СИСТЕМА И СПОСОБ АВТОМАТИЧЕСКОЙ ОЦЕНКИ КАЧЕСТВА СИГНАТУР СЕТЕВОГО ТРАФИКА Российский патент 2022 года по МПК G06F21/55 

Описание патента на изобретение RU2781822C1

Область техники

[0001] Настоящее изобретение относится к системам и способам автоматической оценки качества сигнатур сетевого трафика. Изобретение является обратной связью систем фильтрации сетевого трафика и производит группировку сетевого трафика по характерным сигнатурам с последующей оценкой доли автоматизированной и неавтоматизированной активности в каждой группе на основании статического анализа сетевого трафика, что позволяет детектировать наличие вредоносной активности в сетевом трафике.

Уровень техники

[0002] Системы оценки качества сигнатур сетевого трафика и детектирования вредоносной активности в сетевом трафике зачастую состоят из нескольких модулей, содержащихся на сервере, таких, как модуль сбора данных, модуль базы данных, модуль идентификаторов сигнатур и модуль агрегации данных. Такие системы являются неавтоматизированными, т.к. в них не предусмотрены модули, способные автоматически генерировать дополнительные сигнатуры на основе проведенного статистического анализа собранных данных о сетевом трафике.

[0003] Известны также автоматизированные, включающие не только вышеперечисленные модули или их аналоги, но и дополнительные модули, отвечающие за статистический анализ собранных данных, генерацию сигнатур и репозицию сигнатур. Эти дополнительные модули позволяют сделать систему автоматизированной и, тем самым, более эффективной в детектировании автоматизированной активности. Такие автоматизированные системы также называют системами с обратной связью.

[0004] В патенте RU2740027C1 (опубл. 30.12.2020; МПК: G06F 21/50; G06F 21/60; H04L 29/06) описано изобретение, относящееся к способу и системе предотвращения вредоносных автоматизированных атак. Технический результат заключается в обеспечении предотвращения вредоносных атак. В способе оценивают пользователя на основании полученного запроса к компьютерной системе о сессии, выполняя сбор числовых и статистических метрик запроса, счет метрик, характеризующих пользователя на основании статистики его общения с ресурсом, определение метрик на основании общей статистики по ресурсу, показывающих отклонение сессии пользователя от медианной и средней сессии, на основании этих данных получают оценку легитимности запроса посредством статистической модели, на основании которой определяют пользователя к одной из категорий легитимного, подозрительного или бота, для легитимного пользователя предоставляют доступ к ресурсу, для бота - блокируют доступ к ресурсу, осуществляют дополнительную проверку в отношении подозрительного пользователя, при этом на основании анализа его поведения предлагают ему задачу с применением криптографических алгоритмов с использованием ассиметричного шифрования, в случае отсутствия верного решения задачи определяют его к категории бота и блокируют доступ к ресурсу, в случае верного решения определяют к категории легитимного пользователя и предоставляют доступ. Первым недостатком данной системы является ее неавтоматизированность. Система и способ детектируют вредоносную активность по предварительно заданным сигнатурам и не предусматривают дополнительную генерацию сигнатур. Также в системе и способе отсутствует этап, на котором производится статистический анализ сетевого трафика, позволяющий более эффективно детектировать вредоносную автоматизированную активность в сетевом трафике. Еще одним недостатком системы и способа является отсутствие предагрегации необработанных данных и наиболее ресурсоемких вычислений и, соответственно, модуля предагрегации данных, реализующего предагрегацию необработанных данных и наиболее ресурсоемких вычислений. В настоящих системе и способе предусмотрен этап, выполняемый модулем предагрегации, на котором непрерывно производится предагрегация необработанных данных и наиболее ресурсоемких вычислений на основе каскада материализованных представлений, что приводит к уменьшению потребности в вычислительных мощностях для финальной агрегации данных на 2-3 порядка в зависимости от типа агрегации.

[0005] В патенте RU2538292C1 (опубл. 27.01.2015; МПК: G06F 21/55) описывается изобретение, относящееся к вычислительной технике. Технический результат заключается в обнаружении компьютерных атак разных видов, комбинированных одновременных атак разных видов и определении видов атак. Способ обнаружения компьютерных атак на сетевую компьютерную систему, включающую, по крайней мере, один компьютер, подключенный к сети и имеющий установленную операционную систему и установленное прикладное программное обеспечение, включающее систему анализа трафика, в котором для анализа получаемых из сети пакетов выбираются определенные параметры и вычисляются их значения, которые затем сравниваются с эталонными значениями, а факт наличия одиночной или комбинированной одновременной атаки и определение видов атак определяется по сочетанию установленных условий для параметров. Для обработки получаемых из сети пакетов данных используется система анализа трафика, позволяющая вычислять параметры трафика в реальном масштабе времени. Первым недостатком данного способа является то, что детектирование вредоносной автоматизированной активности производится по предварительно заданным сигнатурам, соответственно, система является неавтоматизированной и детектирует вредоносную автоматизированную активность менее эффективно, чем автоматизированные аналоги, т.к. может детектировать лишь фиксированную часть вредоносной автоматизированной активности в сетевом трафике, которая попадает под предварительно заданные сигнатуры. Второй недостаток, связанный с первым недостатком, заключается в том, что в способе не предусмотрена генерация новых сигнатур. И последним недостатком является отсутствие предагрегации сырых данных и наиболее ресурсоемких вычислений и, соответственно, модуля предагрегации данных, реализующего предагрегацию сырых данных и наиболее ресурсоемких. В настоящих системе и способе предусмотрен этап, выполняемый модулем предагрегации, на котором непрерывно производится предагрегация сырых данных и наиболее ресурсоемких вычислений на основе каскада материализованных представлений, что приводит к уменьшению потребности в вычислительных мощностях для финальной агрегации данных на 2-3 порядка в зависимости от типа агрегации.

