Аннотации:
В настоящее время существует множество угроз сетевой безопасности. Это особенно актуально
для операторов связи и провайдеров телекоммуникационных услуг, являющихся ключевым звеном инфраструктуры передачи данных для любой компании. Для обеспечения защиты собственной инфраструктуры и облачных сервисов, предоставляемых конечным пользователям, операторам связи приходится применять нетривиальные решения. При этом не последнее место занимает точность определения атак системами безопасности. В рамках настоящего исследования разработан подход и проведено моделирование обнаружения атак на основе анализа цепочек состояний сетевых узлов. Предложенный подход позволяет осуществлять
сопоставление событий, происходящих в сети, с событиями, фиксируемыми системами
обнаружения вторжений. В нашем исследовании мы решаем проблему формализации типичного
профиля атаки в сети провайдеров телекоммуникационных услуг путем построения последовательности переходов состояний узлов сети и времени изменения состояния отдельных
исследуемых устройств. Исследование затрагивает наиболее популярные типы атак. Для формализации правил классификации состояний в исследовании используется алгоритм дерева решений для построения цепочки событий безопасности. В экспериментальной части исследования проведена оценка точности классификации известных типов атак, зафиксированных
в журналах событий безопасности с использованием ROC-анализа. Полученные результаты
позволили оценить эффективность разработанной модели для распознавания сетевых
атак в инфраструктуре провайдеров телекоммуникационных услуг. Экспериментальные результаты показывают достаточно высокую точность определения популярного типа атаки. Это позволит в будущем также сократить время реагирования на инциденты безопасности в большой сети за счет более раннего обнаружения нелегитимного поведения. There are currently many threats to network security. This is especially true for telecom operators
and telecommunication service providers, which are a key link in the data transmission infrastructure
for any company. To ensure the protection of their infrastructure and cloud services provided
to end-users, telecom operators have to use non-trivial solutions. At the same time, the accuracy of defining attacks by security systems is not the least. In the framework of this study, an approach was developed and attack detection was modeled based on the analysis of state chains of network nodes. The proposed approach allows the comparison of events occurring in the network with events recorded
by intrusion detection systems. In our study, we solve the problem of formalizing a typical attack
profile in a network of telecommunication service providers by constructing a sequence of transitions
of states of network nodes and the time of the state change of individual devices under study. The study covers the most popular types of attacks. To formalize the rules for classifying states, the study uses a decision tree algorithm to build a chain of security events. In the experimental part of the study, the accuracy of the classification of known types of attacks recorded in security event logs using ROC analysis was assessed. The results obtained made it possible to evaluate the effectiveness
of the developed model for recognizing network attacks in the infrastructure of telecommunication
service providers. The experimental results show fairly high accuracy in determining the popular type of attack. This will also help in the future to reduce the response time to security incidents in a large network, due to earlier detection of illegitimate behavior.
Описание:
Болодурина Ирина Павловна, д-р техн. наук, профессор, заведующий кафедрой прикладной
математики, Оренбургский государственный университет; Федеральный научный центр биологических
систем и агротехнологий РАН, г. Оренбург; prmat@mail.osu.ru.
Парфёнов Денис Игоревич, канд. техн. наук, заведующий сектором программно-технической поддержки дистанционного обучения, Оренбургский государственный университет; Федеральный научный центр биологических систем и агротехнологий РАН, г. Оренбург; parfenovdi@ mail.ru.
Забродина Любовь Сергеевна, ассистент кафедры прикладной математики, Оренбургский государственный университет, г. Оренбург; zabrodina97@inbox.ru.
Жигалов Артур Юрьевич, ведущий программист, Оренбургский государственный университет,
г. Оренбург; leroy137.artur@gmail.com.
Торчин Вадим Александрович, студент, Оренбургский государственный университет, г. Оренбург; vadim.torchin@gmail.com. I.P. Bolodurina1,2, prmat@mail.osu.ru,
D.I. Parfenov1,2, parfenovdi@mail.ru,
L.S. Zabrodina1, zabrodina97@inbox.ru,
A.Ju. Zhigalov1, leroy137.artur@gmail.com,
V.A. Torchin1, vadim.torchin@gmail.com
1 Orenburg State University, Orenburg, Russian Federation,
2 Federal Research Centre of Biological Systems and Agrotechnologies RAS, Orenburg,
Russian Federation