Способ генерации универсального входного сигнала для нейросетевых детекторов компьютерных вторжений в межмашинных сетях

Авторы патента:

Демидов Роман Алексеевич (RU)

Зегжда Петр Дмитриевич (RU)

Калинин Максим Олегович (RU)

H04L29/02 - управление передачей данных; обработка данных, поступающих с линий связи (H04L 29/12,H04L 29/14 имеют преимущество)

G06N3/02 - использующие модели нейронных сетей (для адаптивного управления G05B 13/00; для сопоставления с эталоном изображения при распознавании образов G06K 9/00; для обработки данных изображения G01T 1/40; для сопоставления с фонетическим эталоном при распознавании речи G10L 15/16)

G06F21/55 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2702274:

федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" (ФГАОУ ВО "СПбПУ") (RU)

Изобретение относится к области техники связи. Технический результат заключается в повышении точности обнаружения вторжений и повышении защищенности межмашинных сетей. Технический результат достигается за счет генерации универсального входного сигнала для блока обнаружения вторжений, обеспечивающего сокрытие от блока обнаружения вторжений разнородности во входных данных для разных типов компьютерных вторжений программного и сетевого уровня за счет формирования признакового пространства, в котором осуществляется поиск признаков вторжения, в виде универсального матричного сигнала. 7 ил.

Изобретение относится к технике связи и может быть использовано при построении универсальных систем обнаружения компьютерных вторжений в межмашинных сетях.

В межмашинных (machine-to-machine, M2M) сетях беспроводные одноранговые устройства взаимодействуют по принципу «точка-точка», передавая данные от одного узла сети к другому. Такие сети используются в настоящее время для связи транспортных средств и мобильных устройств: в виде сетей VANET (vehicular adhoc networks, одноранговых сетей автотранспорта), FANET (flying adhoc networks, одноранговых сетей летающих средств), MARINET (marine adhoc network, одноранговых сетей плавательных средств), MANET (mobile adhoc networks, одноранговых сетей мобильных терминалов).

Перемещение узлов в межмашинных сетях и, как следствие, постоянное изменение топологии сети и перестройка связей между узлами сети, а также применение данных сетей для связи и управления киберфизических объектов с удаленным цифровым управлением (беспилотный транспорт, Интернет вещей, цифровые сенсорные сети предприятий, цифровые сети устройств коммунального снабжения и управления современных домов и зданий) приводит к активному расширению видов и типов компьютерных вторжений, направленных на нарушение работы сети и ее отдельных узлов.

Для обеспечения бесперебойной работы межмашинных сетей и узлов в условиях действия компьютерных вторжений и для своевременного реагирования на них средствами защиты межмашинной сети необходимо решать задачу обнаружения вторжений.

Известен способ интеллектуального выявления и предотвращения вторжений в киберфизических системах для промышленных систем управления – «Intelligent cyberphysical instrusion detection and prevention systems and methods for industrial control systems» (IN1209CH2014, опубл. 29.05.2015 по классу МПК G08B13/00). Способ включает блок мониторинга параметров работы устройств в сети, выполняющий сбор признаков и свойств поведения устройств, и блок выявления и предотвращения вторжений, коммуникативно связанный с блоком мониторинга. Аномалии в поведении устройства детектируют в блоке выявления вторжений путем сверки сигнатуры («отпечатка») признаков, характерных для проявления вторжения с собранными данными, полученными от блока мониторинга. Способ применяют для промышленных систем управления, объединенных коммуникационной сетью. Недостатком данного способа является то, что он направлен на выявление отклонений в функционировании систем управления промышленным оборудованием, и неприменим для других киберсред – сетей IoT, VANET, MANET, FANET, MARINET, также неприменим для выявления вторжений, осуществляемых через сетевые протоколы (компьютерные сетевые атаки на цифровые устройства) и для выявления программных нарушений безопасной работы устройств, которые не имеют заданной сигнатуры.

