ITERATIVE STATISTICAL-ENTROPY METHOD FOR ZERO KNOWLEDGE NETWORK TRAFFIC ANALYSIS ALGORITHM IMPLEMENTATION

Journal of the Ural Federal District. Information security Pub Date : 1900-01-01 DOI:10.14529/secur200105

N. Domukhovsky, A.N. Sinadsky

{"title":"ITERATIVE STATISTICAL-ENTROPY METHOD FOR ZERO KNOWLEDGE NETWORK TRAFFIC ANALYSIS ALGORITHM IMPLEMENTATION","authors":"N. Domukhovsky, A.N. Sinadsky","doi":"10.14529/secur200105","DOIUrl":null,"url":null,"abstract":"The article is devoted to traffic analysis with zero knowledge about its structure. As a result of combining existing entropy and statistical algorithms, a statistical-entropy method has been developed capable of distinguishing network nodes and significant fields from traffic with un-DOI: 10.14529/secur200105 МЕТОДЫ АНАЛИЗА ДАННЫХ49В Требованиях по обеспечению безопас-ности значимых объектов критической ин-формационной инфраструктуры Российской Федерации, утвержденных приказом ФСТЭК России от 25 декабря 2017 г. No239, в качестве меры АУД.5 указан «Контроль и анализ сете-вого трафика». При проведении мониторинга в условиях проприетарных протоколов, рас-пространённых как в сетях АСУ ТП, так и IoT, средство анализа сетевого трафика не может дать достаточно информации для обеспече-ния мер по защите сетевых ресурсов.Задача состоит в выделении сетевых адре-сов и границ полей заголовков протоколов.Разделение входного массива сетевого трафика на отдельные поля и идентификация сетевых адресов при отсутствии априорных знаний о протоколах является актуальной за-дачей. При этом предполагаются следующие предположения-эвристики:– в каждом сетевом пакете присутствует адресная и семантическая части данных;– адресная часть всегда расположена ближе к началу пакета, чем семантическая;– адресная часть всегда содержит адреса отправителя и получателя;– адресная часть меняется реже, чем се-мантическая.Известные решения [1-7] предлагают ва-рианты решения частных проблем (унифици-рованное описание сети, выделение полей из неизвестного трафика одного протокола, классификация трафика на протоколы), но не дают возможности выполнять все действия одновременно.В [8] представлен способ использования информационной энтропии в качестве мето-да определения границ полей, позволяющий, используя сравнительно небольшие вычис-лительные ресурсы, по графикам изменения энтропии отдельных байтов и их взаимной информации делать предположения о струк-туре анализируемого сетевого протокола. Недостатком такого метода является невоз-можность его использования на массиве тра-фика, имеющем более одного протокола.Предложенный статистико-энтропийный метод, применяет энтропийный модуль для определения границ полей протокола с по-мощью информационной энтропии и стати-стический модуль для выделения сетевых адресов на основе анализа статистики вхож-дения частей пакета в массив трафика.Статистико-энтропийный метод и его реализацияДля решения проблемы одновременного выделения сетевых адресов и границ семанти-ческих полей предлагается объединить два известных алгоритма – статистический и эн-тропийный (рис. 1). Статистический алгоритм использует оценку количества вхождений по-хожих на части сетевого пакета подстрок в ра-нее полученный массив сетевого трафика для выделения из сетевого трафика уровней адре-сации и конкретных адресов сетевых узлов, а энтропийный с помощью вычисления инфор-мационных характеристик осуществляет под-держку решения статистического и определя-ет границы полей в семантической части.Входные данные для статистико-энтро-пийного алгоритма – набор из lp сетевых па-кетов. Каждый сетевой пакет имеет номер n и содержит lbn байт d. Пакет – набор байт , di – байт пакета, расположенный по смещению i от его начала, n – порядковый номер пакета. Набор сетевых пакетов опре-деляется как .Выходные данные алгоритма – получен-ный из энтропийного алгоритма набор полей , где lf – количество выделенных полей, и сформированные из статистическо-го алгоритма множества адресных known protocol. The decision about significant fields boundaries in the analyzed traffic sample made by the algorithm is based on the entropy of individual bytes and byte pairs mutual infor-mation. The statistical algorithm determines network addresses using estimate number of oc-currences parts of a network packet similar (as a strings) to parts of a previously received array of network traffic. Based on the entropy algorithm, an iterative algorithm has been developed that solves the problem of traffic analysis, which includes more than one protocol. The mathe-matical models each of the algorithms are implemented as a module of the program that im-plements the statistical-entropy method. As a result of the software implementation of the de-scribed statistical-entropy method, network addresses are allocated from the network traffic with zero knowledge about the protocols used in it, and separation into semantic fields is pro-posed","PeriodicalId":270269,"journal":{"name":"Journal of the Ural Federal District. Information security","volume":"195 1","pages":"0"},"PeriodicalIF":0.0000,"publicationDate":"1900-01-01","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":"0","resultStr":null,"platform":"Semanticscholar","paperid":null,"PeriodicalName":"Journal of the Ural Federal District. Information security","FirstCategoryId":"1085","ListUrlMain":"https://doi.org/10.14529/secur200105","RegionNum":0,"RegionCategory":null,"ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":null,"EPubDate":"","PubModel":"","JCR":"","JCRName":"","Score":null,"Total":0}

