В данной статье подробно рассматривается применение алгоритмов машинного обучения для выявления и классификация DDoS атак на сетевом и транспортном уровнях модели OSI. Особое внимание уделено актуальным подходам к анализу с использованием машинного обучения. Как итог исследования предложены варианты развития способов детекции аномалий в сетевом трафике на основе нейросетей и машинного обучения с учетом актуальных рекомендаций ФСЭК России и общепризнанных международных стандартов.

Ключевые слова: информационная безопасность, выявление киберугроз, DDoS, обнаружение аномалий в сетевом трафике, нейросети, машинное обучение, автоматические энкодеры, ГОСТ, ФСТЭК, RFC.

Введение

Крайне сильный рост сложность и объема атак на инфраструктуру на сетевом уровне сейчас вынуждает инженеров по защите и безопасности разрабатывать совершенно новые способы защиты. В контексте исследования проведенного одним из самых известных вендоров СЗИ в России Positive Technologies количество атак на российские компании за последние года выросло более чем на 150 %. Классические методы детекции основанные на сигнатурах показывает заметные провалы по эффективности относительно не стандартных атак, а также атак нулевого дня. Это еще больше мотивирует на внедрение новых систем, основанных на интеллектуальном анализе сетевого трафика. В данном случае нейросети и алгоритмы машинного обучения выходят на первый план благодаря своим возможностям обнаруживать неочевидные и скрытые закономерности и быстро адаптироваться к изменениям в параметрах атаки, как отмечают ведущие исследователи в области информационной безопасности.

ФСТЭК России, как основной регулятор в России за последние несколько лет актуализировала рекомендации относительно анализа сетевого трафика относительно текущих видов угроз безопасности, согласившись с необходимостью внедрения систем анализа трафика руководствующихся интеллектуальным анализом для защиты информационных ресурсов. Этим также обуславливается актуальность исследования новых способов обнаружения DDoS атак с использованием машинного обучения.

Классификация и характеристика современных сетевых атак

На текущий момент информационных системы подвержены большому количеству разнообразных атак на L3-L4 уровнях сетевой модели. Для соблюдения текущих SLA и эффективного отражения атак требуется систематизировать основные виды угроз с учетом уникальных параметров каждого вида. Наиболее распространенные виды киберугроз сейчас это объемные DDoS-атаки, которые используются злоумышленниками для переполнения каналов связи или перегрузки сетевого оборудования так как генерируют большой объем трафика, на которые L2-каналы или оборудование не рассчитаны. Специфика выделяется на транспортном уровне, ввиду эксплуатации уязвимости протоколов, выделаются такие атаки как TCP SYN FLOOD и атаки фрагментированными пакетами.

Атаки на несколько уровней выше, на уровне приложений чаще всего мимикрируют под легитимные запросы пользователей и отличаются как правило скрытыми особенностями в заголовках того или иного L7 протокола. Низкоинтенсивные атаки (Low and Slow attacks) особенно тяжело детектировать ввиду крайне низкого объема запросов в секунду, усложняет детекцию неисчислимое количество источников этих запросов. Использовать все адреса существующие и зарегистрированные на данный момент в RIPE, атакующим помогает IP-спуфинг, это подмена адресов источника на любой другой в пакете, что осложняет блокировку атакующих и несет в себе дополнительную угрозу помимо истощения ресурсов, зачастую используют адреса доверенных автономных систем, блокировка таких IP-адресов может привести к отказу множества сервисов, например, DNS.

Особенную угрозу представляют мульти-векторные атаки, в них сочетается несколько видов атак, совместно на нескольких уровнях, также зачастую подобные атаки имеют динамические параметры изменяющиеся в ходе атаки. Для отражения подобных атак с высокой эффективностью можно использовать различные методы машинного обучения, они заточены на быстрое выявление сложных и нелинейных зависимостей в не структурированных данных сетевого трафика, в том числе последнее время характерны пополнения ботнетов (список сетей и адресов которые используются в качестве источников при DDoS) реальными пользователями, таких пользователей называют хактивистами, они используют свои реальные адреса и браузеры, что еще сильнее усложняет выявление паразитного трафика. Как отмечает Александр Гутников, эксперт по кибербезопасности «Лаборатории Касперского»: «Тут интересно отметить, что очень много атак в конце февраля и начале марта организовывалось хактивистами и проводилось с личных устройств, которые пользователи добровольно подключали к ботнету (например, открывая в браузере сайт-стрессер)» [2].

Нормативная база и стандарты РФ в области анализа сетевого трафика

Основу в области правового регулирования относительно за сетевым трафиком и его анализа в Российской Федерации формируются ФСТЭК России, включая в себя профили защиты систем обнаружения угроз. Актуальные документы говорят, что современные системы анализа обязаны соответствовать профилю защиты средств обнаружения вторжений 4 класса защиты (ИТ.СОВ.С4.ПЗ), это подтверждается сертификацией от ФСТЭК, которая проводится в специальной лаборатории.

Помимо требований ФСТЭК котируется ГОСТ Р ИСО/МЭК 27001–2021, этот документ регламентирует управление инцидентами информационной безопасности, в частности мониторинг взаимодействий в рамках сетевого трафика. Одними из главных аспектов нормативной базы также являются приказы Минцифры России, также определяющие требования к системам анализа трафика, в частности в проекте «Цифровая экономика».

Международные стандарты и методики анализа сетевого трафика

На международном уровне нормативные стандарты идентично играют ощутимую роль в составлении методологии аналитики сетевого трафика. Такой документ как IEEE 802.1AE-2018 определяет методы защиты на L2 уровне, в частности касательно конфиденциальности и целостности передаваемых данных. NIST описывает рекомендации по архитектурному устройству систем для анализа сетевого трафика и защиты инфраструктуры с уклоном на применение интеллектуального анализа. В частности в документе NIST SP 800–94 отмечают: «Современные системы обнаружения вторжений должны сочетать традиционные методы сигнатурного анализа с продвинутыми алгоритмами машинного обучения для эффективного выявления неизвестных атак и минимизации числа ложных срабатываний» [5].

