Anomaly and Cyber Attack Detection Technique Based on the Integration of Fractal Analysis and Machine Learning Methods

Cover Page

Cite item

Full Text

Abstract

In modern data transmission networks, in order to constantly monitor network traffic and detect abnormal activity in it, as well as identify and classify cyber attacks, it is necessary to take into account a large number of factors and parameters, including possible network routes, data delay times, packet losses and new traffic properties that differ from normal. All this is an incentive to search for new methods and techniques for detecting cyber attacks and protecting data networks from them. The article discusses a technique for detecting anomalies and cyberattacks, designed for use in modern data networks, which is based on the integration of fractal analysis and machine learning methods. The technique is focused on real-time or near-real-time execution and includes several steps: (1) detecting anomalies in network traffic, (2) identifying cyber attacks in anomalies, and (3) classifying cyber attacks. The first stage is implemented using fractal analysis methods (evaluating the self-similarity of network traffic), the second and third stages are implemented using machine learning methods that use cells of recurrent neural networks with a long short-term memory. The issues of software implementation of the proposed technique are considered, including the formation of a data set containing network packets circulating in the data transmission network. The results of an experimental evaluation of the proposed technique, obtained using the generated data set, are presented. The results of the experiments showed a rather high efficiency of the proposed technique and the solutions developed for it, which allow early detection of both known and unknown cyber attacks.

About the authors

I. V Kotenko

St. Petersburg Federal Research Center of the Russian Academy of Sciences (SPC RAS)

Email: ivkote@comsec.spb.ru
14-th Line V.O. 39

I. B Saenko

St. Petersburg Federal Research Center of the Russian Academy of Sciences (SPC RAS)

Email: ibsaen@comsec.spb.ru
14-th Line V.O. 39

O. S Lauta

State University of the Sea and River Fleet named after Admiral S.O. Makarov

Email: laos-82@yandex.ru
Dvinskaya St. 5/7

A. M Kriebel

St. Petersburg Federal Research Center of the Russian Academy of Sciences (SPC RAS)

