Журнал "Information Security/ Информационная безопасность" #4, 2020

ошибки реконструкции для ФВК тестовой выборки, а также гра- фик ошибки реконструкции для ФВК обучающей выборки и порог обнаружения аномалий. На графике отмечены значе- ния ошибки реконструкции, пре- вышающие заданный порог, то есть распознанные классифи- катором как аномальные. Поскольку порядковый номер ФВК по оси абсцисс позволяет однозначно определить времен- ной интервал соответствующего фрагмента трафика, было выяснено, что одно из превы- шений порога – это ложная тре- вога (false positive), а три осталь- ных соответствуют трем обна- руженным атакам SQL-injection (SQLIA1, SQLIA2, SQLIA3). Наличие ложного срабатывания может быть объяснено как недо- статочным качеством обучен- ного классификатора, так и воз- мущениями, внесенными сре- дой выполнения во временные характеристики обрабатывае- мых запросов. Сравним вид ФВК, которые были распознаны нейросетевым классификатором как нормаль- ные и ошибка для которых была мала, с видом ФВК, ошибка реконструкции для которых пре- высила пороговое значение IRE (см. рис. 6). Отметим, что ФВК, соответ- ствующие атакам SQL-injection, носят мультимодальный харак- тер, в отличие от ФВК из обла- сти нормальных. В "узком горле" обученной ней- росети, состоящем из трех ней- ронов, происходит сжатие подан- ных на вход данных. В трехмер- ном пространстве показаны точки нормальных ФВК, харак- теризующие профиль нормаль- ной работы, и точки тестовой выборки (см. рис. 7). Видно, что большинство ФВК из тестовой выборки нейросеть распознала и отнесла к про- странству нормальных ФВК, характеризующих профиль нор- мальной работы. Некоторые ФВК, отстоящие от выделенной нормальной области, нейронная сеть нашла аномальными, часть из них действительно характе- ризуют реакцию сервера на вре- доносные SQL-запросы. Рассматривая в качестве объ- екта классификации все нену- левые ФВК тестовой выборки, можно рассчитать стандартные характеристики классификато- ра (см. табл.). Таким образом, метод обна- ружения аномалий на основе автокодировщика был успешно применен для обнаружения трех проведенных атак SQL-injection на сервис МyBB. Полученные результаты поз- воляют серьезно рассматривать вопрос распространения разра- ботанного метода для обнару- жения и других сетевых атак на простые сервисы. l 44 • ТЕХНОЛОГИИ Рис. 5. Ошибка реконструкции для обучающей (синий цвет) и тестовой (красный цвет) выборки Рис. 6. Вид нормальных ФВК для малой ошибки IRE и вид аномальных ФВК для ошибки выше порога IRE True False Positive 4826 0 Negative 3 1 Recall 99,9% Precision 100% F-мера 99,9% Таблица. Матрица ошибок классификации и характеристики качества классификатора Рис. 7. Профиль нормальной работы сервера и обнаруженные аномальные отклики сервера Ваше мнение и вопросы присылайте по адресу is@groteck.ru

RkJQdWJsaXNoZXIy Mzk4NzYw