引用次数: 0

Abstract

The article is devoted to traffic analysis with zero knowledge about its structure. As a result of combining existing entropy and statistical algorithms, a statistical-entropy method has been developed capable of distinguishing network nodes and significant fields from traffic with un-DOI: 10.14529/secur200105 МЕТОДЫ АНАЛИЗА ДАННЫХ49В Требованиях по обеспечению безопас-ности значимых объектов критической ин-формационной инфраструктуры Российской Федерации, утвержденных приказом ФСТЭК России от 25 декабря 2017 г. No239, в качестве меры АУД.5 указан «Контроль и анализ сете-вого трафика». При проведении мониторинга в условиях проприетарных протоколов, рас-пространённых как в сетях АСУ ТП, так и IoT, средство анализа сетевого трафика не может дать достаточно информации для обеспече-ния мер по защите сетевых ресурсов.Задача состоит в выделении сетевых адре-сов и границ полей заголовков протоколов.Разделение входного массива сетевого трафика на отдельные поля и идентификация сетевых адресов при отсутствии априорных знаний о протоколах является актуальной за-дачей. При этом предполагаются следующие предположения-эвристики:– в каждом сетевом пакете присутствует адресная и семантическая части данных;– адресная часть всегда расположена ближе к началу пакета, чем семантическая;– адресная часть всегда содержит адреса отправителя и получателя;– адресная часть меняется реже, чем се-мантическая.Известные решения [1-7] предлагают ва-рианты решения частных проблем (унифици-рованное описание сети, выделение полей из неизвестного трафика одного протокола, классификация трафика на протоколы), но не дают возможности выполнять все действия одновременно.В [8] представлен способ использования информационной энтропии в качестве мето-да определения границ полей, позволяющий, используя сравнительно небольшие вычис-лительные ресурсы, по графикам изменения энтропии отдельных байтов и их взаимной информации делать предположения о струк-туре анализируемого сетевого протокола. Недостатком такого метода является невоз-можность его использования на массиве тра-фика, имеющем более одного протокола.Предложенный статистико-энтропийный метод, применяет энтропийный модуль для определения границ полей протокола с по-мощью информационной энтропии и стати-стический модуль для выделения сетевых адресов на основе анализа статистики вхож-дения частей пакета в массив трафика.Статистико-энтропийный метод и его реализацияДля решения проблемы одновременного выделения сетевых адресов и границ семанти-ческих полей предлагается объединить два известных алгоритма – статистический и эн-тропийный (рис. 1). Статистический алгоритм использует оценку количества вхождений по-хожих на части сетевого пакета подстрок в ра-нее полученный массив сетевого трафика для выделения из сетевого трафика уровней адре-сации и конкретных адресов сетевых узлов, а энтропийный с помощью вычисления инфор-мационных характеристик осуществляет под-держку решения статистического и определя-ет границы полей в семантической части.Входные данные для статистико-энтро-пийного алгоритма – набор из lp сетевых па-кетов. Каждый сетевой пакет имеет номер n и содержит lbn байт d. Пакет – набор байт , di – байт пакета, расположенный по смещению i от его начала, n – порядковый номер пакета. Набор сетевых пакетов опре-деляется как .Выходные данные алгоритма – получен-ный из энтропийного алгоритма набор полей , где lf – количество выделенных полей, и сформированные из статистическо-го алгоритма множества адресных known protocol. The decision about significant fields boundaries in the analyzed traffic sample made by the algorithm is based on the entropy of individual bytes and byte pairs mutual infor-mation. The statistical algorithm determines network addresses using estimate number of oc-currences parts of a network packet similar (as a strings) to parts of a previously received array of network traffic. Based on the entropy algorithm, an iterative algorithm has been developed that solves the problem of traffic analysis, which includes more than one protocol. The mathe-matical models each of the algorithms are implemented as a module of the program that im-plements the statistical-entropy method. As a result of the software implementation of the de-scribed statistical-entropy method, network addresses are allocated from the network traffic with zero knowledge about the protocols used in it, and separation into semantic fields is pro-posed