Наиболее близким налогом является способ и устройство обнаружения вторжений для сетей MANET на базе глубокого обучения – «Mobile ad hoc network intrusion detection method and device based on deep learning» (CN104935600, опубл. 23.09.2015 по классам МПК H04L29/06; H04W12/12, заявитель NO 54 INST CN ELEC SCI & TECH CN). Указанное изобретение раскрывает способ, согласно которому выполняют сбор данных, затем по собранным данным о сетевых параметрах выполняют обнаружение вторжений в блоке-детекторе вторжений по признакам вторжений с применением искусственной нейронной сети глубокого обучения. В детекторе компьютерных вторжений в указанной системе используют искусственную нейронную сеть для обработки векторов признаков вторжений и обучения нейросети. При подаче на вход детектора вторжений собранного набора данных о сетевых параметрах вторжения могут быть распознаны снова обученной нейросетью. Недостаток такого способа и системы, построенной на его основе, заключается в том, что для выявления вторжения используют детектор на базе глубокой искусственную нейросети, обученной определять один тип сетевых вторжений, для которого нейросеть обучена на известных признаках вторжений. Вторжения разных типов и вторжения типов, отличных от сетевых (вторжения в результате эксплуатации программных уязвимостей в коде устройств сети, отказы устройств сети передач данных, вызванные целенаправленными нарушениями в работе динамической маршрутизации на одноранговых узлах межмашинной сети) данным способом и нейросетевым детектором выявить нельзя. Соответственно, указанное изобретение имеет ограниченную применимость по типам вторжений. Кроме того, способ и система предложены для мобильных сетей типа MANET, для сетей VANET и прочих разновидностей межмашинных сетей, которые имеют другие сетевые характеристики, способ не может быть использован.

Технической проблемой является детектирование компьютерных вторжений разного типа и разной природы в межмашинной сети одним детектором компьютерных вторжений.

Решение указанной технический проблемы достигается тем, что в отличие от известного технического решения, выбранного за прототип, включающий сбор данных о параметрах устройств и обнаружение вторжений по признакам вторжений с применением искусственной нейронной сети, вводят дополнительный блок генерации универсального входного сигнала для блока обнаружения вторжений, при этом

в блоке генерации универсального входного сигнала принимают на вход для программного уровня вторжения исполняемый файл программы управления, который выполняется на процессоре узла межмашинной сети, или для сетевого уровня набор временных рядов таблиц маршрутизации каждого узла межмашинной сети;

независимо от типа входных данных формируют универсальный сигнал в виде записи графовой структуры, для чего

в случае, если вход представляет собой исполняемый файл программы управления, то извлекают исполняемую секцию, секции данных, экспорта, констант, таблицу экспорта программы;

по этим данным определяют точку входа в программу;

проверяют права доступа на исполняемую секцию кода;

в случае, когда право на запись не задано, код считают неполиморфным, затем, начиная с точки входа, поиском в глубину формируют ориентированный граф передачи управления кода, в котором вершинами графа являются базовые блоки кода, разделенные инструкциями передачи управления, а веса ребер графа устанавливают одинаковыми и нормализуют на единицу,

в случае, когда программный код является полиморфным, его запускают в программе-отладчике и формируют из полученного от отладчика кода граф передачи управления кода описанным ранее образом, при этом участки кода, которые непосредственно осуществляют модификацию исполняемого кода, в данных далее не присутствуют;

если в блоке генерации универсального входного сигнала принимают на вход для сетевого уровня вторжения набор таблиц маршрутизации, то из каждой таблицы извлекают записи о целевом адресе, шлюзе, интерфейсе, флаге доступности, числе переходов до целевого адреса;

встреченным IP-адресам присваивают последовательные номера (начиная с 0);

для каждого момента времени строят ориентированный граф сети на основе записей в таблицах маршрутизации, в котором вершинами являются интерфейсы сетевых узлов, исходящие ребра соединяют достижимые в данный момент времени вершины графа, а веса ребер у каждой вершины пропорциональны значению числа переходов и нормализованы на единицу;

в обоих случаях из построенного графа генерируют универсальный матричный сигнал управления, записывая в регистр матрицу смежности размером N на N, где N – целое число, показывающее количество вершин графа, и каждая ячейка матрицы указывает соединенные вершины, и матрицу свойств вершин графа размером N на F, где F – целое число свойств каждой вершины графа и свойство каждой вершины задано в ячейках матрицы в стандартной векторной записи;

универсальный матричный сигнал управления, сформированный в регистре из графа, передают в качестве управляющего сигнала на блок обнаружения вторжений, который обнаруживает вторжения по наборам признаков вторжений с применением искусственной нейронной сети.