Email: nemo4ka74@gmail.com
14-th Line V.O. 39

References

  1. Kotenko I., Saenko I., Lauta O., Kribel A. An approach to detecting cyber attacks against smart power grids based on the analysis of network traffic self-similarity // Energies. 2020. vol. 13. no. 19. pp. 5031.
  2. Al-Jarrah M., Khalaf G., Amin S. PIN Authentication Using Multi-Model Anomaly Detection in Keystroke Dynamics // Proceedings of the 2019 2nd International Conference on Signal Processing and Information Security (ICSPIS). 2019. pp. 1–4.
  3. Ageev S., Kotenko I., Saenko I., Kopchak Y. Abnormal Traffic Detection in Networks of the Internet of Things Based on Fuzzy Logical Inference // Proceedings of the IEEE International Conference on Soft Computing and Measurements (SCM). 2015. pp. 5–8.
  4. Котенко Д.И., Котенко И.В., Саенко И.Б. Методы и средства моделирования атак в больших компьютерных сетях: состояние проблемы // Труды СПИИРАН. 2012. № 3 (22). С. 5–30.
  5. Brezigar-Masten A., Masten I. CART-based selection of bankruptcy predictors for the logit model // Expert Systems with Applications. 2012. vol. 39. no. 11. pp. 10153–10159.
  6. Ju X., Chen V.C.P.; Rosenberger J.M., Liu F. Fast knot optimization for multivariate adaptive regression splines using hill climbing methods // Expert Systems with Applications. 2021. no. 171. p. 114565.
  7. Ju X., Rosenberger J.M., Chen V.C.P., Liu F. Global optimization on non-convex two-way interaction truncated linear multivariate adaptive regression splines using mixed integer quadratic programming // Information Sciences. 2022. no. 597. pp. 38–52.
  8. Ju X., Liu F., Wang Li., Lee W.-J. Wind farm layout optimization based on support vector regression guided genetic algorithm with consideration of participation among landowners // Energy Conversion and Management. 2019. no. 196. pp. 1267–1281.
  9. Dang T.D., Sonkoly B., Molnar S. Fractal analysis and modeling of VoIP traffic // Proceedings of the 11th International Telecommunications Network Strategy and Planning Symposium (NETWORKS 2004). 2004. pp. 123–130.
  10. Leland W.E., Taqqu M.S., Willinger W., Wilson D.V. On the self-similar nature of Ethernet traffic // SIGCOMM Comput. Commun. 1993. vol. 23. no. 4. pp. 183–193.
  11. Raimundo M.S., Okamoto Jr. J. Application of Hurst Exponent (H) and the R/S Analysis in the Classification of FOREX Securities // International Journal of Modeling and Optimization. 2018. no. 8. pp. 116–124.
  12. Sánchez-Granero M.J., Fernández-Martínez M., Trinidad-Segovia J.E. Introducing fractal dimension algorithms to calculate the Hurst exponent of financial time series // Eur. Phys. J. B. 2012. vol. 85. no. 86.
  13. Kotenko I., Saenko I., Lauta O., Karpov M. Methodology for management of the protection system of smart power supply networks in the context of cyberattacks // Energies. 2021. vol. 14. no. 18. p. 5963.
  14. Kotenko I., Saenko I., Lauta O., Kribel A. Ensuring the survivability of embedded computer networks based on early detection of cyber attacks by integrating fractal analysis and statistical methods // Microprocessors and Microsystems. 2022. no. 90. p. 104459.
  15. Strelkovskaya I., Solovskaya I., Makoganiuk A. Spline-Extrapolation Method in Traffic Forecasting in 5G Networks // Journal of Telecommunications and Information Technology. 2019. no. 3. pp. 8–16.
  16. Carvalho P., Abdalla H., Soares A., Solis P., Tarchetti P. Analysis of the influence of self-similar traffic in the performance of real time applications. URL: citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.599.4041&rep=rep1&type=pdf (дата доступа: 15.07.2022).
  17. Fractal Objects and Self-Similar Processes. URL: archive.physionet.org/tutorials/fmnc/node3.html (дата доступа: 15.07.2022).
  18. Ruoyu Y., Wang Y. Hurst Parameter for Security Evaluation of LAN Traffic // Information Technology Journal. 2012. no. 11. pp. 269–275.
  19. Singh Gulshan M.B., Sharma B., Grover M., Gupta P. TSA: Self-Train Self-Test Algorithm // Proceedings of the 2020 IEEE International Conference for Innovation in Technology (INOCON). 2020. pp. 1–5.
  20. Yu Z., Jiang Z., Tan L., Liu H., Yang Q. Rescaled Range Analysis of Vessel Traffic Flow in the Yangtze River // Proceedings of the 2019 5th International Conference on Transportation Information and Safety (ICTIS). 2019. pp. 1–4.
  21. Winter P., Lampesberger H., Zeilinger M., Hermann E. On Detecting Abrupt Changes in Network Entropy Time Series // Communications and Multimedia Security. CMS 2011. Lecture Notes in Computer Science. 2011. vol. 7025. pp. 194–205.
  22. Sharma S., Sahu S.K., Jena S.K. On Selection of Attributes for Entropy Based Detection of DDoS // Proceedings of the 2015 International Conference on Advances in Computing, Communications and Informatics (ICACCI). 2015. pp. 1096–1100.
  23. Bhuyan M.H., Bhattacharyya D.K., Kalita J.K. Information metrics for low-rate DDoS attack detection: A comparative evaluation // Proceedings of the 2014 Seventh International Conference on Contemporary Computing (IC3). 2014. pp. 80-84.
  24. Brauckhoff D., Wagner A., May M. FLAME: A Flow-Level Anomaly Modeling Engine // Proceedings of the Workshop on Cyber Security and Test. 2008. pp. 1–6.
  25. Zhang S.T., Lin X.B., Wu L., Song Y.Q., Liao N.D., Liang Z.H. Network Traffic Anomaly Detection Based on ML-ESN for Power Metering System // Mathematical Problems in Engineering. 2020. vol. 2020. article ID 7219659.
  26. Radford B.J., Apolonio L.M., Trias A.J., Simpson J.A. Network Traffic Anomaly Detection Using Recurrent Neural Networks. URL: doi.org/10.48550/arXiv.1803.10769 (дата доступа: 15.07.2022).
  27. Браницкий А.А., Котенко И.В. Анализ и классификация методов обнаружения сетевых атак // Труды СПИИРАН. 2016. № 2 (45). C. 207–244.
  28. Браницкий А.А., Котенко И.В. Обнаружение сетевых атак на основе комплексирования нейронных, иммунных и нейро-нечетких классификаторов // Информационно-управляющие системы. 2015. № 4 (77). С. 69-77.
  29. Shaukat K., Luo S., Varadharajan V., Hameed I.A., Xu M. A Survey on Machine Learning Techniques for Cyber Security in the Last Decade // IEEE Access. 2020. vol. 8. pp. 222310–222354.
  30. Chen W.-H., Hsu S.-H., Shen H.-P. Application of SVM and ANN for intrusion detection // Computers & Operations Research. 2005. vol. 32. no. 10. pp. 2617–2634.
  31. Hasan M.A.M., Nasser M., Ahmad S., Molla K.I. Feature selection for intrusion detection using random forest // Journal of information security. 2016. vol. 7. no. 03. p. 129.
  32. Zhang Y., Wang S., Wu L. Spam detection via feature selection and decision tree // Advanced Science Letters. 2012. vol. 5. no. 2. pp. 726–730.
  33. Su M.-Y. Real-time anomaly detection systems for Denial-of-Service attacks by weighted k-nearest-neighbor classifiers // Expert Systems with Applications. 2011. vol. 38. no. 4. pp. 3492–3498.
  34. Gers F., Schraudolph N., Schmidhuber J. Learning precise timing with LSTM recurrent networks // Journal of Machine Learning Research. 2002. vol. 3, pp. 115–143.
  35. Shaukat S., Ali A., Batool A., Alqahtan, F., Khan J.S., Ahmad A.J. Intrusion Detection and Attack Classification Leveraging Machine Learning Technique // Proceedings of the 2020 14th International Conference on Innovations in Information Technology (IIT). 2020. pp. 198–202.
  36. Nurul A.H., Zaheera Z.A., Puvanasvaran A.P., Zakaria N.A., Ahmad R. Risk assessment method for insider threats in cyber security: A review // International Journal of Advanced Computer Science and Applications (ijacsa). 2018. vol. 9. no. 11. pp.16–19.
  37. Zhe W.; Wei C., Chunlin L. DoS attack detection model of smart grid based on machine learning method // Proceedings of the 2020 IEEE International Conference on Power, Intelligent Computing and Systems (ICPICS). 2020. pp. 735–738.
  38. Karataş G., Akbulut A. Survey on Access Control Mechanisms in Cloud Computing // Journal of Cyber Security and Mobility. 2018. vol. 7. no. 3. pp. 1–36.
  39. Lopez J., Rubio J. Access control for cyber-physical systems interconnected to the cloud // Comput. Netw. 2018. vol. 134. no. C. pp. 46–54.
  40. Clincy V., Shahriar H. Web Application Firewall: Network Security Models and Configuration // Proceedings of the 2018 IEEE 42nd Annual Computer Software and Applications Conference (COMPSAC). 2018, pp. 835–836.
  41. Visoottiviseth V., Sakarin P., Thongwilai J. Choobanjong T. Signature-based and behavior-based attack detection with machine learning for home IoT devices // Proceedings of the 2020 IEEE Region 10 conference (TEN-CON). 2020. pp. 829-834.
  42. Amma N.G.B., Selvakumar S., Velusamy R.L. A Statistical Approach for Detection of Denial of Service Attacks in Computer Networks // IEEE Transactions on Network and Service Management. 2020. vol. 17. no. 4. pp. 2511–2522.

