Кластеризація зловмисників у комп’ютерних мережах за їх поведінковими характеристиками

Ескіз
Файли
2.pdf (827.62 KB)
Дата
2020
Автори
Каштальян, А.С.
Савенко, О.С.
Kashtalian, A.
Savenko, O.
Назва журналу
Номер ISSN
Назва тому
Видавець
Хмельницький національний університет
Анотація
В статті запропоновано метод знаходження схожих зловмисників в мережі приманок за їх поведінковими характеристиками. Розглянуто частотні характеристики, які дозволяють визначити тип атаки, а також спрогнозувати її. Запропоновано розглядати поведінкові характеристики зловмисників щодо мережі приманок як багато до багатьох, багато до одного, один до багатьох та один до одного. За поведінкову характеристику для розгляду обрано часовий ряд, який представляє залежність кількості запитів від джерела атаки до приманки за одиницю часу. Розглянуто інформаційні критерії, які можуть бути використані для кластеризації поведінкових характеристик зловмисників. Запропоновано процедуру агломеративної кластеризації поведінкових характеристик на основі інформаційного критерію. Визначено критерій відстані між кластерами та інтегральний критерій відстані між об’єктами всередині кластеру. Визначено три критерії зупинки процесу кластеризації: кількість кластерів, абсолютний мінімум та відносний градієнт. Кількість кластерів у якості критерію зупинки дозволяє визначати рівень небезпеки зловмисників. Критерій абсолютного мінімуму відповідає максимальній чистоті кластерів зловмисників. Критерій відносного градієнту забезпечує найвищу повноту кластерів. На основі даних мережі приманок проведено експериментальні дослідження, на їх основі визначено інформаційний критерій, який забезпечує найвищу точність кластеризації, та критерій зупинки, який забезпечує оптимальне співвідношення точності та повноти кластерів.
The method of finding similar intruders in a honeynet by their behavior characteristics is suggested. Frequency characteristics which allow to determine attack’s type and to predict it is considered. It is proposed to consider behavior characteristic of intruders with regard to a honeynet as many to many, many to one, one to many and one to one. A time series which represents the dependence of the number of requests from an attack’s source to a honeypot per time unit is chosen as a behavior characteristic to examine. It is considered the information criterions which can be used for clustering intruders’ behavior characteristics. It is proposed the procedure of agglomerative clustering behavior characteristics on the basis of the information criterion. It is defined distances between clusters and the integral criterion of a distance between objects inside a cluster. It is determined three criterions of stopping the clustering process: the number of clusters, the absolute minimum, the relative gradient. The number of clusters as a stop criterion allows determining the level of a damage of intruders. The absolute minimum criterion corresponds to the maximum purity of intruders clusters. The relative gradient criterion provides the highest cluster completeness. The experimental researches were conducted based on data of the honeynet. It is defined the information criterion which provides the highest accuracy of clustering and the stop criterion which provides the optimal ratio of the accuracy and the completeness of clusters on their basis.
Опис
Ключові слова
приманка, кластеризація часових рядів, профіль зловмисника, частотні характеристики, інформаційний критерій, honeypot, time series clustering, intruder’s profile, frequency characteristics, information criterion
Бібліографічний опис
Каштальян А. С. Кластеризація зловмисників у комп’ютерних мережах за їх поведінковими характеристиками / А. С. Каштальян, О. С. Савенко // Вісник Хмельницького національного університету. Технічні науки. – 2020. – № 6. – С. 22-27.
URI
https://elar.khmnu.edu.ua/handle/123456789/10243
Зібрання
Вісник ХНУ. Технічні науки - 2020 рік