанные данные перед осуществлением ресурсоемких вычислений с ними могут храниться на удаленном компьютере, мониторинг сетевого трафика которого производится в это время, могут храниться во временной памяти, в сторонней базе данных и т.д., т.е. в любом месте, откуда модуль предагрегации сможет производить с ними ресурсоемкие вычисления.
[0061] На Фиг. 2Е изображена блок-схема, иллюстрирующая способ автоматической оценки качества сигнатур сетевого трафика, с дополнительным этапом, на котором после этапа, на котором производят ресурсоемкие вычисления с записанными необработанными данными производят при помощи модуля предагрегации 200, отправляют предобработанные данные в анализирующий модуль 300 или в модуль финальной агрегации 400.
[0062] На Фиг. 2Ё изображена блок-схема, иллюстрирующая способ автоматической оценки качества сигнатур сетевого трафика, с возможными вариантами реализации этапа, на котором производится финальная агрегация данных. Согласно первому из вариантов, на этапе финальной агрегации сопоставляют рассчитанные граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике при помощи модуля финальной агрегации 400. Согласно второму варианту реализации, на этапе финальной агрегации сопоставляют рассчитанные граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике с граничными значениями характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, рассчитанными на по крайней мере одном предыдущем цикле. Согласно третьему варианту реализации, на этапе финальной агрегации оценивают, на основании рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, отношение автоматизированной и неавтоматизированной активности в сетевом трафике. Согласно четвертому варианту реализации, на этапе финальной агрегации формируют решающие сигнатуры, сохраняют сформированные решающие сигнатуры в список решающих сигнатур 500 или обновляют список решающих сигнатур 500 сформированными решающими сигнатурами при помощи модуля репозитория сигнатур 401. Вышеописанные варианты реализации этапа финальной агрегации могут выполняться как отдельно, так и в любой комбинации.
[0063] На Фиг. 2Ж изображена блок-схема, иллюстрирующая способ автоматической оценки качества сигнатур сетевого трафика, объединяющий все вышеописанные этапы, как основные, так и дополнительные.
[0064] Также каждый из этапов способа автоматической оценки качества сигнатур сетевого трафика, следующий после этапа, на котором группируют собранные события по сигнатурам при помощи модуля группировки 101, включающегося в модуль сбора событий 100, может производится отдельно для каждой из групп сигнатур.
[0065] В материалах настоящей заявки для раскрытия изобретения используются такие термины, как: «оценка качества сигнатур сетевого трафика», подразумевающая под собой оценку долей автоматизированной и неавтоматизированной активности в сетевом трафике,
[0066] «автоматизированная активность», подразумевающая под собой трафик, созданные «нечеловеческими средствами», то есть при помощи автоматизированного сценария, программного обеспечения или алгоритма,
[0067] «неавтоматизированная активность», подразумевающая под собой активность, производимую пользователем, т.е. человеком,
[0068] «характерные доли», подразумевающие под собой «нормальные» доли трафика, не вызванные вредоносной или запрещенной ботовой активностью,
[0069] «граничные значения», подразумевающие под собой границы диапазона доли автоматизированной активности, которые не будут восприняты как вредоносная активность, и
[0070] «статистические выбросы», подразумевающие результат сбора событий, выделяющийся из общей выборки.
[0071] В настоящих материалах заявки представлено предпочтительное раскрытие осуществления заявленного технического решения, которое не должно использоваться как ограничивающее иные, частные воплощения его реализации, которые не выходят за рамки запрашиваемого объема правовой охраны и являются очевидными для специалистов в соответствующей области техники.
Claims (33)
1. Система автоматической оценки качества сигнатур сетевого трафика, включающая модуль сбора событий, список решающих сигнатур, анализирующий модуль и модуль финальной агрегации, отличающаяся тем, что включает модуль предагрегации, который выполнен с возможностью непрерывной обработки необработанных данных и ресурсоемких вычислений, причем модуль сбора событий подключен к модулю предагрегации, который подключен к анализирующему модулю и/или модулю финальной агрегации, причем анализирующий модуль также подключен к модулю финальной агрегации, а список решающих сигнатур подключен к модулю сбора событий и к модулю финальной агрегации.
2. Система автоматической оценки качества сигнатур сетевого трафика по п. 1, отличающаяся тем, что модуль сбора событий выполнен с возможностью сбора событий в сетевом трафике с по крайней мере одного компьютера, компьютерной системы и/или сервера, выполненных с возможностью подключения к сети.
3. Система автоматической оценки качества сигнатур сетевого трафика по пп. 1 и 2, отличающаяся тем, что модуль сбора событий включает модуль группировки.
