Обнаружение распределенных атак типа "Отказ в обслуживании" (D DOS) с помощью машинного и глубокого обучения: обзор методов и технологий

Размещено на http://www.allbest.ru/

Обнаружение распределенных атак типа "Отказ в обслуживании" (D DOS) с помощью машинного и глубокого обучения: обзор методов и технологий

Сихаджок А.Е.,

Демкин Д.А.

Аннотация: D DoS-атаки представляют собой серьезную угрозу для онлайн-сервисов, сетей и бизнеса, способствуя значительным сбоям в работе, финансовым потерям и ущербу. В статье рассматриваются методы машинного и глубокого обучения для обнаружения и предотвращения D DoS-атак. атака машинный угроза

В работе обсуждаются различные подходы к обнаружению и предотвращению D DoS-атак, включая использование средств защиты, установленных на стороне источника атаки, и гибридных защитных механизмов. В статье также рассматриваются примеры компаний, которые успешно внедрили ИИ для обнаружения и предотвращения D DoS-атак.

Ключевые слова: информационная безопасность, D DoS-атаки, машинное обучение, глубокое обучение.

Sikhadzhok A.E., Demkin D.A.

DETECTION OF DISTRIBUTED ATTACKS TYPE DENIAL OF SERVICE (D DOS) BY MACHINE AND DEEP LEARNING: REVIEW OF METHODS AND TECHNOLOGIES

Abstract: D DoS attacks pose a serious threat to online services, networks and businesses, causing significant disruption, financial loss and damage. The article discusses machine and deep learning methods for detecting and preventing D DoS attacks.

The paper discusses various approaches to detecting and preventing D DoS attacks, including the use ofprotection measures installed at the source of the attack and hybrid protection mechanisms. The article also discusses examples of companies that have successfully implemented AI to detect and prevent D DoS attacks.

Keywords: Information security, D DoS attacks, machine learning, deep learning.

Информационная безопасность стала одним из основных приоритетов в развитии информационных технологий. Причиной тому является все большая цифровизация современной экономики и общества, что приводит все большему распространению угроз целостности, конфиденциальности и доступности информации (киберугрозы).

Одной из наиболее опасных типов киберугроз является распределенная атака типа "отказ в обслуживании" (D DoS), которая может привести к значительным сбоям в работе, финансовым потерям и ущербу репутации. D DoS-атаки становятся все более сложными и разнообразными, что требует разработки более эффективных методов обнаружения и предотвращения.

Машинное и глубокое обучение - это два из наиболее перспективных направления в области информационной безопасности, которые могут помочь в обнаружении и предотвращении D DoS-атак [1]. Машинное обучение позволяет анализировать большие объемы данных и обнаруживать аномалии в трафике, а глубокое обучение может помочь в обнаружении сложных паттернов и отношений между входными воздействиями [2].

Методы машинного обучения для обнаружения D DoS-атак можно разделить на четыре типа:

• обучение с учителем,

• обучение без учителя,

• обучение с частичным наблюдением,

• обучение с подкреплением.

Обучение с учителем (Supervised learning) - это направление машинного обучения, которое использует маркированные данные для обучения модели. В этом подходе алгоритм обучается на основе множества примеров, содержащих пары "известный вход - известный выход". Целью обучения с учителем является минимизация ошибки между предсказанным и фактическим выходами модели.

В процессе обучения с учителем алгоритм работает с примерами, которые содержат не только вектор независимых переменных (атрибутов, признаков), но и значение, которое должна выдавать модель после обучения (целевое значение). Разность между целевым и фактическим выходами модели называется ошибкой обучения, которая минимизируется в процессе обучения.

Существуют следующие вариации обучения с учителем:

• случайный лес - это алгоритм комплексного обучения, который решает несколько задач, чтобы повысить точность обнаружения D DoS-атак,

• машины опорных векторов (SVM) - это алгоритм, который преобразует обучающую модель в классификацию трафика как нормального или атакующего,

• классификация на основе решений дерева: Классификация на основе решений дерева - это метод машинного обучения, который использует решения дерева для классификации трафика как нормального или атакующего,

• метод k-ближайших соседей (KNN) - это алгоритм, который классифицирует трафик на основе его сходства с соседними трафиками.

