Signature Analysis Mathematical Model of Network Traffic and Experimental Evaluation of Its Functioning Efficiency

Cover Page

Cite item

Full Text

Abstract

Relevance. In modern attack detection systems (ADSs), signature analysis algorithms are key components in the process of analyzing network traffic. Their widespread use in implementation of attack detection rules is due not only to the ease of their configuration and search speed, but also to the ability to detect attacks with zero false positives. This is achieved by specifying such sets of special rules (signature rules) that uniquely identify a specific type of attack. The development and optimization of models and algorithms for constructing such rules is an urgent task, since its solution allows increasing the level of protection of network resources from attacks.The purpose of the research is to improve the operating efficiency of ADSs built on the basis of signature analysis. Methods used. The research is based on the application of provisions from the theories of sets and information retrieval, as well as parallel and network programming techniques. The subject is models and algorithms for signature search of attacks in network traffic, the object is signature ADSs.Novelty. The paper presents a mathematical model of signature analysis of network traffic, which differs from known analogs in the universality of the representation of signature rules and support for multi-level processing of both individual packets and network data flows; an assessment of the effectiveness of the software implementation of this model is performed. The universality of the representation of signature rules is achieved due to the possibility of their expansion with new rules regardless of their internal implementation and without the need to reconstruct the original model. Multi-level processing of packets and network data flows by signature rules is ensured by the IP defragmentation and TCP reassembly algorithms developed and integrated into the model.Practical significance. The result of the experiment shows that the developed network traffic analyzer demonstrates performance that is 1,5 times superior in terms of promptness and resource consumption to other open source ADSs. Thus, the developed model can be used in constructing an effective ADS.

