ASNM Datasets: A Collection of Network Attacks for Testing of Adversarial Classifiers and Intrusion Detectors

Datová sada, Detekce prnik sítě, Klasifikace útočníka, Vyhýbání se detekci, ASNM metriky, Přetečení zásobníku, Non-payload-based obfuskace, tunelování (obfuskace založená na tunelování)

V tomto článku představujeme tři datové sady, které byly vytvořeny trasováním síťového provozu pomocí síťových metrik ASNM (Advanced Security Network Metrics), navržených v naší předchozí práci.  První datová sada byla vytvořena pomocí, v dané době, nejmodernějšího datového souboru CDX 2009, který byl vytvořen na základě dat, sesbíraných během cvičení kybernetické obrany, zatímco zbývající dvě datové sady jsme shromažďovali v letech 2015 a 2018 pomocí veřejně dostupných síťových služeb obsahujících závažné zranitelnosti, jako je např. přetečení zásobníku.

Tyto dvě datové sady obsahují několik adversariálních obfuskačních technik, které byly aplikovány na škodlivé i legitimní vzorky provozu během  provádění jejich síťových připojení (TCP). Tyto adversariální obfuskační techniky byly využity pro vyhýbání se detekce pomocí klasifikátorů detekce průniků sítě, založených na strojovém učení. Ukazujeme, že výkonnost těchto klasifikátorů může být zlepšena částečným doplněním jejich tréninkových dat o vzorky získané pomocí obfuskačních technik. Konkrétně, pro modifikaci různých vlastností síťového provozu jsme využili různé techniky obfuskace (non-payload-based  a techniky založené na tunelování HTTP(S) protokolu) např. segmentaci TCP, opětovný přenos, poškození a přeskupení paketů atd.

Podle našich znalostí se jedná o první soubor dat síťového provozu, který obsahuje adversariální techniky a je určen pro detekci non-payload based narušení sítě a klasifikaci útočníka. Poskytnuté datové sady umožňují testování odolnosti různých klasifikátorů založeným na strojovém učení proti adversariální obídení jejich detekci.