Большой вклад в стандартизацию форматирования данных сетевого трафика при анализе имеет организация IETF и ее рекомендации определившие один из самых распростаненных сегодня протокол NetFlow 10 или же IPFIX(IP Flow Information Export). Касательно интеллектуального анализа выделяются рекомендации ENISA (European Union Agency for Cybersecurity), которые введи методику оценивания эффективности для алгоритмов машинного обучения и искусственного интеллекта в рамках СЗИ.

Архитектуры и методы машинного обучения для анализа сетевого трафика

Методология машинного обучения, которые применяются для валидации сетевого трафика можно разделить на основные категории основываясь на подходе к обучению. С учителем и без, среди методов с учителем выделяются варианты классификации угроз с использованием XGBoost, RandomForest. Среди методов без учителя преимущественно используется кластеризация потоков (K-means, DBSCAN) и детекция аномального поведения с помощью автоматических энкодеров и изолирующего леса. Также присутствуют и гибридные методы, которые включают в себя объединение различных моделей и совмещение методов, основанных на статистике с нейросетями.

На основе теоретических данных модели созданные на основе Long Short-Term Memory с механизмом внимания будут эффективны для выявления атак среди сетевого трафика. Касательно обработки временных рядов трафика сети будут эффективны рекуррентные нейронные сети, они могут учитывать природу данных выявляя последовательность в конечном итоге формировать долгосрочный отпечаток поведения включающих множество параметров, что позволит выявить копирующие легитимное поведение атаки.

Для выявления аномалий в многомерных пространствах признаков могут быть применены глубокие автоэнкодеры, обучаемые на нормальном трафике. Этот подход теоретически ценен при обнаружении ранее неизвестных (zero-day) атак.

Практические аспекты внедрения и автоматизации

Интеграция машинного обучения в уже существующие системы может быть выполнена используя разные инструменты. Система Zeek(ранее Bro) обеспечивает достаточно глубокий анализ протоколов сетевого трафика, Suricata также совместима с расширениями для работы с ML и может быть применена при интеграции, такие инструменты как Apache Spark MLlib или TensorFlow Serving также могут применятся особенно в рамках масштабированного кластера моделей, для визуализации и хранения данных подойдут Kibana и ElasticSearch.

Основным решением в области автоматизации является применение интеграции анализаторов трафика с средствами защиты информации посредством SOAR (Security Orchestration, Automation and Response), также чтобы модели постоянно улучшались необходима реализация автоматическое переобучение моделей и их версионирование, это можно реализовать с помощью процесса MLOps (Machine Learning Operations).

Выводы и перспективы развития

Технологии машинного обучения для анализа сетевого трафика потенциально могут обеспечить кратное преимущество перед злоумышленниками и рост эффективности борьбы с сетевыми атаками. Учитывая текущие рекомендации регуляторов и стандартов, как международных, так и Российских внедрение интеллектуальных технологий

Перспективы развития дальнейших исследований указывают на необходимость разработки новых специализированных способов обработки зашифрованного трафика, разработка полностью автономных и самообучающихся моделей и систем, применение новых методов федеративного обучения и квантовых алгоритмов, касательно последних внимание уже обращено исследователями из Google: «Федеративное обучение представляет собой парадигму, позволяющую обучать алгоритмы на распределенных данных без необходимости их централизации, что особенно ценно для систем кибербезопасности, где обмен чувствительной информацией нежелателен» [13].

Литература:

1. ФСТЭК России. Методический документ «Защита информации. Требования к системам обнаружения вторжений». — М.: ФСТЭК России, 2021.
2. Гутников А., Куприев О., Шмелев Я. DDoS-атаки в первом квартале 2022 года // Securelist. — 2022. — URL: https://securelist.ru/ddos-attacks-in-q1–2022/105045/
3. ГОСТ Р ИСО/МЭК 27001–2021. — М.: Стандартинформ, 2021.
4. IEEE 802.1AE-2018. IEEE Standard for Local and Metropolitan Area Networks: Media Access Control (MAC) Security. — IEEE, 2018.
5. Scarfone K., Mell P. Guide to Intrusion Detection and Prevention Systems (IDPS). NIST Special Publication 800–94. — NIST, 2007.
6. Claise B., Trammell B., Aitken P. Specification of the IP Flow Information Export (IPFIX) Protocol. IETF RFC 7011. — IETF, 2013.
7. Методический документ «Руководство по организации процесса управления уязвимостями в органе (организации)» // ГАРАНТ. — 2023. — URL: https://www.garant.ru/products/ipo/prime/doc/406855550/
8. ENISA. Artificial Intelligence Cybersecurity Challenges. — ENISA, 2021.
9. Sharafaldin I., Lashkari A. H., Ghorbani A. A. Toward Generating a New Intrusion Detection Dataset and Intrusion Traffic Characterization // 4th International Conference on Information Systems Security and Privacy. — 2018. — С. 108–116.
10. Cisco Systems. Cisco Annual Internet Report (2018–2023). — Cisco, 2020.
11. Петренко С. А. Национальная система раннего предупреждения о компьютерном нападении. — СПб.: Издательский дом «Афина», 2021.
12. Lundberg S., Lee S. A Unified Approach to Interpreting Model Predictions // Advances in Neural Information Processing Systems 30. — 2017. — С. 4765–4774.
13. McMahan H. B., Ramage D. Federated Learning: Collaborative Machine Learning without Centralized Training Data // Google AI Blog. — 2017.