[0006] В патенте RU2722693C1 (опубл. 03.06.2020; МПК: G06F 21/56) предлагается компьютерно-реализуемый способ выявления инфраструктуры вредоносной программы или киберзлоумышленника, в котором: получают запрос, содержащий элемент инфраструктуры и тэг о принадлежности данного элемента вредоносной программе или киберзлоумышленнику; извлекают из базы данных параметр полученного элемента инфраструктуры, дополнительный элемент инфраструктуры, используемый той же вредоносной программой, что и полученный элемент инфраструктуры, и параметр дополнительного элемента инфраструктуры; анализируют полученный элемент инфраструктуры и взаимосвязанный с ним параметр и дополнительный элемент инфраструктуры и взаимосвязанный с ним параметр; на основе анализа выявляют статистические связи между параметром полученного элемента инфраструктуры и параметром дополнительного элемента инфраструктуры; формируют правила поиска новых элементов инфраструктуры на основании выявленной статистической связи и извлекают из базы данных новые элементы инфраструктуры; присваивают новым элементам тэги, соответствующие определенным вредоносным программам или киберзлоумышленникам, и сохраняют результаты в базе данных. Технический результат заключается в повышении эффективности выявления компьютерных атак. Недостатком данных системы и способа является отсутствие предагрегации сырых данных и наиболее ресурсоемких вычислений и, соответственно, модуля предагрегации данных, реализующего предагрегацию сырых данных и наиболее ресурсоемких вычислений. В настоящих системе и способе предусмотрен этап, выполняемый модулем предагрегации, на котором непрерывно производится предагрегация сырых данных и наиболее ресурсоемких вычислений на основе каскада материализованных представлений, что приводит к уменьшению потребности в вычислительных мощностях для финальной агрегации данных на 2-3 порядка в зависимости от типа агрегации.

[0007] В патенте US7565693B2 (опубл. 21.07.2009; МПК: G06F 11/00) описывает изобретение, относящееся к системе обнаружения и предотвращения сетевых вторжений. Система включает в себя: детектирующее устройство на основе сигнатуры; устройство обнаружения аномального поведения; и новое устройство для создания и проверки сигнатуры, расположенное между устройством обнаружения на основе сигнатуры и устройством обнаружения на основе аномального поведения, при этом, если устройство обнаружения на основе аномального поведения обнаруживает пакеты, подозрительные на сетевую атаку, новое устройство создания и проверки сигнатуры собирает и выполняет поиск, обнаруживает подозрительные пакеты для общей информации, а затем создает новую сигнатуру на основе найденной общей информации и в то же время проверяет, применима ли созданная новая сигнатура к устройству обнаружения на основе сигнатуры, а затем регистрирует созданную новую сигнатуру к устройству обнаружения на основе сигнатуры, если определено, что созданная новая сигнатура применима. Недостатком данных системы и способа присутствует этап детектирования автоматизированной активности на основе выявления аномального поведения в трафике, выполняемый соответствующим модулем. Он позволяет системе обнаружения и предотвращения вторжений предварительно идентифицировать информацию о нормальном поведении обычного пользователя и отслеживать аномальные сетевые операции для поиска сетевых вторжений и т.п. в случае, когда аномальная сетевая работа противоречит нормальному поведению. генерируется на основе информации о нормальном поведении. Однако метод обнаружения, основанный на аномальном поведении, имеет недостаток в том, что нормальный пользователь ошибочно определяется как вторжение в сеть. Кроме того, метод обнаружения на основе аномального поведения имеет недостаток в том, что, поскольку для обнаружения вторжения в сеть требуется так много времени, в отличие от метода обнаружения на основе сигнатур, сетевое вторжение не может быть защищено. В исследуемом способе при помощи статистического анализа рассчитываются граничные значения характерной доли трафика для каждой группы сигнатур. Каждая группа сигнатур может встречаться во множестве пар подсеть-сервис. В способе рассчитывается доля трафика в каждой такой паре для каждой группы, 25-ый и 75-ый перцентили. Эти данные позволяют рассчитывать ожидаемую долю трафика каждой группы. А далее сравнивать подозрительную активность со статистически найденной средней пользовательской активностью. Этот подход позволяет более точно и быстро детектировать новые автоматизированные атаки, которые до этого не улавливались системой и способом, т.к. отсутствует привязка к предыдущим атакам. Вторым недостатком данных системы и способа является отсутствие предагрегации необработанных данных и наиболее ресурсоемких вычислений и, соотсветсвенно, модуля предагрегации данных, реализующего предагрегацию необработанных данных и наиболее ресурсоемких вычислений. В настоящих системе и способе предусмотрен этап, выполняемый модулем предагрегации, на котором непрерывно производится предагрегация необработанных данных и наиболее ресурсоемких вычислений на основе каскада материализованных представлений, что приводит к уменьшению потребности в вычислительных мощностях для финальной агрегации данных на 2-3 порядка в зависимости от типа агрегации.

[0008] Наиболее близким аналогом является патент RU2634209C1 (опубл. 24.10.2017; МПК: G06F 21/35), в котором описано изобретение, относящееся к области обнаружения компьютерных атак. Техническим результатом является повышение эффективности выявления компьютерных атак. Способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью, выполняемый на сервере, включает, по крайней мере, следующие шаги: получают, по крайней мере, одно событие из базы данных событий, сформированной данными, полученными от, по крайней мере, одного сенсора; анализируют полученное, по крайней мере, одно событие на принадлежность к классу взаимодействия с центрами управления вредоносных программ; извлекают из, по крайней мере, одного вышеупомянутого события, относящегося к классу взаимодействия с центрами управления вредоносных программ, по крайней мере, один признак, используемый для формирования решающих правил; формируют решающие правила с использованием, по крайней мере, одного вышеупомянутого извлеченного признака; сохраняют сформированные решающие правила и предоставляют возможность получения обновления решающих правил для, по крайней мере, одного сенсора; сенсоры циклично проверяют доступность обновлений на центральном узле и при наличии обновлений получают их для использования, при этом в случае получения обновлений на сенсорах срабатывает триггер, осуществляющий перезагрузку решающих правил. Отличием и недостатком данных системы и способа является отсутствие предагрегации необработанных данных и наиболее ресурсоемких вычислений и, соответственно, модуля предагрегации данных, реализующего предагрегацию необработанных данных и наиболее ресурсоемких вычислений. В настоящих системе и способе предусмотрен этап, выполняемый модулем предагрегации, на котором непрерывно производится предагрегация необработанных данных и наиболее ресурсоемких вычислений на основе каскада материализованных представлений, что приводит к уменьшению потребности в вычислительных мощностях для финальной агрегации данных на 2-3 порядка в зависимости от типа агрегации.