Supplementary files

Supplementary Files
Action
1. JATS XML
Download

Согласие на обработку персональных данных с помощью сервиса «Яндекс.Метрика»

1. Я (далее – «Пользователь» или «Субъект персональных данных»), осуществляя использование сайта https://journals.rcsi.science/ (далее – «Сайт»), подтверждая свою полную дееспособность даю согласие на обработку персональных данных с использованием средств автоматизации Оператору - федеральному государственному бюджетному учреждению «Российский центр научной информации» (РЦНИ), далее – «Оператор», расположенному по адресу: 119991, г. Москва, Ленинский просп., д.32А, со следующими условиями.

2. Категории обрабатываемых данных: файлы «cookies» (куки-файлы). Файлы «cookie» – это небольшой текстовый файл, который веб-сервер может хранить в браузере Пользователя. Данные файлы веб-сервер загружает на устройство Пользователя при посещении им Сайта. При каждом следующем посещении Пользователем Сайта «cookie» файлы отправляются на Сайт Оператора. Данные файлы позволяют Сайту распознавать устройство Пользователя. Содержимое такого файла может как относиться, так и не относиться к персональным данным, в зависимости от того, содержит ли такой файл персональные данные или содержит обезличенные технические данные.

3. Цель обработки персональных данных: анализ пользовательской активности с помощью сервиса «Яндекс.Метрика».

4. Категории субъектов персональных данных: все Пользователи Сайта, которые дали согласие на обработку файлов «cookie».

5. Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.

6. Срок обработки и хранения: до получения от Субъекта персональных данных требования о прекращении обработки/отзыва согласия.

7. Способ отзыва: заявление об отзыве в письменном виде путём его направления на адрес электронной почты Оператора: info@rcsi.science или путем письменного обращения по юридическому адресу: 119991, г. Москва, Ленинский просп., д.32А

8. Субъект персональных данных вправе запретить своему оборудованию прием этих данных или ограничить прием этих данных. При отказе от получения таких данных или при ограничении приема данных некоторые функции Сайта могут работать некорректно. Субъект персональных данных обязуется сам настроить свое оборудование таким способом, чтобы оно обеспечивало адекватный его желаниям режим работы и уровень защиты данных файлов «cookie», Оператор не предоставляет технологических и правовых консультаций на темы подобного характера.

9. Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований определяется Оператором в соответствии с законодательством Российской Федерации.

10. Я согласен/согласна квалифицировать в качестве своей простой электронной подписи под настоящим Согласием и под Политикой обработки персональных данных выполнение мною следующего действия на сайте: https://journals.rcsi.science/ нажатие мною на интерфейсе с текстом: «Сайт использует сервис «Яндекс.Метрика» (который использует файлы «cookie») на элемент с текстом «Принять и продолжить».