Dark TRACER
1.0.0
يحتوي هذا المستودع على تطبيق R لـ Dark-TRACER، وهو إطار عمل للكشف المبكر عن الحالات الشاذة لأنشطة البرامج الضارة. تم تقديمه في الورقة التالية. يرجى الرجوع إلى ملف PDF والشرائح للحصول على التفاصيل. كما أن مجموعة البيانات المستخدمة في الورقة متاحة للجمهور.
C. Han , J. Takeuchi, T. Takahashi, and D. Inoue, '' Dark-TRACER : إطار عمل الاكتشاف المبكر لنشاط البرامج الضارة استنادًا إلى الأنماط الزمانية المكانية الشاذة،'' IEEE ACCESS ، 2022. [DOI] [PDF] [ذات صلة الشرائح] [مجموعات البيانات] [الرموز]
Dark-TRACER هو إطار عمل للكشف المبكر عن الحالات الشاذة لأنشطة البرامج الضارة من خلال تقدير تزامن الأنماط الزمانية المكانية التي تمت ملاحظتها في حركة مرور الشبكة المظلمة من خلال الاستفادة من ثلاث طرق للتعلم الآلي. وهو يتألف من الوحدات الثلاث التالية
Darknet هي مساحة عنوان IP غير المستخدمة للإنترنت، وهي شبكة مراقبة حيث تكون معظم حركة المرور المرصودة عبارة عن اتصالات ضارة. وهو مفيد لفهم اتجاهات الهجمات السيبرانية العالمية. يُعرف الإنترنت المظلم أيضًا باسم تلسكوب الشبكة ولا ينبغي الخلط بينه وبين الويب المظلم، مثل Tor.
| محرك | تنسيق بيانات الإدخال |
|---|---|
| الظلام جلاسو | بيانات نصية |
| الظلام-NMF | بيانات نصية |
| الظلام NTD | بيانات pcap |
| ChangeFinder | بيانات نصية |
ChangeFinder هي طريقة تقليدية وتم استخدامها في الورقة للتقييم المقارن.
| محرك | كود المصدر |
|---|---|
| الظلام جلاسو | online_portinfo.r / online_portinfo.r |
| الظلام-NMF | DarkNMF.r / DarkNMF_alertonly.r / DarkNMF-port.r / DarkNMF-port_alertonly.r |
| الظلام NTD | online_script.R |
| ChangeFinder | 2021_cpd.ipynb |
1. If you have the result of the previous run, do the following. If not, do 2.
1.1 Create ${output_filespace}density_old_${theta}
1.2 Copy the previous results into
$ cp -r ${data_filespace}sensor${ID}/${Lasttime_YEAR}${Lasttime_MONTH}/${Lasttime_YEAR}${Lasttime_MONTH}${Lasttime_DAY}/${Lasttime_TIME}/result_M12/density_${theta}/* ${output_filespace}density_old_${theta}/
2. run online_density.r
3. (number of density files) == 6 and RT_density file has no 0 bytes
3.1 Run online_portinfo.r
4. delete input data from 6 days ago
5. when execution is finished, delete unnecessary files such as input data
1 Run DarkNMF.r
2 Run DarkNMF_alertonly.r
3 When execution is finished, delete unnecessary files such as input data.
1 Create ${data_filespace}sensor${ID}/Anomaly_dstPort_list
2 portlist_file="${data_filespace}sensor${ID}/Anomaly_dstPort_list/${START_YEAR}${START_MONTH}_Anomaly_dstPort_list_ver${ver}.txt
3 Write 0 to portlist_file
4 Execute DarkNMF.r
5 Execution of DarkNMF_alertonly.r
6 When portlist_file is non-zero
6.1 Execution of DarkNMF-port.r
6.2 Execution of DarkNMF-port_alertonly.r
7 When execution is finished, delete unnecessary files such as input data.
1 Execution of online_script.
2 When execution is finished, delete unnecessary files such as input data.
It can be run from 2021_cpd.ipynb. (includes sample data)