Сущность изобретения

[0009] Задачей настоящего изобретения является создание и разработка системы и способа автоматической оценки качества сигнатур сетевого трафика, обеспечивающей высокоэффективное детектирование автоматизированной активности в сетевом трафике и уменьшение потребности в вычислительных мощностях для финальной агрегации данных.

[0010] Указанная задача достигается благодаря такому техническому результату, как высокая эффективность детектирования автоматизированной активности, возможность обратной связи и обеспечение уменьшения потребности в вычислительных мощностях для финальной агрегации данных. Технический результат достигается в том числе, но не ограничиваясь, благодаря:

• использованию статистического анализа для автоматизации системы;

• использованию статистического анализа для детектирования наличия вредоносной автоматизированной активности в сети;

• использованию статистического анализа для формирования и обновления решающих сигнатур;

• использованию конвейера предагрегации необработанных данных и наиболее ресурсоемких вычислений;

• наличию этапа финальной агрегации данных с группировкой и оценкой пропорциональности автоматизированной и неавтоматизированной активности.

[0011] Более полно, технический результат достигается системой автоматической оценки качества сигнатур сетевого трафика, включающей модуль сбора событий, список решающих сигнатур, анализирующий модуль и модуль финальной агрегации, и отличающейся тем, что включает модуль предагрегации, который выполнен с возможностью непрерывной обработки необработанных данных и наиболее ресурсоемких вычислений, причем модуль сбора событий подключен к модулю предагрегации, который подключён к анализирующему модулю и/или модулю финальной агрегации, причем анализирующий модуль также подключен к модулю финальной агрегации, а список решающих сигнатур подключен к модулю сбора событий и к модулю финальной агрегации.

[0012] При этом модуль сбора событий необходим для сбора событий в сетевом трафике и их группировки по сигнатурам. Список решающих сигнатур необходим для хранения решающих сигнатур, по которым производится детектирование автоматизированной активности в сетевом трафике. Анализирующий модуль необходим для вычисления характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, а также формирования граничных значений и решающих сигнатур с применением методов статистического анализа. Модуль финальной агрегации необходим для оценки качества трафика для каждой группы параметров, например, подсеть-источник, сервис-приемник, TCP/IP-сигнатура, SSL/TLS-сигнатура, HTTP-сигнатура. Модуль предагрегации данных необходим для формирования непрерывного конвейера предагрегации необработанных данных и наиболее ресурсоемких вычислений, что значительно увеличивает быстродейственность системы, а также уменьшает потребности в вычислительных мощностях для финальной агрегации данных.

[0013] Дополнительно модуль сбора событий может быть выполнен с возможностью сбора событий в сетевом трафике, отправленном с по крайней мере одного компьютера, компьютерной системы и/или сервера, выполненных с возможностью подключения к сети.

[0014] Модуль сбора событий также может дополнительно включать модуль группировки для группировки событий по набору сигнатур.

[0015] Анализирующий модуль может дополнительно включать в себя список граничных значений и модуль репозитория граничных значений, выполненный с возможностью автоматического обновления списка граничных значений на основе непрерывно поступающих новых данных.

[0016] Также анализирующий модуль может дополнительно включать модуль оценки, который оценивает наличие статистических выбросов. Это позволяет более точно определять граничные значения для всех событий с учетом погрешностей вычислений.

[0017] Модуль финальной агрегации может включать в себя модуль репозитория сигнатур, выполненный с возможностью обновления списка решающих сигнатур. Это обеспечивает возможность более точного определения автоматизированной вредоносной активности в сети, т.к. происходит статистическая оценка неизвестных и формально-легитимных сигнатур, решающих на основе постоянно обновляющихся данных.

[0018] Также заявленный технический результат достигается способом автоматической оценки качества сигнатур сетевого трафика, реализованным программно и циклично на сервере, по которому собирают события в сетевом трафике при помощи модуля сбора событий, производят предагрегацию необработанных данных и наиболее ресурсоемких вычислений при помощи модуля предагрегации, рассчитывают, на основании собранных событий, граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике для каждого из событий при помощи анализирующего модуля и производят финальную агрегацию всех событий, собранных в сетевом трафике, при помощи модуля финальной агрегации.

[0019] При этом этап, на котором собирают события в сетевом трафике необходим для формирования базы данных событий сетевого трафика, среди которых будут проверять наличие автоматизированной вредоносной активности. Этап, на котором производят предагрегацию необработанных данных и наиболее ресурсоемких вычислений необходим для увеличения быстродейственности способа, а также уменьшения потребности в вычислительных мощностях для этапа финальной агрегации данных. Этап, на котором рассчитывают граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике необходим для формирования граничных значений и определения доли вредоносной автоматизированной активности в сетевом трафике с использованием методов статистического анализа. Этап, на котором производится финальная агрегация всех событий, необходим для формирования решающих сигнатур.

[0020] Дополнительно после этапа, на котором собирают события в сетевом трафике, может производиться этап, на котором группируют события по сигнатурам. Это позволяет удобнее сравнивать сигнатуры со списком решающих сигнатур и формировать новые решающие сигнатуры.

[0021] Дополнительно после этапа, на котором рассчитывают, на основании собранных событий, граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, могут производить автоматическое обновление списка граничных значений для каждого из событий при помощи модуля репозитория граничных значений. Это делает систему более эффективной в детектировании и определении вредоносной автоматизированной активности.