Поскольку для реализации компьютерного вторжения в межмашинных сетях используют либо программные уязвимости в программном коде, выполняющемся на узле сети, либо эксплуатируют ошибки в сетевых протоколах маршрутизации при передаче сетевых пакетов между узлами сети, то возможно два уровня вторжения: программный и сетевой. В данном способе блок генерации универсального входного сигнала обеспечивает сокрытие от блока обнаружения вторжений разнородности во входных данных для разных типов компьютерных вторжений, независимо от того вторжение программного или сетевого уровня необходимо детектировать. Решение достигается за счет генерации признакового пространства, в котором осуществляется поиск признаков вторжения, в виде универсального матричного сигнала управления. Блок обнаружения вторжений по признакам вторжений с применением искусственной нейронной сети получает матричные сигналы, которые являются едиными для любого компьютерного вторжения независимо от ее разновидности и природы. За счет этого нейросетевые детекторы компьютерных вторжений и построенные на их базе системы обнаружения вторжений могут работать с единым пространством признаков для выявления вторжений, становятся универсальными к типу вторжения, что расширяет их возможности по определению компьютерных вторжений разных типов и природы, повышает точность обнаружения вторжений, не зависит от разновидности межмашинной сети и улучшает защищенность современных межмашинных сетей в целом.

Изобретение поясняется чертежами, где на фиг. 1 представлена блок-схема способа генерации универсального входного сигнала для нейросетевых детекторов компьютерных вторжений в межмашинных сетях, на фиг. 2 представлен пример анализируемого программного кода, на фиг. 3 представлен пример графа управления для программного кода, на фиг. 4 — пример матричного сигнала управления для описанного примера графового представления программного кода, на фиг. 5 — пример таблиц маршрутизации межмашинной сети, на фиг. 6 — пример графа межмашинной сети, на фиг. 7 — пример матричного сигнала для описанного примера графа межмашинной сети.

Блок генерации универсального входного сигнала вводят дополнительно между сбором данных о межмашинной сети и обнаружением вторжений (фиг. 1). Этапы способа генерации универсального входного сигнала закрашены на фиг. 1 и пронумерованы 1, 2, 3 на фиг. 1. Для генерации универсального входного сигнала необходимы собранные данные о сети. Для выявления программных вторжений они поступают в виде исполняемого файла программы управления устройства, которое подключено к межмашинной сети. Для обнаружения сетевых вторжений используют структура сети в виде таблиц маршрутизации с устройств сети (блок 1 на фиг. 1). Для генерации универсального сигнала в блоке генерации универсального входного сигнала выделяют универсальную графовую структуру, независимую от поступивших входных данных (блок 2 на фиг. 1) и генерируют универсальный матричный сигнал, который передают далее на вход блоку обнаружения вторжений, собственно выполняющему обнаружение компьютерного вторжения по признакам вторжения (блок 3 на фиг. 1).

Примером программы управления является исполняемый код прошивки блока управления двигателем в беспилотном автомобиле, который подключен к межмашинной сети транспортных средств (сети VANET). Фрагмент исполняемой секции файла, содержащего код прошивки управления, представляет собой машинный код процессорной архитектуры MIPS, представленный на фиг. 2.

В блоке генерации универсального входного сигнала для исполняемого кода поступившей программы управления выделяет граф управления кода. Вершинам графа (базовым блокам кода) присвоены последовательные номера, начиная с 0, ребра графа нормализованы на 1 и взвешены в зависимости от длины пути (фиг. 3). На основе таких данных в блоке генерации универсального входного сигнала формируют матрицу сигналов, включающую на основе графа управления кода матрицы смежности A и свойств вершин E (пример матриц для графа управления кода приведен на фиг. 4).

Рассмотрим пример для сетевого вторжения. На вход блоку генерации универсального входного сигнала подается временной ряд таблиц маршрутизации всех вершин в графе сети. Каждая таблица маршрутизации задает конфигурацию вершины в текущем графе сети в заданный момент времени (фиг. 5). Таблица маршрутизации в каждый момент временного ряда преобразуется в соответствующий ей ориентированный граф (фиг. 6). По каждому такому графу сети в блоке формируют последовательность, включающую матрицу смежности A и матрицу свойств вершин E, (пример матриц приведен на фиг. 7 для одного момента времени). С учетом изменения топологии межмашинной сети во времени, так как узлы межмашинной сети перемещаются, матриц может быть несколько в соответствии с количеством временных отсчетов, в которые фиксировались состоянии межмашинной сети.

Таким образом, генерируют выходной матричный сигнал, который позволяет при обнаружении вторжений определять вторжения по признакам вторжения независимо от типа и природы вторжения.

Добавление блока генерации универсального входного сигнала позволяет усовершенствовать обнаружение вторжений, перейдя от выявления вторжения одного вида на одном детекторе к выявлению множества вторжений на одном детекторе и к выявлению компьютерных вторжений разной природы.