Обучение без учителя (Unsupervised Learning) - это метод машинного обучения, при котором модель обучается на неразмеченных данных без контроля со стороны пользователя. В этом подходе алгоритм не получает никаких подсказок или меток, и его задача - самостоятельно обнаружить закономерности, скрытые взаимосвязи и структуры в данных.

Обучение без учителя используется в задачах, где не известен конкретный результат или метка, и модель должна самостоятельно определить, какие объекты или признаки являются важными. Это может включать в себя задачи кластеризации, поиска аномалий, поиска ассоциаций и уменьшения размерности.

В отличие от обучения с учителем, где модель получает метки и подсказки, обучение без учителя не имеет явного результата или метки, и алгоритм должен самостоятельно определить, что является важным в данных. Существуют следующие вариации обучения без учителя:

• кластеризация К-средних - это алгоритм, который преобразует группировку трафика в кластеры на основе их сходства,

• иерархическая кластеризация - это метод обучения, который позволяет группировать трафик в кластеры на основе их сходства и связей.

• дендрограмма - это метод обучения, который визуализирует иерархические отношения между кластерами трафика,

• метод главный компонент (PCA) - это алгоритм обучения, который уменьшает размерность данных, чтобы обнаруживать аномалии в трафике.

Обучение с частичным наблюдением (Semi-Supervised Learning) - это метод машинного обучения, который занимает промежуточное положение между обучением с учителем и без учителя. В этом подходе алгоритм использует как размеченные, так и неразмеченные данные для обучения модели.

Обучение с частичным наблюдением полезно в ситуациях, когда получение достаточного количества размеченных данных затруднено, но есть доступ к неразмеченным данным. Неразмеченные данные могут помочь в изучении генерирующего процесса и уменьшении размерности, что упрощает, например, привязку предположения плавности.

В этом методе алгоритм использует размеченные данные для обучения модели, а неразмеченные данные для улучшения ее эффективности. Это позволяет достичь более высокой точности, чем при использовании только размеченных или неразмеченных данных. Существуют следующие методы:

• метод частичного наблюдения - это машинное алгоритмическое обучение, которое использует как маркированные, так и немаркированные данные для обучения моделей,

• метод активного обучения - это алгоритм машинного обучения, который выбирает наиболее информативные данные для обучения моделей.

Обучение с подкреплением (Reinforcement Learning, RL) - это метод машинного обучения, который обучает программное обеспечение принимать решения для достижения наиболее оптимальных результатов. Это обучение основано на имитации процесса обучения методом проб и ошибок, который люди используют для достижения своих целей.

Действия программного обеспечения, направленные на достижение цели, усиливаются, а действия, отвлекающие от цели, игнорируются. RL, напротив, позволяет учиться на основе взаимодействия, чтобы со временем находить лучшие или наиболее подходящие решения. Есть следующие типы:

• Q-обучение - это алгоритм обучения, который помогает обучающим моделям принимать решения на основе наград или штрафов,

• глубокие сети Q (DQN) - это алгоритм обучения, который позволяет обучению глубокой нейронной сети принимать решения на основе наград или штрафов,

• метод SARSA - это метод обучения, который учитывает как награду, так и штрафы при обнаружении решений.

Методы глубокого обучения - это алгоритмы машинного обучения, которые моделируют высокоуровневые абстракции в данных с использованием архитектур, состоящих из множества нелинейных преобразований. Глубокое обучение - это разновидность машинного обучения, в которой искусственные нейронные сети обучаются на огромных объемах данных, что позволяет им настроить нейроны в нейронной сети и образовать модель, способную обрабатывать новые данные. Методы глубокого обучения включают в себя:

• методы глубокого обучения для обнаружения D DoS-атак позволяют использовать традиционные нейронные сети, чтобы объяснить сложные закономерности и отношения между входными воздействиями [3],

• свёрточные нейронные сети (CNN) - это метод, который позволяет изучать нейронные сети, чтобы определять закономерности и отношения между входными последовательностями,

• рекуррентные нейронные сети (RNN) - это алгоритм, который позволяет обучать нейронную сеть, чтобы обнаруживать паттерны и отношения между входными признаками во времени,

• сеть долгосрочной памяти (LSTM) - это тип RNN, который позволяет обучать нейронную сеть, находить закономерности и отношения между входными эффектами во времени,

• автоэнкодеры - это метод, который позволяет обнаруживать аномалии в трафике на основе их отличия от нормального трафика,

• генеративно-состязательные сети (GAN) - это метод глубокого обучения, который позволяет минимально использовать синтетические данные, чтобы улучшить обнаружение D DoS-атак.