[0022] Дополнительно после этапа, на котором рассчитывают на основании собранных событий, граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, могут производить оценку наличия статистических выбросов для каждого из событий при помощи модуля оценки. Это позволяет более точно определять граничные значения для каждого из событий с учетом погрешностей вычислений.

[0023] На этапе, на котором производят предагрегацию необработанных данных при помощи модуля предагрегации, могут дополнительно записывать необработанные данные и производить ресурсоемкие вычисления с записанными необработанными данными, что увеличивает быстродейственность способа, а также уменьшает потребности в вычислительных мощностях для этапа финальной агрегации данных.

[0024] На этапе, на котором производят предагрегацию необработанных данных, после этапа, на котором производят ресурсоемкие вычисления с записанными необработанными данными могут дополнительно производить при помощи модуля предагрегации по крайней мере отправку предобработанных данных в анализирующих модуль и/или отправку предобработанных данных в модуль финальной агрегации, что увеличивает быстродейственность способа, а также уменьшает потребности в вычислительных мощностях для этапа финальной агрегации данных и этапа статистического анализа.

[0025] Дополнительно на этапе, на котором производят финальную агрегацию всех событий, могут производить сопоставление рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике. Это позволяет оценить наличие потенциальной вредоносной активности в сетевом трафике.

[0026] Дополнительно на этапе, на котором производят финальную агрегацию всех событий, могут производить сопоставление рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике с граничными значениями характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, рассчитанными на по крайней мере одном предыдущем цикле. Это позволяет сравнить новые полученные данные с данными, полученными на предыдущих циклах, что, в свою очередь,

дает более точную информацию о наличии или отсутствии вредоносной активности в сетевом трафике.

[0027] Дополнительно на этапе, на котором производят финальную агрегацию всех событий, могут производить оценку, на основании рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, отношения автоматизированной и неавтоматизированной активности в сетевом трафике. Оценка позволяет понять какова доля автоматизированной активности в сетевом трафике и проверить не выходит ли она за рамки нормы, что также позволяет отследить наличие или отсутствие вредоносной активности в сетевом трафике.

[0028] Дополнительно на этапе, на котором производят финальную агрегацию всех событий, могут производить формирование решающих сигнатур. Это позволяет обозначить найденную вредоносную сетевую активность.

[0029] Дополнительно на этапе, на котором производят финальную агрегацию всех событий, могут производить сохранение сформированных решающих сигнатур в список решающих сигнатур, что позволяет запомнить найденную вредоносную сетевую активность.

[0030] Дополнительно на этапе, на котором производят финальную агрегацию всех событий, могут производить обновление списка решающих сигнатур сформированными решающими сигнатурами при помощи модуля репозитория сигнатур, включающегося в модуль финальной агрегации. Это позволяет автоматически удалять и сохранять новые сформированные решающие сигнатуры, которые впоследствии будут полезны для детектирования вредоносной сетевой активности.

[0031] Также процесс финальной агрегации может поэтапно осуществляться следующим образом. Сначала могут производить сопоставление рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, затем сопоставление рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике с граничными значениями характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, рассчитанными на по крайней мере одном предыдущем цикле. После чего может производиться оценка, на основании рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, отношения автоматизированной и неавтоматизированной активности в сетевом трафике. На основании этой оценки могу формировать решающие сигнатуры, сохранять решающие сигнатуры в список решающих сигнатур и/или обновлять список решающих сигнатур сформированными решающими сигнатурами при помощи модуля репозитория сигнатур.

[0032] Дополнительно любой из вышеописанных этапов может производиться отдельно для каждой из сформированных групп событий по сигнатурам для удобства сравнения сигнатур со списком решающих сигнатур и формирования новых решающих сигнатур.

Описание чертежей

[0033] Объект притязаний по настоящей заявке описан по пунктам и четко заявлен в формуле изобретения. Упомянутые выше задачи, признаки и преимущества изобретения очевидны и нижеследующего подробного описания, в сочетании с прилагаемыми чертежами, на которых показано:

[0034] На Фиг. 1А представлен схематичный вид системы автоматической оценки качества сигнатур сетевого трафика.

[0035] На Фиг. 1Б представлен схематичный вид системы автоматической оценки качества сигнатур сетевого трафика с дополнительными элементами.

[0036] На Фиг. 2А представлена блок-схема, описывающая один из вариантов реализации способа автоматической оценки качества сигнатур сетевого трафика.

[0037] На Фиг. 2Б представлена блок-схема, описывающая один из вариантов реализации способа автоматической оценки качества сигнатур сетевого трафика с дополнительным этапом группировки событий.

[0038] На Фиг. 2В представлена блок-схема, описывающая один из вариантов реализации способа автоматической оценки качества сигнатур сетевого трафика с дополнительным этапом автоматического обновления списка граничных значений.

[0039] На Фиг. 2Г представлена блок-схема, описывающая один из вариантов реализации способа автоматической оценки качества сигнатур сетевого трафика с дополнительным этапом оценки наличия статистических выбросов.

[0040] На Фиг. 2Д представлена блок-схема, описывающая один из вариантов реализации способа автоматической оценки качества сигнатур сетевого трафика с вариантом процесса предагрегации необработанных данных.

[0041] На Фиг. 2Е представлена блок-схема, описывающая один из вариантов реализации способа автоматической оценки качества сигнатур сетевого трафика с дополнительным вариантом последовательности обработки данных.

[0042] На Фиг. 2Ё представлена блок-схема, описывающая один из вариантов реализации способа автоматической оценки качества сигнатур сетевого трафика с вариантами реализации процесса финальной агрегации.

[0043] На Фиг. 2Ж представлена блок-схема, описывающая один из вариантов реализации способа автоматической оценки качества сигнатур сетевого трафика, объединяющий все вышеупомянутые варианты.

Подробное описание

[0044] В приведенном ниже подробном описании реализации изобретения приведены многочисленные детали реализации, призванные обеспечить отчетливое понимание настоящего изобретения. Однако, квалифицированному в предметной области специалисту очевидно, каким образом можно использовать настоящее изобретение, как с данными деталями реализации, так и без них. В других случаях, хорошо известные методы, процедуры и компоненты не описаны подробно, чтобы не затруднять излишнее понимание особенностей настоящего изобретения.