查看原文本刊更多论文

迭代统计熵法实现零知识网络流量分析算法

这首诗是由零克诺里奇乐队演奏的。作为一种混合动力和statistical algoritms，作为一种由不同网络开发的开创性capal，以及来自un-DOI traffic的签名:1014529 /secur200105分析了俄罗斯联邦在2017年12月25日No239号命令下对相关设施进行安全检查的499a的方法。在专有协议的监督下，asu tu和IoT网络中的空间，网络流量分析工具不能提供足够的信息来保护网络资源。任务是识别网络adras和协议头字段的边界。在缺乏对协议的先验知识的情况下，将网络流量的输入数组划分为单独的字段和网络地址识别是当务之急。这就提出了以下建议——启发式:每个网络包都包含一个地址和语义部分;地址部分总是比语义部分更接近数据包的开始;地址部分总是包含发送人和接收人的地址;已知的解决方案(1-7)为个人问题提供了解决方案(网络描述、从未知的单一协议流量中分离字段、协议分类)，但不能同时完成所有的操作。在[8]中，介绍了将信息熵作为meto - da场边界的一种方法，允许使用相对较小的计算资源，根据单个字节的熵变化图和它们的相互信息，对分析网络协议的线程进行推测。这种方法的缺点是，在一个以上协议的tra - fik数组中不可能使用。拟议的统计-熵方法采用熵模，以信息熵的强度定义协议场的边界，并使用一个数据模，通过分析将包的部分输入到流量数组中来确定网络地址。为了解决网络地址和语义域并发分配问题的统计-熵方法和实现方法，建议结合两种已知的算法——统计和经济-热带算法。统计算法利用网络流量包中包含的字符串数量来从网络流量和网络节点的特定地址中分离出来，熵通过计算数据特征来执行统计决定并确定语义部分字段的范围。输入数据是一组lp网络算法。每个网络包都有一个n，里面有一个lbn字节d。一组opre网络包被划分为。输出算法。从熵算法中提取的数据，lf是分配的场数，由地址集算法组成。这首歌是由“独立节拍”和“交换条件”组成的，由“独立节拍”组成。= =历史= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =在这个过程中，当一个人遇到了交通分析问题时，他就开始研究这个问题。《母亲》是《阿尔戈利斯之旅》的主题，是《标准力量》的主题。这是一种软体动物，是一种软体动物，是一种软体动物，是一种专业的软体动物。

本文章由计算机程序翻译，如有差异，请以英文原文为准。

求助全文

约1分钟内获得全文求助全文

来源期刊

Journal of the Ural Federal District. Information security

自引率

0.00%

发文量