4. Система автоматической оценки качества сигнатур сетевого трафика по п. 1, отличающаяся тем, что анализирующий модуль включает список граничных значений и модуль репозитория граничных значений, который выполнен с возможностью обновления списка граничных значений.
5. Система автоматической оценки качества сигнатур сетевого трафика по п. 1, отличающаяся тем, что анализирующий модуль включает модуль оценки, который выполнен с возможностью оценки наличия статистических выбросов.
6. Система автоматической оценки качества сигнатур сетевого трафика по п. 1, отличающаяся тем, что модуль финальной агрегации включает модуль репозитория сигнатур, выполненный с возможностью обновления списка решающих сигнатур.
7. Способ автоматической оценки качества сигнатур сетевого трафика, по которому циклично:
- собирают события в сетевом трафике при помощи модуля сбора событий;
- производят предагрегацию необработанных данных при помощи модуля предагрегации;
- рассчитывают, на основании собранных событий, граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике при помощи анализирующего модуля;
- производят финальную агрегацию всех событий, собранных в сетевом трафике, при помощи модуля финальной агрегации.
8. Способ автоматической оценки качества сигнатур сетевого трафика по п. 7, отличающийся тем, что после этапа, на котором собирают события в сетевом трафике при помощи модуля сбора событий, группируют события по сигнатурам при помощи модуля группировки, включающегося в модуль сбора событий.
9. Способ автоматической оценки качества сигнатур сетевого трафика по пп. 7 и 8, отличающийся тем, что после этапа, на котором рассчитывают, на основании собранных событий, граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, производят автоматическое обновление списка граничных значений при помощи модуля репозитория граничных значений.
10. Способ автоматической оценки качества сигнатур сетевого трафика по пп. 7 и 8, отличающийся тем, что после этапа, на котором рассчитывают, на основании собранных событий, граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, оценивают наличие статистических выбросов при помощи модуля оценки.
11. Способ автоматической оценки качества сигнатур сетевого трафика по п. 7, отличающийся тем, что этап, на котором производят предагрегацию необработанных данных при помощи модуля предагрегации, осуществляют следующим образом:
- записывают необработанные ресурсоемкие данные, собранные из событий;
- производят ресурсоемкие вычисления с записанными необработанными данными, собранными из событий.
12. Способ автоматической оценки качества сигнатур сетевого трафика по пп. 7 и 10, отличающийся тем, что на этапе, на котором производят предагрегацию необработанных данных, после этапа, на котором производят ресурсоемкие вычисления с записанными необработанными данными, производят при помощи модуля предагрегации по крайней мере одно из нижеперечисленного:
- отправляют предобработанные данные в анализирующий модуль;
- отправляют предобработанные данные в модуль финальной агрегации.
13. Способ автоматической оценки качества сигнатур сетевого трафика по п. 7, отличающийся тем, что финальную агрегацию всех событий при помощи модуля финальной агрегации осуществляют путем сопоставления рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике.
14. Способ автоматической оценки качества сигнатур сетевого трафика по п. 7, отличающийся тем, что финальную агрегацию всех событий при помощи модуля финальной агрегации осуществляют путем сопоставления рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике с граничными значениями характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, рассчитанными на по крайней мере одном предыдущем цикле.
15. Способ автоматической оценки качества сигнатур сетевого трафика по п. 7, отличающийся тем, что финальную агрегацию всех событий при помощи модуля финальной агрегации осуществляют путем оценки, на основании рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, отношения автоматизированной и неавтоматизированной активности в сетевом трафике.
16. Способ автоматической оценки качества сигнатур сетевого трафика по пп. 14 и 15, отличающийся тем, что финальную агрегацию всех событий при помощи модуля финальной агрегации решающие сигнатуры формируют на основании произведенной оценки.
17. Способ автоматической оценки качества сигнатур сетевого трафика по п. 16, отличающийся тем, что для финальной агрегации всех событий при помощи модуля финальной агрегации сохраняют сформированные решающие сигнатуры в список решающих сигнатур.
18. Способ автоматической оценки качества сигнатур сетевого трафика по пп. 16 и 17, отличающийся тем, что для финальной агрегации всех событий при помощи модуля финальной агрегации обновляют список решающих сигнатур сформированными решающими сигнатурами при помощи модуля репозитория сигнатур, включающегося в модуль финальной агрегации.
19. Способ автоматической оценки качества сигнатур сетевого трафика по п. 7, отличающийся тем, что финальную агрегацию всех событий при помощи модуля финальной агрегации осуществляют следующим образом:
- сопоставляют рассчитанные граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике с граничными значениями характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, рассчитанными на по крайней мере одном предыдущем цикле;
- оценивают, на основании рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, отношение автоматизированной и неавтоматизированной активности в сетевом трафике;
- формируют, на основании произведенной оценки, решающие сигнатуры;
- сохраняют сформированные решающие сигнатуры в список решающих сигнатур;
- обновляют список решающих сигнатур сформированными решающими сигнатурами при помощи модуля репозитория сигнатур, включающегося в модуль финальной агрегации.