[0045] Кроме того, из приведенного изложения ясно, что изобретение не ограничивается приведенной реализацией. Многочисленные возможные модификации, изменения, вариации и замены, сохраняющие суть и форму настоящего изобретения, очевидны для квалифицированных в предметной области специалистов.

[0046] На Фиг. 1А представлен схематичный вид системы автоматической оценки качества сетевого трафика. Система автоматической оценки качества сигнатур сетевого трафика включает в себя модуль сбора событий 100, модуль предагрегации 200, анализирующий модуль 300, модуль финальной агрегации 400 и список решающих сигнатур 500. Модуль сбора событий 100 подключен к модулю предагрегации 200, который, в свою очередь подключен к анализирующему модулю 300 и/или модулю финальной агрегации 400. Анализирующий модуль 300 также подключен к модулю финальной агрегации 400, а модуль финальной агрегации 400 подключен к списку решающих сигнатур 500. Список решающих сигнатур подключен к модулю сбора событий 100. При этом, модуль предагрегации данных 200 выполнен с возможностью непрерывной обработки необработанных данных и наиболее ресурсоемких вычислений.

[0047] Система работает следующим образом. Собирают события при помощи модуля сбора событий 100. Далее, собранные события отправляют в модуль предагрегации 200 для выполнения процесса предагрегации необработанных данных и наиболее ресурсоемких вычислений. После этого, предобработанные данные отправляют в анализирующий модуль 300 и/или в модуль финальной агрегации 400. В случае, если предобработанные данные были отправлены в анализирующий модуль 300, в анализирующем модуле 300 с ними производится расчет граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике. А далее, предобработанные ресурсоемкие данные вместе с рассчитанными граничными значениями отправляют в модуль финальной агрегации 400, который, в свою очередь, производит с ними процесс финальной агрегации данных. В случае, если модуль предагрегации 200 отправил предобработанные данные сразу на модуль финальной агрегации 400, то с ними производят процесс финальной агрегации без предварительного расчета граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике. После того, как предобработанные данные проходят процесс финальной агрегации, формируют решающие сигнатуры и сохраняют их в список решающих сигнатур 500, который далее используется в процессе сбора событий модулем сбора событий 100.

[0048] Система автоматической оценки качества сигнатур сетевого трафика также может включать в себя дополнительные подмодули, ранее и далее именуемые модулями, показанные на Фиг. 1Б.

[0049] Модуль сбора событий 100 системы автоматической оценки качества сигнатур сетевого трафика может дополнительно быть подключен к удаленному устройству 600 и быть выполнен с возможностью сбора событий в сетевом трафике с по крайней мере удаленного устройства 600. В качестве удаленного устройства 600 может использоваться компьютер, компьютерная система и/или сервер, выполненные с возможностью подключения к сети

[0050] Также модуль сбора событий 100 может дополнительно включать в себя модуль группировки 101, предназначенный для группировки собранных событий по сигнатурам.

[0051] Анализирующий модуль 300 может дополнительно включать в себя список граничных значений 301 и модуль репозитория граничных значений 302. При этом список граничных значений предназначен для хранения рассчитанных анализирующим модулем 300 граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике. Модуль репозитория граничных значений 302 предназначен для обновления списка граничных значений 301 в случае, если анализирующим модулем 300 были рассчитаны новые граничные значений характерной доли автоматизированной и неавторизированной активности в сетевом трафике.

[0052] Также анализирующий модуль 300 может дополнительно включать в себя модуль оценки 303, предназначенный для оценки наличия статистических выбросов.

[0053] Модуль финальной агрегации 400 может дополнительно включать в себя модуль репозитория сигнатур 401, выполненный с возможностью обновления списка решающих сигнатур 500 в случае, если на этапе финальной агрегации были сформированы новые решающие сигнатуры.

[0054] Вышеописанные дополнительные модули и списки, включенные в какой-либо из основных модулей и списков, могут быть интегрированы в систему как все вместе, так и по отдельности, в зависимости от нужд системы. Ниже будет описан один из образов работы системы, который включает каждый из вышеописанных дополнительных модулей и списков, однако, очевидно, что некоторые из нижеописанных моментов могут быть заменены и/или исключены из системы без существенных потерь для технического результата.

[0055] Система автоматической оценки качества сигнатур сетевого трафика, согласно схеме на Фиг. 1Б, работает следующим образом. При помощи модуля сбора событий 100 собирают события в сетевом трафике с удаленного устройства 600. Группируют собранные события по сигнатурам при помощи модуля группировки 101, включенного в модуль сбора событий 100. Сгруппированные по сигнатурам события отправляют в модуль предагрегации 200, где происходит процесс предагрегации необработанных данных и наиболее ресурсоемких вычислений по группам сигнатур. После этого, предобработанные данные отправляют в анализирующий модуль 300 и/или в модуль финальной агрегации 400. В случае, если предобработанные данные были отправлены в анализирующий модуль 300, в анализирующем модуле 300 с ними производится расчет граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике. В случае, если граничные значения были рассчитаны первый раз, рассчитанные граничные значения сохраняют в список граничных значений 301. А в случае, если были рассчитаны новые граничные значения, отличные от тех, которые уже хранятся в списке граничных значений 301, то обновляют список граничных значений 301 новыми граничными значениями при помощи модуля репозитория граничных значений 302. Также производится оценка статистических выбросов при помощи модуля оценки 303, включенном в анализирующий модуль 300. А далее, предобработанные данные вместе с рассчитанными граничными значениями отправляют в модуль финальной агрегации 400, который, в свою очередь, производит с ними процесс финальной агрегации данных. В случае, если модуль предагрегации 200 отправил предобработанные данные сразу на модуль финальной агрегации 400, то с ними производят процесс финальной агрегации без предварительного расчета граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике. После того, как предобработанные данные проходят процесс финальной агрегации, формируют решающие сигнатуры и сохраняют их в список решающих сигнатур 500, который далее используется в процессе сбора событий модулем сбора событий 100. В случае, если в списке решающих сигнатур 500 уже хранились ранее сформированные решающие сигнатуры, обновляют список решающих сигнатур 500 при помощи модуля репозитория решающих сигнатур 401, включенном в модуль финальной агрегации 400.

