Результат интеллектуальной деятельности: Способ генерации универсального входного сигнала для нейросетевых детекторов компьютерных вторжений в межмашинных сетях

Изобретение относится к технике связи и может быть использовано при построении универсальных систем обнаружения компьютерных вторжений в межмашинных сетях.

В межмашинных (machine-to-machine, M2M) сетях беспроводные одноранговые устройства взаимодействуют по принципу «точка-точка», передавая данные от одного узла сети к другому. Такие сети используются в настоящее время для связи транспортных средств и мобильных устройств: в виде сетей VANET (vehicular adhoc networks, одноранговых сетей автотранспорта), FANET (flying adhoc networks, одноранговых сетей летающих средств), MARINET (marine adhoc network, одноранговых сетей плавательных средств), MANET (mobile adhoc networks, одноранговых сетей мобильных терминалов).

Перемещение узлов в межмашинных сетях и, как следствие, постоянное изменение топологии сети и перестройка связей между узлами сети, а также применение данных сетей для связи и управления киберфизических объектов с удаленным цифровым управлением (беспилотный транспорт, Интернет вещей, цифровые сенсорные сети предприятий, цифровые сети устройств коммунального снабжения и управления современных домов и зданий) приводит к активному расширению видов и типов компьютерных вторжений, направленных на нарушение работы сети и ее отдельных узлов.

Для обеспечения бесперебойной работы межмашинных сетей и узлов в условиях действия компьютерных вторжений и для своевременного реагирования на них средствами защиты межмашинной сети необходимо решать задачу обнаружения вторжений.

Известен способ интеллектуального выявления и предотвращения вторжений в киберфизических системах для промышленных систем управления – «Intelligent cyberphysical instrusion detection and prevention systems and methods for industrial control systems» (IN1209CH2014, опубл. 29.05.2015 по классу МПК G08B13/00). Способ включает блок мониторинга параметров работы устройств в сети, выполняющий сбор признаков и свойств поведения устройств, и блок выявления и предотвращения вторжений, коммуникативно связанный с блоком мониторинга. Аномалии в поведении устройства детектируют в блоке выявления вторжений путем сверки сигнатуры («отпечатка») признаков, характерных для проявления вторжения с собранными данными, полученными от блока мониторинга. Способ применяют для промышленных систем управления, объединенных коммуникационной сетью. Недостатком данного способа является то, что он направлен на выявление отклонений в функционировании систем управления промышленным оборудованием, и неприменим для других киберсред – сетей IoT, VANET, MANET, FANET, MARINET, также неприменим для выявления вторжений, осуществляемых через сетевые протоколы (компьютерные сетевые атаки на цифровые устройства) и для выявления программных нарушений безопасной работы устройств, которые не имеют заданной сигнатуры.

Наиболее близким налогом является способ и устройство обнаружения вторжений для сетей MANET на базе глубокого обучения – «Mobile ad hoc network intrusion detection method and device based on deep learning» (CN104935600, опубл. 23.09.2015 по классам МПК H04L29/06; H04W12/12, заявитель NO 54 INST CN ELEC SCI & TECH CN). Указанное изобретение раскрывает способ, согласно которому выполняют сбор данных, затем по собранным данным о сетевых параметрах выполняют обнаружение вторжений в блоке-детекторе вторжений по признакам вторжений с применением искусственной нейронной сети глубокого обучения. В детекторе компьютерных вторжений в указанной системе используют искусственную нейронную сеть для обработки векторов признаков вторжений и обучения нейросети. При подаче на вход детектора вторжений собранного набора данных о сетевых параметрах вторжения могут быть распознаны снова обученной нейросетью. Недостаток такого способа и системы, построенной на его основе, заключается в том, что для выявления вторжения используют детектор на базе глубокой искусственную нейросети, обученной определять один тип сетевых вторжений, для которого нейросеть обучена на известных признаках вторжений. Вторжения разных типов и вторжения типов, отличных от сетевых (вторжения в результате эксплуатации программных уязвимостей в коде устройств сети, отказы устройств сети передач данных, вызванные целенаправленными нарушениями в работе динамической маршрутизации на одноранговых узлах межмашинной сети) данным способом и нейросетевым детектором выявить нельзя. Соответственно, указанное изобретение имеет ограниченную применимость по типам вторжений. Кроме того, способ и система предложены для мобильных сетей типа MANET, для сетей VANET и прочих разновидностей межмашинных сетей, которые имеют другие сетевые характеристики, способ не может быть использован.