About the authors

A. A. Branitskiy

The Bonch-Bruevich Saint Petersburg State University of Telecommunications

Email: branickii1.aa@sut.ru

N. A. Branitskaya

The Saint Petersburg State University

Email: nataliya_petrova@mail.ru

References

  1. Kumar S., Spafford E.H. A Pattern Matching Model for Misuse Intrusion Detection // Proceedings of the 17th National Computer Security Conference (NIST, Baltimore, USA, 11–14 October 1994). 1994. Vol. 1. PP. 11–21.
  2. Браницкий А.А. Программные способы повышения эффективности функционирования сетевых сигнатурных систем обнаружения атак // VII Международная научно-техническая и научно-методическая конференция «Актуальные проблемы инфотелекоммуникаций в науке и образовании» (АПИНО, Санкт-Петербург, Российская Федерация, 28 февраля – 01 марта 2018 г.). СПб.: СПбГУТ, 2018. Т. 1. С. 118–123. EDN:XSUFGX
  3. Gowrison G., Ramar K., Muneeswaran K., Revathi T. Efficient context-free grammar intrusion detection system // International Journal of Innovative Computing Information and Control. 2011. Vol. 7. Iss. 8. PP. 4779–4788.
  4. Kazachkin D.S., Gamayunov D.Y. Network traffic analysis optimization for signature-based intrusion detection systems // Proceedings of the Spring/Summer Young Researchers’ Colloquium on Software Engineering. 2008. Iss. 2. doi: 10.15514/SYRCOSE-2008-2-5
  5. Kruegel C., Toth T. Using Decision Trees to Improve Signature-Based Intrusion Detection // Proceedings of the 6th International Symposium on Recent Advances in Intrusion Detection (RAID 2003, Pittsburgh, USA, 8–10 September 2003). Lecture Notes in Computer Science. Berlin, Heidelberg: Springer, 2003. Vol. 2820. PP. 173–191. doi: 10.1007/978-3-540-45248-5_10
  6. Ilgun K., Kemmerer R.A., Porras P.A. State transition analysis: A rule-based intrusion detection approach // IEEE Transactions on Software Engineering. 1995. Vol. 21. Iss. 3. PP. 181–199. doi: 10.1109/32.372146
  7. Kumar S., Spafford E.H. A Software Architecture to Support Misuse Intrusion Detection // Proceedings of the 18th National Information Security Conference (NIST, Baltimore, USA, 10–13 October 1995). 1995. Vol. 1. PP. 194–204.
  8. Zhang X., Wu T., Zheng Q., Zhai L., Hu H., Yin W., et al. Multi-Step Attack Detection Based on Pre-Trained Hidden Markov Models // Sensors. 2022. Vol. 22. Iss. 8. P. 2874. doi: 10.3390/s22082874
  9. Lunt T.F., Tamaru A., Gillham F. A Real-Time Intrusion Detection Expert System (IDES). Final Technical Report for SRI Project 6784. 1992.
  10. Lindqvist U., Porras P.A. eXpert-BSM: A host-based intrusion detection solution for Sun Solaris // Seventeenth Annual Computer Security Applications Conference (New Orleans, USA, 10–14 December 2001). IEEE, 2001. PP. 240–251. doi: 10.1109/ACSAC.2001.991540
  11. Lindqvist U., Porras P.A. Detecting computer and network misuse through the production-based expert system toolset (P-BEST) // Proceedings of the 1999 IEEE Symposium on Security and Privacy (Oakland, USA, 14–14 May 1999). IEEE, 1999. PP. 146–161. doi: 10.1109/SECPRI.1999.766911
  12. Kim H.J., Choi J. Recommendations for Responding to System Security Incidents Using Knowledge Graph Embedding // Electronics. 2023. Vol. 13. Iss. 1. P. 171. doi: 10.3390/electronics13010171
  13. Wang Y., Jere S., Banerjee S., Liu L., Shetty S., Dayekh S. Anonymous Jamming Detection in 5G with Bayesian Network Model Based Inference Analysis // Proceedings of the 23rd International Conference on High Performance Switching and Routing (HPSR, Taicang, China, 06–08 June 2022). IEEE, 2022. PP. 151–156. doi: 10.1109/HPSR54439.2022.9831286
  14. Almseidin M., Al-Sawwa J., Alkasassbeh M., Alweshah M. On detecting distributed denial of service attacks using fuzzy inference system // Cluster Computing. 2023. Vol. 26. Iss. 2. PP. 1337–1351. doi: 10.1007/s10586-022-03657-5
  15. Braden R., Borman D., Partridge C. RFC 1071: Computing the Internet Checksum. 1988. URL: https://dl.acm.org/doi/pdf/10.17487/RFC1071 (Accessed 22.08.2025)
  16. Fall K.R., Stevens W.R. TCP/IP illustrated. Addison-Wesley Professional, 2012. Vol. 1. 1008 p.
  17. Laraba A., François J., Chrisment I., Chowdhury S.R., Boutaba R. Detecting Multi-Step Attacks: A Modular Approach for Programmable Data Plane // NOMS 2022-2022 IEEE/IFIP Network Operations and Management Symposium (Budapest, Hungary, 25–29 April 2022). IEEE Press, 2022. PP. 1–9. doi: 10.1109/NOMS54207.2022.978993
  18. Madhloom J.K., Noori Z.H., Ebis S.K., Hassen O.A., Darwish S.M. An Information Security Engineering Framework for Modeling Packet Filtering Firewall Using Neutrosophic Petri Nets // Computers. 2023. Vol. 12. Iss. 10. P. 202. doi: 10.3390/comput-ers12100202
  19. Браницкий А.А. Алгоритмы параллельного поиска шаблонных подстрок при реализации сигнатурных правил СОА // Региональная информатика и информационная безопасность: сборник трудов конференции (Санкт-Петербург, Российская Федерация, 01–03 ноября 2017 г.). СПб.: Санкт-Петербургское Общество информатики, вычислительной техники, систем связи и управления, 2017. Т. 4. C. 210–212. EDN:XTONUL
  20. Thota K.K., Raj R.J.R. Efficient Regular Expression Matching and Hardware-Accelerated Finite Automata Pattern Recognition in NIDS // Proceedings of the 6th International Conference on Recent Trends in Advance Computing (ICRTAC, Chennai, India, 14–15 December 2023). IEEE, 2023. PP. 349–353. doi: 10.1109/ICRTAC59277.2023.10480760
  21. Браницкий А.А. Обнаружение аномальных сетевых соединений на основе гибридизации методов вычислительного интеллекта. Дис. … канд. тех. наук. СПб.: Санкт-Петербургский Федеральный исследовательский центр РАН, 2018. 305 с. EDN:OQGUHC
  22. Febrita R.E., Hakim L., Utomo A.P. The Implementation of Machine Learning for Optimizing Network-Based Intrusion Detection in the Snort Application // Proceedings of the 6th International Seminar on Research of Information Technology and Intelligent Systems (ISRITI, Batam, Indonesia, 11–12 December 2023). 2023. PP. 141–147. doi: 10.1109/ISRITI60336.2023.10467566
  23. Makanju A., LaRoche P., Zincir-Heywood A.N. A Comparison Between Signature and Machine Learning Based Detectors. URL: https://citeseerx.ist.psu.edu/document?repid=rep1&type=pdf&doi=16e92def7fca8e41894e875f2eb9d4118a4d09df (Accessed 22.08.2025)