[0056] На Фиг. 2А изображена блок-схема, иллюстрирующая способ автоматической оценки качества сигнатур сетевого трафика. Согласно предложенному способу, сначала собирают события в сетевом трафике при помощи модуля сбора событий 100. Далее, с собранными событиями производят предагрегацию необработанных данных при помощи модуля предагрегации 200. После чего, рассчитывают граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, на основании собранных событий, при помощи анализирующего модуля 300. Затем производят финальную агрегацию всех событий, собранных в сетевом трафике, при помощи модуля финальной агрегации 400. Вышеописанная последовательность производится программно и циклично.

[0057] На Фиг. 2Б изображена блок-схема, иллюстрирующая способ автоматической оценки качества сигнатур сетевого трафика, с дополнительным этапом, на котором после этапа, на котором собирают события в сетевом трафике при помощи модуля сбора событий 100, группируют события по сигнатурам при помощи модуля группировки 101, включающегося в модуль сбора событий 100.

[0058] На Фиг. 2В изображена блок-схема, иллюстрирующая способ автоматической оценки качества сигнатур сетевого трафика, с дополнительным этапом, на котором после этапа, на котором рассчитывают, на основании собранных событий, граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, производят автоматическое обновление списка граничных значений 301 при помощи модуля репозитория граничных значений 302.

[0059] На Фиг. 2Г изображена блок-схема, иллюстрирующая способ автоматической оценки качества сигнатур сетевого трафика, с дополнительным этапом, на котором после этапа, на котором рассчитывают на основании собранных событий, граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, оценивают наличие статистических выбросов при помощи модуля оценки 303, включающегося в анализирующий модуль 300.

[0060] Этап, на котором производится предагрегация данных может быть реализована многими способами, но предпочтительным является способ, изображенный на Фиг. 2Д. Здесь изображена блок-схема, иллюстрирующая способ автоматической оценки качества сигнатур сетевого трафика, с возможным вариантом реализации этапа, на котором производится предагрегация необработанных данных, по которому записывают необработанные данные, собранные из событий, а затем производят ресурсоемкие вычисления с записанными необработанными данными, собранными из событий. Этот этап может производится также без записи необработанных данных. Необработанные данные перед осуществлением ресурсоемких вычислений с ними могут храниться на удаленном компьютере, мониторинг сетевого трафика которого производится в это время, могут храниться во временной памяти, в сторонней базе данных и т.д., т.е. в любом месте, откуда модуль предагрегации сможет производить с ними ресурсоемкие вычисления.

[0061] На Фиг. 2Е изображена блок-схема, иллюстрирующая способ автоматической оценки качества сигнатур сетевого трафика, с дополнительным этапом, на котором после этапа, на котором производят ресурсоемкие вычисления с записанными необработанными данными производят при помощи модуля предагрегации 200, отправляют предобработанные данные в анализирующий модуль 300 или в модуль финальной агрегации 400.

[0062] На Фиг. 2Ё изображена блок-схема, иллюстрирующая способ автоматической оценки качества сигнатур сетевого трафика, с возможными вариантами реализации этапа, на котором производится финальная агрегация данных. Согласно первому из вариантов, на этапе финальной агрегации сопоставляют рассчитанные граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике при помощи модуля финальной агрегации 400. Согласно второму варианту реализации, на этапе финальной агрегации сопоставляют рассчитанные граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике с граничными значениями характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, рассчитанными на по крайней мере одном предыдущем цикле. Согласно третьему варианту реализации, на этапе финальной агрегации оценивают, на основании рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, отношение автоматизированной и неавтоматизированной активности в сетевом трафике. Согласно четвертому варианту реализации, на этапе финальной агрегации формируют решающие сигнатуры, сохраняют сформированные решающие сигнатуры в список решающих сигнатур 500 или обновляют список решающих сигнатур 500 сформированными решающими сигнатурами при помощи модуля репозитория сигнатур 401. Вышеописанные варианты реализации этапа финальной агрегации могут выполняться как отдельно, так и в любой комбинации.

[0063] На Фиг. 2Ж изображена блок-схема, иллюстрирующая способ автоматической оценки качества сигнатур сетевого трафика, объединяющий все вышеописанные этапы, как основные, так и дополнительные.

[0064] Также каждый из этапов способа автоматической оценки качества сигнатур сетевого трафика, следующий после этапа, на котором группируют собранные события по сигнатурам при помощи модуля группировки 101, включающегося в модуль сбора событий 100, может производится отдельно для каждой из групп сигнатур.

[0065] В материалах настоящей заявки для раскрытия изобретения используются такие термины, как: «оценка качества сигнатур сетевого трафика», подразумевающая под собой оценку долей автоматизированной и неавтоматизированной активности в сетевом трафике,

[0066] «автоматизированная активность», подразумевающая под собой трафик, созданные «нечеловеческими средствами», то есть при помощи автоматизированного сценария, программного обеспечения или алгоритма,

[0067] «неавтоматизированная активность», подразумевающая под собой активность, производимую пользователем, т.е. человеком,

[0068] «характерные доли», подразумевающие под собой «нормальные» доли трафика, не вызванные вредоносной или запрещенной ботовой активностью,

[0069] «граничные значения», подразумевающие под собой границы диапазона доли автоматизированной активности, которые не будут восприняты как вредоносная активность, и

[0070] «статистические выбросы», подразумевающие результат сбора событий, выделяющийся из общей выборки.