Технической проблемой является детектирование компьютерных вторжений разного типа и разной природы в межмашинной сети одним детектором компьютерных вторжений.

Решение указанной технический проблемы достигается тем, что в отличие от известного технического решения, выбранного за прототип, включающий сбор данных о параметрах устройств и обнаружение вторжений по признакам вторжений с применением искусственной нейронной сети, вводят дополнительный блок генерации универсального входного сигнала для блока обнаружения вторжений, при этом

в блоке генерации универсального входного сигнала принимают на вход для программного уровня вторжения исполняемый файл программы управления, который выполняется на процессоре узла межмашинной сети, или для сетевого уровня набор временных рядов таблиц маршрутизации каждого узла межмашинной сети;

независимо от типа входных данных формируют универсальный сигнал в виде записи графовой структуры, для чего

в случае, если вход представляет собой исполняемый файл программы управления, то извлекают исполняемую секцию, секции данных, экспорта, констант, таблицу экспорта программы;

по этим данным определяют точку входа в программу;

проверяют права доступа на исполняемую секцию кода;

в случае, когда право на запись не задано, код считают неполиморфным, затем, начиная с точки входа, поиском в глубину формируют ориентированный граф передачи управления кода, в котором вершинами графа являются базовые блоки кода, разделенные инструкциями передачи управления, а веса ребер графа устанавливают одинаковыми и нормализуют на единицу,

в случае, когда программный код является полиморфным, его запускают в программе-отладчике и формируют из полученного от отладчика кода граф передачи управления кода описанным ранее образом, при этом участки кода, которые непосредственно осуществляют модификацию исполняемого кода, в данных далее не присутствуют;

если в блоке генерации универсального входного сигнала принимают на вход для сетевого уровня вторжения набор таблиц маршрутизации, то из каждой таблицы извлекают записи о целевом адресе, шлюзе, интерфейсе, флаге доступности, числе переходов до целевого адреса;

встреченным IP-адресам присваивают последовательные номера (начиная с 0);

для каждого момента времени строят ориентированный граф сети на основе записей в таблицах маршрутизации, в котором вершинами являются интерфейсы сетевых узлов, исходящие ребра соединяют достижимые в данный момент времени вершины графа, а веса ребер у каждой вершины пропорциональны значению числа переходов и нормализованы на единицу;

в обоих случаях из построенного графа генерируют универсальный матричный сигнал управления, записывая в регистр матрицу смежности размером N на N, где N – целое число, показывающее количество вершин графа, и каждая ячейка матрицы указывает соединенные вершины, и матрицу свойств вершин графа размером N на F, где F – целое число свойств каждой вершины графа и свойство каждой вершины задано в ячейках матрицы в стандартной векторной записи;

универсальный матричный сигнал управления, сформированный в регистре из графа, передают в качестве управляющего сигнала на блок обнаружения вторжений, который обнаруживает вторжения по наборам признаков вторжений с применением искусственной нейронной сети.

Поскольку для реализации компьютерного вторжения в межмашинных сетях используют либо программные уязвимости в программном коде, выполняющемся на узле сети, либо эксплуатируют ошибки в сетевых протоколах маршрутизации при передаче сетевых пакетов между узлами сети, то возможно два уровня вторжения: программный и сетевой. В данном способе блок генерации универсального входного сигнала обеспечивает сокрытие от блока обнаружения вторжений разнородности во входных данных для разных типов компьютерных вторжений, независимо от того вторжение программного или сетевого уровня необходимо детектировать. Решение достигается за счет генерации признакового пространства, в котором осуществляется поиск признаков вторжения, в виде универсального матричного сигнала управления. Блок обнаружения вторжений по признакам вторжений с применением искусственной нейронной сети получает матричные сигналы, которые являются едиными для любого компьютерного вторжения независимо от ее разновидности и природы. За счет этого нейросетевые детекторы компьютерных вторжений и построенные на их базе системы обнаружения вторжений могут работать с единым пространством признаков для выявления вторжений, становятся универсальными к типу вторжения, что расширяет их возможности по определению компьютерных вторжений разных типов и природы, повышает точность обнаружения вторжений, не зависит от разновидности межмашинной сети и улучшает защищенность современных межмашинных сетей в целом.