Способ генерации универсального входного сигнала для нейросетевых детекторов компьютерных вторжений в межмашинных сетях, включающий сбор данных о параметрах устройств и обнаружение вторжений по признакам вторжений с применением искусственной нейронной сети, в дополнительном блоке генерации универсального входного сигнала принимают на вход для программного уровня вторжения исполняемый файл программы управления, который выполняется на процессоре узла межмашинной сети, или для сетевого уровня набор временных рядов таблиц маршрутизации каждого узла межмашинной сети;

независимо от типа входных данных формируют универсальный сигнал в виде записи графовой структуры, для чего

в случае если вход представляет собой исполняемый файл программы управления, то извлекают исполняемую секцию, секции данных, экспорта, констант, таблицу экспорта программы;

по этим данным определяют точку входа в программу;

проверяют права доступа на исполняемую секцию кода;

встреченным IP-адресам присваивают последовательные номера, начиная с 0;

в обоих случаях из построенного графа генерируют универсальный матричный сигнал управления, записывая в регистр матрицу смежности размером N на N, где N – целое число, показывающее количество вершин графа и каждая ячейка матрицы указывает соединенные вершины, и матрицу свойств вершин графа размером N на F, где F – целое число свойств каждой вершины графа и свойство каждой вершины задано в ячейках матрицы в стандартной векторной записи;

Изобретение относится к радиотехнике и предназначено для применения в мобильных и подвижных системах связи. Техническим результатом изобретения является обеспечение работы модема в низкоскоростном режиме с кодовым расширением, при сохранении возможности передачи служебной речевой связи и управления абонентскими станциями по каналам телеметрии и управления в условиях неблагоприятной помеховой обстановки, в условиях ограниченной выделяемой полосы частот, а также в режиме установки связи, когда передача пользовательских данных с заданной скоростью невозможна, и реализация возможности многоканальной передачи пользовательских данных, служебной связи, данных телеметрии и телеуправления.

Системы и способы для использования в аутентификации пользователей применительно к сетевым транзакциям // 2699409

Изобретение относится к области вычислительной техники для аутентификации пользователей. Технический результат заключается в повышении уровня защиты от несанкционированных транзакций.

Система радиостанций, терминал радиосвязи и способы их работы // 2698427

Изобретение относится к области беспроводной связи. Технический результат заключается в повышении эффективности передачи сообщений плоскости управления (CP) в архитектуре радиосвязи, которая обеспечивает взаимодействие двух разных технологий радиодоступа (RAT).

Способ фильтрации защищенных сетевых соединений в цифровой сети передачи данных // 2695983

Изобретение относится к технике фильтрации защищенных сетевых соединений. Технический результат - расширение контроля сетевых соединений и повышение защищенности контролируемой сети передачи данных.

Способ и система интеграции оборудования в средства автоматизированного управления и учета // 2689436

Группа изобретений относится к области управления различным оборудованием систем автоматизации. Технический результат заключается в повышении эффективности управления подключенными устройствами с любым типом протокола за счет повышения скорости передачи и обработки информации.

Способ просмотра пользовательского медиа-контента // 2686637

Изобретение относится к области информационных технологий. Технический результат изобретения заключается в возможности просмотра контента в полном объеме, часть элементов которого представлена на материальном носителе информации, а часть которого не доступна для просмотра на материальном носителе; в повышении эффективности использования ресурсов сервера за счет возможности выбора предпочтительного контента в зависимости от предпочтений пользователя.

Способ оценки эффективности информационного обмена системы связи // 2685030

Изобретение относится к области электросвязи. Технический результат – повышение точности оценки эффективности информационного обмена системы связи за счет использования повторно определенного КПД передачи информации системы связи.

Способ обновления дескриптора сетевой службы nsd и устройство // 2683630

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении скорости передачи данных.

Способ и устройство инициализации для умного дома // 2683481

Изобретение относится к способу и устройству инициализации умного дома, машиночитаемому носителю данных. Технический результат заключается в автоматизации выполнения инициализации умного дома посредством аудиосигнала инициализации.

Интерфейс передачи данных // 2682435

Изобретение относится к способу передачи данных. Технический результат – обеспечение передачи данных по внутренней шине с заданной скоростью, а также обеспечение достоверности переданной информации.

Нейронная сеть конечного кольца // 2701064

Изобретение относится к нейронным сетям конечного кольца. Технический результат заключается в повышении надежности нейрокомпьютерной техники.