[0071] В настоящих материалах заявки представлено предпочтительное раскрытие осуществления заявленного технического решения, которое не должно использоваться как ограничивающее иные, частные воплощения его реализации, которые не выходят за рамки запрашиваемого объема правовой охраны и являются очевидными для специалистов в соответствующей области техники.

Похожие патенты RU2781822C1

название год авторы номер документа
СИСТЕМА И СПОСОБ АВТОГЕНЕРАЦИИ РЕШАЮЩИХ ПРАВИЛ ДЛЯ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ С ОБРАТНОЙ СВЯЗЬЮ 2016
  • Кислицин Никита Игоревич
RU2634209C1
СПОСОБ АВТОМАТИЧЕСКОЙ НАСТРОЙКИ СРЕДСТВА БЕЗОПАСНОСТИ 2012
  • Зайцев Олег Владимирович
RU2514137C1
Способ защиты систем управления транспортных средств от вторжений 2019
  • Михайлов Дмитрий Михайлович
  • Долгих Артем Дмитриевич
  • Проничкин Алексей Сергеевич
  • Багров Сергей Валерьевич
  • Педанов Владимир Александрович
RU2737229C1
СПОСОБ И СИСТЕМА ПОИСКА СХОЖИХ ВРЕДОНОСНЫХ ПРОГРАММ ПО РЕЗУЛЬТАТАМ ИХ ДИНАМИЧЕСКОГО АНАЛИЗА 2020
  • Прудковский Николай Сергеевич
  • Волков Дмитрий Александрович
RU2738344C1
СИСТЕМА И СПОСОБ ДЛЯ ОПТИМИЗАЦИИ ВЫПОЛНЕНИЯ АНТИВИРУСНЫХ ЗАДАЧ В ЛОКАЛЬНОЙ СЕТИ 2010
  • Тихомиров Антон Владимирович
  • Кулага Андрей Александрович
RU2453917C1
ЗАЩИТА ОТ ИСПОЛЬЗОВАНИЯ УЯЗВИМОСТИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ 2007
  • Томпсон Роджер Джон
  • Мошер Грегори Эндрю
RU2417429C2
Автоматизированная оценка безопасности критически важных для бизнеса компьютерных систем и ресурсов 2011
  • Нунез Ди Сросе Мариано
RU2657170C2
Система и способ корреляции событий для выявления инцидента информационной безопасности 2019
  • Люкшин Иван Станиславович
  • Кирюхин Андрей Александрович
  • Лукиян Дмитрий Сергеевич
  • Филонов Павел Владимирович
RU2739864C1
СПОСОБ ОБНАРУЖЕНИЯ И ПРОТИВОДЕЙСТВИЯ РАСПРОСТРАНЕНИЮ ВРЕДОНОСНЫХ ПРОГРАММ В КОМПЬЮТЕРНОЙ СЕТИ 2023
  • Белов Андрей Сергеевич
  • Шугуров Дмитрий Евгеньевич
  • Анисимов Владимир Георгиевич
  • Громов Юрий Юрьевич
  • Бумажкина Наталья Юрьевна
  • Мишенин Виктор Анатольевич
RU2818022C1
Способ корректировки параметров модели машинного обучения для определения ложных срабатываний и инцидентов информационной безопасности 2020
  • Филонов Павел Владимирович
  • Солдатов Сергей Владимирович
  • Удимов Даниил Алексеевич
RU2763115C1

Иллюстрации к изобретению RU 2 781 822 C1

Реферат патента 2022 года СИСТЕМА И СПОСОБ АВТОМАТИЧЕСКОЙ ОЦЕНКИ КАЧЕСТВА СИГНАТУР СЕТЕВОГО ТРАФИКА

Изобретение относится к информационной безопасности. Технический результат направлен на повышение точности выявления вредоносной активности в сети. Система автоматической оценки качества сигнатур сетевого трафика, включающая модуль сбора событий, список решающих сигнатур, анализирующий модуль и модуль финальной агрегации, отличается тем, что включает модуль предагрегации, который выполнен с возможностью непрерывной обработки необработанных данных и ресурсоемких вычислений, причем модуль сбора событий подключен к модулю предагрегации, который подключен к анализирующему модулю и/или модулю финальной агрегации, причем анализирующий модуль также подключен к модулю финальной агрегации, а список решающих сигнатур подключен к модулю сбора событий и к модулю финальной агрегации. 2 н. и 18 з.п. ф-лы, 10 ил.

Формула изобретения RU 2 781 822 C1

1. Система автоматической оценки качества сигнатур сетевого трафика, включающая модуль сбора событий, список решающих сигнатур, анализирующий модуль и модуль финальной агрегации, отличающаяся тем, что включает модуль предагрегации, который выполнен с возможностью непрерывной обработки необработанных данных и ресурсоемких вычислений, причем модуль сбора событий подключен к модулю предагрегации, который подключен к анализирующему модулю и/или модулю финальной агрегации, причем анализирующий модуль также подключен к модулю финальной агрегации, а список решающих сигнатур подключен к модулю сбора событий и к модулю финальной агрегации.

2. Система автоматической оценки качества сигнатур сетевого трафика по п. 1, отличающаяся тем, что модуль сбора событий выполнен с возможностью сбора событий в сетевом трафике с по крайней мере одного компьютера, компьютерной системы и/или сервера, выполненных с возможностью подключения к сети.

3. Система автоматической оценки качества сигнатур сетевого трафика по пп. 1 и 2, отличающаяся тем, что модуль сбора событий включает модуль группировки.

4. Система автоматической оценки качества сигнатур сетевого трафика по п. 1, отличающаяся тем, что анализирующий модуль включает список граничных значений и модуль репозитория граничных значений, который выполнен с возможностью обновления списка граничных значений.

5. Система автоматической оценки качества сигнатур сетевого трафика по п. 1, отличающаяся тем, что анализирующий модуль включает модуль оценки, который выполнен с возможностью оценки наличия статистических выбросов.

6. Система автоматической оценки качества сигнатур сетевого трафика по п. 1, отличающаяся тем, что модуль финальной агрегации включает модуль репозитория сигнатур, выполненный с возможностью обновления списка решающих сигнатур.