Изобретение поясняется чертежами, где на фиг. 1 представлена блок-схема способа генерации универсального входного сигнала для нейросетевых детекторов компьютерных вторжений в межмашинных сетях, на фиг. 2 представлен пример анализируемого программного кода, на фиг. 3 представлен пример графа управления для программного кода, на фиг. 4 — пример матричного сигнала управления для описанного примера графового представления программного кода, на фиг. 5 — пример таблиц маршрутизации межмашинной сети, на фиг. 6 — пример графа межмашинной сети, на фиг. 7 — пример матричного сигнала для описанного примера графа межмашинной сети.

Блок генерации универсального входного сигнала вводят дополнительно между сбором данных о межмашинной сети и обнаружением вторжений (фиг. 1). Этапы способа генерации универсального входного сигнала закрашены на фиг. 1 и пронумерованы 1, 2, 3 на фиг. 1. Для генерации универсального входного сигнала необходимы собранные данные о сети. Для выявления программных вторжений они поступают в виде исполняемого файла программы управления устройства, которое подключено к межмашинной сети. Для обнаружения сетевых вторжений используют структура сети в виде таблиц маршрутизации с устройств сети (блок 1 на фиг. 1). Для генерации универсального сигнала в блоке генерации универсального входного сигнала выделяют универсальную графовую структуру, независимую от поступивших входных данных (блок 2 на фиг. 1) и генерируют универсальный матричный сигнал, который передают далее на вход блоку обнаружения вторжений, собственно выполняющему обнаружение компьютерного вторжения по признакам вторжения (блок 3 на фиг. 1).

Примером программы управления является исполняемый код прошивки блока управления двигателем в беспилотном автомобиле, который подключен к межмашинной сети транспортных средств (сети VANET). Фрагмент исполняемой секции файла, содержащего код прошивки управления, представляет собой машинный код процессорной архитектуры MIPS, представленный на фиг. 2.

В блоке генерации универсального входного сигнала для исполняемого кода поступившей программы управления выделяет граф управления кода. Вершинам графа (базовым блокам кода) присвоены последовательные номера, начиная с 0, ребра графа нормализованы на 1 и взвешены в зависимости от длины пути (фиг. 3). На основе таких данных в блоке генерации универсального входного сигнала формируют матрицу сигналов, включающую на основе графа управления кода матрицы смежности A и свойств вершин E (пример матриц для графа управления кода приведен на фиг. 4).

Рассмотрим пример для сетевого вторжения. На вход блоку генерации универсального входного сигнала подается временной ряд таблиц маршрутизации всех вершин в графе сети. Каждая таблица маршрутизации задает конфигурацию вершины в текущем графе сети в заданный момент времени (фиг. 5). Таблица маршрутизации в каждый момент временного ряда преобразуется в соответствующий ей ориентированный граф (фиг. 6). По каждому такому графу сети в блоке формируют последовательность, включающую матрицу смежности A и матрицу свойств вершин E, (пример матриц приведен на фиг. 7 для одного момента времени). С учетом изменения топологии межмашинной сети во времени, так как узлы межмашинной сети перемещаются, матриц может быть несколько в соответствии с количеством временных отсчетов, в которые фиксировались состоянии межмашинной сети.

Таким образом, генерируют выходной матричный сигнал, который позволяет при обнаружении вторжений определять вторжения по признакам вторжения независимо от типа и природы вторжения.

Добавление блока генерации универсального входного сигнала позволяет усовершенствовать обнаружение вторжений, перейдя от выявления вторжения одного вида на одном детекторе к выявлению множества вторжений на одном детекторе и к выявлению компьютерных вторжений разной природы.