Способ и система захвата объекта с помощью роботизированного устройства // 2700246

Изобретение относится к области робототехнических устройств. Технический результат заключается в повышении точности распознавания области захвата объекта роботизированным устройством.

Нейронная сеть для интерпретирования предложений на естественном языке // 2699396

Изобретение относится к области вычислительной техники и может быть использовано для интерпретирования предложений на естественном языке, в том числе выполнения контекстно-тематического машинного перевода.

Система поиска нарушений в порядке расположения объектов // 2698157

Изобретение относится к вычислительной технике. Техническим результатом изобретения является поиск нарушений в порядке расположения объектов с улучшенной функциональностью и большей точностью.

Устройство и способ персонализированного поиска на основе признаков изображения продукта // 2697739

Изобретение относится к способу персонализированного поиска на основе признаков изображения продукта. Технический результат заключается в повышении релевантности персонализированного поиска.

Способ биометрической аутентификации пользователя и вычислительное устройство, реализующее упомянутый способ // 2697646

Изобретение относится к области вычислительной техники, предназначенной для аутентификации пользователей. Технический результат заключается в повышении точности биометрической аутентификации пользователя за счет снижения вероятности возникновения ошибок при биометрической аутентификации пользователя.

Способ диагностики рака легкого на основе интеллектуального анализа формы, внутренней и внешней структур новообразований // 2694476

Изобретение относится к медицине и предназначено для интеллектуальной диагностики рака легкого. Предложен способ обнаружения и диагностики рака легкого на основе интеллектуального анализа формы, структур злокачественных новообразований в легких, включающий обработку изображений легких пациента, полученных методом компьютерной томографии, в результате которой в графическом изображении маскируют воксели со значениями денситометрической плотности по шкале Хаунсфилда с не соответствующими значениям плотности тканям легкого, последующую сегментацию вокселей, расположенных на поверхности и внутри «кандидатов» новообразований, построение «внутренних» хорд, образованных комбинациями пар точек, находящихся в выделенных вокселях на поверхности «кандидатов» новообразований, построение для каждого «кандидата» новообразования гистограммы распределения длин «внутренних» хорд с приведением к максимальной длине «внутренней» хорды, построенной в границах каждого «кандидата» новообразования, построение гистограммы распределения денситометрических плотностей по шкале Хаунсфилда внутри каждого «кандидата» новообразования с приведением к максимальному значению денситометрической плотности по шкале Хаунсфилда, определяемых в случайных точках на «внутренних» хордах, построение «внешних» хорд, образованных комбинациями пар точек, находящихся на поверхности «кандидата» новообразования и на гранях куба, построенного вокруг «кандидата» новообразования, построение для каждого «кандидата» новообразования гистограммы распределения длин «внешних» хорд с приведением к максимальной длине «внешней» хорды, построение гистограммы распределения денситометрических плотностей по шкале Хаунсфилда внутри каждого «кандидата» новообразования с приведением к максимальному значению денситометрической плотности по шкале Хаунсфилда, определяемых в случайных точках на «внешних» хордах, формирование вектора признаков, включающего данные четырех построенных гистограмм, после чего по сформированному вектору признаков осуществляют классификацию каждого «кандидата» новообразования как истинного злокачественного или истинного доброкачественного новообразования с помощью алгоритма машинного обучения, реализующего функции классификатора.

Способ и компьютерное устройство для выбора текущего зависящего от контекста ответа для текущего пользовательского запроса // 2693332

Изобретение относится к вычислительной технике. Технический результат – предоставление логических ответов, которые подражают стилю речи пользователя.

Способ и система перевода исходного предложения на первом языке целевым предложением на втором языке // 2692049

Изобретение относится к вычислительной технике. Технический результат – обеспечение перевода исходного предложения целевым предложением.

Способ спектрометрического определения температуры потока газов // 2686385

Изобретение относится к области дистанционного измерения высоких температур газов, в частности к способам спектрометрического измерения температуры потока газов и обработки спектральных данных оптических датчиков определения температуры потоков газов и может быть использовано для экспериментальных исследований рабочего процесса силовых установок и для повышения надежности при эксплуатации газовых турбин и газотурбинных двигателей.

Система интеллектуального управления киберугрозами // 2702269

Изобретение относится к области информационной защиты. Технический результат заключается в повышении информационной безопасности за счет осуществления автоматизированной обработки данных о поступающих киберугрозах, обеспечивающей постоянную актуализацию данных о типах киберугроз и индикаторов компрометации.