20. Способ автоматической оценки качества сигнатур сетевого трафика по любому из пп. 7-19, отличающийся тем, что каждый из этапов производят отдельно по каждой из групп событий, сформированной при помощи модуля группировки, по сигнатурам.
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202280031796.XA CN117897702A (zh) | 2021-04-30 | 2022-04-26 | 用于自动评估网络流量签名的质量的系统和方法 |
| EP22796264.4A EP4332804A2 (en) | 2021-04-30 | 2022-04-26 | System for automatically evaluating the quality of network traffic signatures |
| US18/558,039 US20240250974A1 (en) | 2021-04-30 | 2022-04-26 | System for automatically evaluating the quality of network traffic signatures |
| PCT/RU2022/050138 WO2022231480A2 (ru) | 2021-04-30 | 2022-04-26 | Система и способ автоматической оценки качества сигнатур сетевого трафика |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU2781822C1 true RU2781822C1 (ru) | 2022-10-18 |
Family
ID=
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7565693B2 (en) * | 2004-10-19 | 2009-07-21 | Electronics And Telecommunications Research Institute | Network intrusion detection and prevention system and method thereof |
| RU2538292C1 (ru) * | 2013-07-24 | 2015-01-10 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Способ обнаружения компьютерных атак на сетевую компьютерную систему |
| RU2634209C1 (ru) * | 2016-09-19 | 2017-10-24 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью |
| RU2722693C1 (ru) * | 2020-01-27 | 2020-06-03 | Общество с ограниченной ответственностью «Группа АйБи ТДС» | Способ и система выявления инфраструктуры вредоносной программы или киберзлоумышленника |
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7565693B2 (en) * | 2004-10-19 | 2009-07-21 | Electronics And Telecommunications Research Institute | Network intrusion detection and prevention system and method thereof |
| RU2538292C1 (ru) * | 2013-07-24 | 2015-01-10 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Способ обнаружения компьютерных атак на сетевую компьютерную систему |
| RU2634209C1 (ru) * | 2016-09-19 | 2017-10-24 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью |
| RU2722693C1 (ru) * | 2020-01-27 | 2020-06-03 | Общество с ограниченной ответственностью «Группа АйБи ТДС» | Способ и система выявления инфраструктуры вредоносной программы или киберзлоумышленника |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11178165B2 (en) | Method for protecting IoT devices from intrusions by performing statistical analysis | |
| US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
| JP6201614B2 (ja) | ログ分析装置、方法およびプログラム | |
| JP6703613B2 (ja) | データストリームにおける異常検出 | |
| US9386030B2 (en) | System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks | |
| CN106341414B (zh) | 一种基于贝叶斯网络的多步攻击安全态势评估方法 | |
| US7962611B2 (en) | Methods, systems and computer program products for detecting flow-level network traffic anomalies via abstraction levels | |
| Rahal et al. | A distributed architecture for DDoS prediction and bot detection | |
| JP6574332B2 (ja) | データ分析システム | |
| JP2018533897A5 (ru) | ||
| CN114978568A (zh) | 使用机器学习进行数据中心管理 | |
| JP2010539574A (ja) | 侵入検知の方法およびシステム | |
| RU2757597C1 (ru) | Системы и способы сообщения об инцидентах компьютерной безопасности | |
| EA031992B1 (ru) | Система анализа записей | |
| Angelini et al. | An attack graph-based on-line multi-step attack detector | |
| US20230087309A1 (en) | Cyberattack identification in a network environment | |
| CN113645215B (zh) | 异常网络流量数据的检测方法、装置、设备及存储介质 | |
| RU2781822C1 (ru) | Система и способ автоматической оценки качества сигнатур сетевого трафика | |
| KR20190027122A (ko) | 네트워크 공격 패턴 분석 및 방법 | |
| KR102038926B1 (ko) | 공격자 선정 장치 및 공격자 선정 장치의 동작 방법 | |
| WO2022231480A2 (ru) | Система и способ автоматической оценки качества сигнатур сетевого трафика | |
| Miani et al. | A practical experience on evaluating intrusion prevention system event data as indicators of security issues | |
| CN115801307A (zh) | 一种利用服务器日志进行端口扫描检测的方法和系统 | |
| CN116155519A (zh) | 威胁告警信息处理方法、装置、计算机设备和存储介质 | |
| AU2021101364A4 (en) | An artificial intelligence based network security system |