7. Способ автоматической оценки качества сигнатур сетевого трафика, по которому циклично:

- собирают события в сетевом трафике при помощи модуля сбора событий;

- производят предагрегацию необработанных данных при помощи модуля предагрегации;

- рассчитывают, на основании собранных событий, граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике при помощи анализирующего модуля;

- производят финальную агрегацию всех событий, собранных в сетевом трафике, при помощи модуля финальной агрегации.

8. Способ автоматической оценки качества сигнатур сетевого трафика по п. 7, отличающийся тем, что после этапа, на котором собирают события в сетевом трафике при помощи модуля сбора событий, группируют события по сигнатурам при помощи модуля группировки, включающегося в модуль сбора событий.

9. Способ автоматической оценки качества сигнатур сетевого трафика по пп. 7 и 8, отличающийся тем, что после этапа, на котором рассчитывают, на основании собранных событий, граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, производят автоматическое обновление списка граничных значений при помощи модуля репозитория граничных значений.

10. Способ автоматической оценки качества сигнатур сетевого трафика по пп. 7 и 8, отличающийся тем, что после этапа, на котором рассчитывают, на основании собранных событий, граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, оценивают наличие статистических выбросов при помощи модуля оценки.

11. Способ автоматической оценки качества сигнатур сетевого трафика по п. 7, отличающийся тем, что этап, на котором производят предагрегацию необработанных данных при помощи модуля предагрегации, осуществляют следующим образом:

- записывают необработанные ресурсоемкие данные, собранные из событий;

- производят ресурсоемкие вычисления с записанными необработанными данными, собранными из событий.

12. Способ автоматической оценки качества сигнатур сетевого трафика по пп. 7 и 10, отличающийся тем, что на этапе, на котором производят предагрегацию необработанных данных, после этапа, на котором производят ресурсоемкие вычисления с записанными необработанными данными, производят при помощи модуля предагрегации по крайней мере одно из нижеперечисленного:

- отправляют предобработанные данные в анализирующий модуль;

- отправляют предобработанные данные в модуль финальной агрегации.

13. Способ автоматической оценки качества сигнатур сетевого трафика по п. 7, отличающийся тем, что финальную агрегацию всех событий при помощи модуля финальной агрегации осуществляют путем сопоставления рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике.

14. Способ автоматической оценки качества сигнатур сетевого трафика по п. 7, отличающийся тем, что финальную агрегацию всех событий при помощи модуля финальной агрегации осуществляют путем сопоставления рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике с граничными значениями характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, рассчитанными на по крайней мере одном предыдущем цикле.

15. Способ автоматической оценки качества сигнатур сетевого трафика по п. 7, отличающийся тем, что финальную агрегацию всех событий при помощи модуля финальной агрегации осуществляют путем оценки, на основании рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, отношения автоматизированной и неавтоматизированной активности в сетевом трафике.

16. Способ автоматической оценки качества сигнатур сетевого трафика по пп. 14 и 15, отличающийся тем, что финальную агрегацию всех событий при помощи модуля финальной агрегации решающие сигнатуры формируют на основании произведенной оценки.

17. Способ автоматической оценки качества сигнатур сетевого трафика по п. 16, отличающийся тем, что для финальной агрегации всех событий при помощи модуля финальной агрегации сохраняют сформированные решающие сигнатуры в список решающих сигнатур.

18. Способ автоматической оценки качества сигнатур сетевого трафика по пп. 16 и 17, отличающийся тем, что для финальной агрегации всех событий при помощи модуля финальной агрегации обновляют список решающих сигнатур сформированными решающими сигнатурами при помощи модуля репозитория сигнатур, включающегося в модуль финальной агрегации.

19. Способ автоматической оценки качества сигнатур сетевого трафика по п. 7, отличающийся тем, что финальную агрегацию всех событий при помощи модуля финальной агрегации осуществляют следующим образом:

- сопоставляют рассчитанные граничные значения характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике с граничными значениями характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, рассчитанными на по крайней мере одном предыдущем цикле;

- оценивают, на основании рассчитанных граничных значений характерной доли автоматизированной и неавтоматизированной активности в сетевом трафике, отношение автоматизированной и неавтоматизированной активности в сетевом трафике;

- формируют, на основании произведенной оценки, решающие сигнатуры;

- сохраняют сформированные решающие сигнатуры в список решающих сигнатур;

- обновляют список решающих сигнатур сформированными решающими сигнатурами при помощи модуля репозитория сигнатур, включающегося в модуль финальной агрегации.

20. Способ автоматической оценки качества сигнатур сетевого трафика по любому из пп. 7-19, отличающийся тем, что каждый из этапов производят отдельно по каждой из групп событий, сформированной при помощи модуля группировки, по сигнатурам.

Документы, цитированные в отчете о поиске Патент 2022 года RU2781822C1

СИСТЕМА И СПОСОБ АВТОГЕНЕРАЦИИ РЕШАЮЩИХ ПРАВИЛ ДЛЯ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ С ОБРАТНОЙ СВЯЗЬЮ 2016
  • Кислицин Никита Игоревич
RU2634209C1
СПОСОБ ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ АТАК НА СЕТЕВУЮ КОМПЬЮТЕРНУЮ СИСТЕМУ 2013
  • Фаткиева Роза Равильевна
  • Атисков Алексей Юрьевич
  • Левоневский Дмитрий Константинович
RU2538292C1
СПОСОБ И СИСТЕМА ВЫЯВЛЕНИЯ ИНФРАСТРУКТУРЫ ВРЕДОНОСНОЙ ПРОГРАММЫ ИЛИ КИБЕРЗЛОУМЫШЛЕННИКА 2020
  • Волков Дмитрий Александрович
  • Милешин Филипп Алексеевич
RU2722693C1
US 7565693 B2, 21.07.2009.

RU 2 781 822 C1

Авторы

Чемякин Антон Владимирович

Даты

2022-10-18Публикация

2021-04-30Подача