Supplementary files

Supplementary Files
Action
1. JATS XML
Download


Creative Commons License
This work is licensed under a Creative Commons Attribution 4.0 International License.

Согласие на обработку персональных данных с помощью сервиса «Яндекс.Метрика»

1. Я (далее – «Пользователь» или «Субъект персональных данных»), осуществляя использование сайта https://journals.rcsi.science/ (далее – «Сайт»), подтверждая свою полную дееспособность даю согласие на обработку персональных данных с использованием средств автоматизации Оператору - федеральному государственному бюджетному учреждению «Российский центр научной информации» (РЦНИ), далее – «Оператор», расположенному по адресу: 119991, г. Москва, Ленинский просп., д.32А, со следующими условиями.

2. Категории обрабатываемых данных: файлы «cookies» (куки-файлы). Файлы «cookie» – это небольшой текстовый файл, который веб-сервер может хранить в браузере Пользователя. Данные файлы веб-сервер загружает на устройство Пользователя при посещении им Сайта. При каждом следующем посещении Пользователем Сайта «cookie» файлы отправляются на Сайт Оператора. Данные файлы позволяют Сайту распознавать устройство Пользователя. Содержимое такого файла может как относиться, так и не относиться к персональным данным, в зависимости от того, содержит ли такой файл персональные данные или содержит обезличенные технические данные.

3. Цель обработки персональных данных: анализ пользовательской активности с помощью сервиса «Яндекс.Метрика».

4. Категории субъектов персональных данных: все Пользователи Сайта, которые дали согласие на обработку файлов «cookie».

5. Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.

6. Срок обработки и хранения: до получения от Субъекта персональных данных требования о прекращении обработки/отзыва согласия.

7. Способ отзыва: заявление об отзыве в письменном виде путём его направления на адрес электронной почты Оператора: info@rcsi.science или путем письменного обращения по юридическому адресу: 119991, г. Москва, Ленинский просп., д.32А

8. Субъект персональных данных вправе запретить своему оборудованию прием этих данных или ограничить прием этих данных. При отказе от получения таких данных или при ограничении приема данных некоторые функции Сайта могут работать некорректно. Субъект персональных данных обязуется сам настроить свое оборудование таким способом, чтобы оно обеспечивало адекватный его желаниям режим работы и уровень защиты данных файлов «cookie», Оператор не предоставляет технологических и правовых консультаций на темы подобного характера.

9. Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований определяется Оператором в соответствии с законодательством Российской Федерации.

10. Я согласен/согласна квалифицировать в качестве своей простой электронной подписи под настоящим Согласием и под Политикой обработки персональных данных выполнение мною следующего действия на сайте: https://journals.rcsi.science/ нажатие мною на интерфейсе с текстом: «Сайт использует сервис «Яндекс.Метрика» (который использует файлы «cookie») на элемент с текстом «Принять и продолжить».