Методы машинного и глубокого обучения для обнаружения D DoS-атак имеют ряд преимуществ, в том числе:

• повышенная точность: методы машинного обучения и глубокого обучения повышают точность обнаружения D DoS-атак по сравнению с консервативными методами,

• повышенная эффективность: методы машинного обучения и глубокого обучения могут обрабатывать большие объемы данных на первой стадии, что делает их более эффективными при обнаружении D DoS-атак.

• увеличенная адаптивность: методы машинного и глубокого обучения могут адаптироваться к меняющимся условиям и типам D DoS-атак.

Однако эти методы также имеют ограничения, например:

• требование больших объемов данных: методы машинного обучения и глубокого обучения требуют больших объемов данных для обучения и тестирования моделей,

• сложность интерпретации результатов: Результаты, полученные с помощью методов машинного обучения и глубокого обучения, могут быть прагматичными для интерпретации и понимания,

• возможность ошибок: Методы машинного и глубокого обучения могут ошибаться при обнаружении D DoS-атак, если модели не были должным образом обучены или если данные содержат ошибки.

В дальнейшем, как руководство, методы машинного и глубокого обучения будут играть решающую роль в обнаружении и предотвращении D DoS-атак [4]. Однако для этого необходимо вызывать случайные вызовы, такие как:

• увеличение сложности D DoS-атаки: D DoS-атаки Становятся все более сложными и разносторонне сложными, что требует разработки более эффективных методов обнаружения,

• недостаток данных: Недостаток данных для обучения и моделей машинного и глубокого обучения может ограничивать их эффективность,

• увеличение сложности интернета вещей (IoT): Увеличение количества устройств IoT создает новые возможности для D DoS-атак, что требует разработки более эффективных методов обнаружения,

• увеличение использования искусственного интеллекта (ИИ) в D DoS- атаках: Увеличение использования искусственного интеллекта (ИИ) в D DoS- атаках порождает новые вызовы для обнаружения и предотвращения подобных атак.

В будущем ожидается, что методы машинного и глубокого обучения будут развиваться в следующих направлениях:

• увеличение использования Explainable AI (XAI) - это метод, который позволяет интерпретировать и понимать результаты, полученные с помощью методов машинного и глубокого обучения,

• увеличение использования федеративного обучения: Федеративное обучение - это метод, который позволяет обучать модели на распределенных данных, не требуя централизованного хранения данных,

• увеличение использования Transfer Learning - это метод, который позволяет использовать уже обученные модели для обнаружения D DoS-атак в новых установках,

• увеличение использования Active Learning - это метод, который позволяет выбирать наиболее информативные данные для моделей обучения, что может улучшить эффективность обнаружения D DoS-атак.

Примеры компаний, которые успешно внедрили ИИ для обнаружения и предотвращения D DoS-атак в России:

Qrator Labs: компания, которая специализируется на защите от D DoS- атак, сетевой безопасности, защите сайта от взлома и обеспечении надежной работы DNS. Они используют ИИ для обнаружения и предотвращения D DoS- атак.

РТК-Солар: компания, которая предлагает решения для защиты от D DoS-атак и других киберугроз. Они используют ИИ для обнаружения и предотвращения D DoS-атак на уровне L7.

Примеры компаний, которые успешно внедрили ИИ для обнаружения и предотвращения D DoS-атак за рубежом:

AWS (США): предлагает услуги защиты от D DoS-атак, включая пропускную способность и производительность сервера, достаточную для независимости и нейтрализации атак.

PowerDMARC (США): предлагает комплексные средства обнаружения уязвимостей, протоколы проактивного реагирования на инциденты и средства сети "Детихи" для предотвращения и смягчения последствий D DoS-атак.

Cloudflare (США): предлагает услуги защиты от D DoS-атак, включая распределенную защиту и мониторинг трафика.

Akamai (США): предлагает услуги защиты от D DoS-атак, включая пропускную способность и производительность сервера, достаточную для поглощения и нейтрализации атак.

Imperva (США): предлагает услуги защиты от D DoS-атак, включая мониторинг трафика и обнаружение аномалий.

Список литературы