Обнаружение вторжений с помощью динамической системы анализа сетевого трафика
ART 970539
Авторы:
М.
А. Темирбулатов, А.
Г. Мустафаев
М.
А. Темирбулатов, А.
Г. Мустафаев Библиографическое описание статьи для цитирования:
Темирбулатов
М.
А.,
Мустафаев
А.
Г. Обнаружение вторжений с помощью динамической системы анализа сетевого трафика // Научно-методический электронный журнал «Концепт». –
2017. – Т. 39. – С.
1061–1065. – URL:
http://e-koncept.ru/2017/970539.htm.
Аннотация. В работе рассмотрены методы обнаружения сетевых атак на вычислительную систему. Исследована возможность использования искусственных нейронных сетей для анализа сетевого трафика. Разработана нейросетевая модель фильтрации входящего в вычислительную систему трафика. Для проектирования искусственной нейронной сети был использован пакет Neural Network Toolbox из MATLAB 8.6 (R2015b). Результаты тестирования спроектированной нейросетевой системы показывают возможность её успешной работы при обнаружении сетевых компьютерных атак.
Ключевые слова:
адаптивность, классификация, искусственные нейронные сети, система обнаружения атак, многослойный персептрон, анализ сетевого трафика, фильтрация трафика, защита вычислительных сетей
Текст статьи
Темирбулатов Магомед Абдуллаевич, студент 2го курса ГАОУ ВО «Дагестанский государственный университет народного хозяйства», г. Махачкала
Мустафаев Арслан Гасанович, доктор технических наук, профессор кафедры информационныхтехнологий и информационной безопасности ГАОУ ВО «Дагестанский государственный университет народного хозяйства», г. Махачкала
Обнаружение вторжений с помощью динамической системы анализа сетевого трафика
Аннотация.В работе рассмотрены методы обнаружения сетевыхатак на вычислительную систему. Исследована возможность использования искусственных нейронных сетей для анализа сетевого трафика. Разработана нейросетевая модель фильтрации входящего в вычислительную систему трафика. Для проектирования искусственной нейронной сети был использован пакет Neural Network Toolbox из MATLAB 8.6 (R2015b). Результаты тестирования спроектированной нейросетевой системыпоказывают возможность её успешнойработы при обнаружении сетевых компьютерных атак. Ключевые слова:система обнаружения атак, адаптивность, классификация, многослойный персептрон, искусственные нейронные сети, анализ сетевого трафика, фильтрация трафика, защита вычислительных сетей.
В современных условиях развития информационных технологий и их глубокой интеграции в жизнь людей особую актуальность приобретает проблема защиты конфиденциальной информации.Стремительное развитие и распространение глобальных и локальных сетей изменило вычислительные системы, которые стали более связанными и менее защищенными от злоумышленников, обладающих новыми возможностями для своих разрушительных целей. Расходы на компенсацию убытков, причиненных в результате несанкционированного доступа злоумышленников к потокам данных в сетях постоянно, увеличиваются.Автоматизация процессов обработки, хранения и передачи информации приводит к возникновению новых проблем, связанных с обеспечением ее безопасности. В это же время, современные вычислительные системы становятся все более сложными изза динамических изменений в конфигурации и программном обеспечении. Такая ситуация создает практически неограниченные возможности для злоумышленников, которые используют программные приложения и уязвимости операционных систем для успешного проникновения в компьютерную систему.В настоящее время достаточно остро стоит проблема защищенности информационных систем предприятий, работающих с телекоммуникационными средствами связи. В связи с этим, основными задачами анализа процессов телекоммуникационных систем в области безопасности являются:
моделирование и прогнозирование угроз информационной безопасности телекоммуникационных систем, а также оценивание их уровней риска;
эффективный выбор основных элементов системы при проектировании устройств и схем защиты информации телекоммуникационных систем;
построение эффективных моделей каналов связи, а также рациональные и качественные способы формирования и преобразования сигналов в телекоммуникационных системах;
оценка эффективности защиты информации в телекоммуникационных системах;
разработка предложений и мер по совершенствованию системы управления информационной безопасностью телекоммуникационной системы.В организациях, работающих с телекоммуникационными средствами связи, существуют определенные трудности, связанные с частыми и значительными изменениями в технологиях обработки и передачи информации. Постоянное развитие вычислительных сетей, их совершенствование, модификация, взаимная интеграция, открытость приводят к появлению качественно новых угроз, увеличению числа несанкционированного доступа.Телекоммуникационные системымогут быть отнесены к сложным техническим системам, требующим обеспечения информационной безопасности, поскольку в полной мере удовлетворяют таким основным системным критериям, как наличие множества взаимодействующих составляющих, иерархичность подсистем, их подвижность и др.Составной частью современных сложных технических систем, в частности, телекоммуникационных сетей, являются распределенные системы управления и мониторинга, к которым предъявляются очень высокие требования по качеству функционирования и использования с целью поддержания высокого уровня работоспособности сетевых подсистем, в связи с чем, задачи управления телекоммуникационной сетью являются актуальными.Требования по обеспечению безопасности в различных информационных системахмогут существенно отличаться, однако они всегда направлены на достижение трех основных свойств–целостности, доступности,конфиденциальности.В рамках теории интеллектуального обеспечения безопасности информации необходимо комплексное решение проблемсоздания интеллектуальных систем защиты информации, что позволит создавать интеллектуальные системы, основным преимуществом которых будет способность предотвращения, обнаружения и нейтрализации использования противраспределенных специализированных автоматизированных системметодов и средств специального программнотехнического воздействия.В литературе неоднократно формулировалась задача определения мер и средств защиты как оптимизационная задача выбора при заданных ограничениях, например, в[1], как задача первого или второго вида. Первая минимизация стоимости при требуемой эффективности мер защиты и второго вида —максимизация эффективности мер защиты при ограничении на стоимость средств. Вместе с тем, нормативными документами ФСТЭК строго определен порядок построения эффективной защиты —выявление всех возможных угроз безопасности информации, оценка их актуальности, вероятности реализации, определения класса защищенности АС и установление по этим данным определенного набора мер соответствия введенному классу защищенности (уровню защиты), то есть покрытия множества требований РД (или угроз) множеством мер и способов защиты (создание профиля функциональных требований (ФТ) защиты —в терминах ГОСТ Р ИСО\МЭК 15408). В этом случае задача количественного определения эффективности и оптимизации стоимости выбранных мер и средств защиты не ставится. При этом отсутствие строгой методики обоснования выбора конкретных мер и способов защиты и реализующих их средств защиты информации может привести к неоптимальности, а иногда даже к несостоятельности выбранного далее набора компонентов системы защиты.Складывается устойчивая тенденция к увеличению количества атак на вычислительные системы и сети. Технологии и методы удаленных сетевых атак постоянно совершенствуются, и существующие средства защиты не позволяют полностьюпресекать злонамеренный трафик. Эти обстоятельства делают разработку и внедрение новых методов и средств защиты информации в вычислительных сетях весьма актуальными. В настоящее время используются различные подходы к обнаружению сетевых атак (вторжений), но на практике эти подходы не всегда неэффективны. По этой причине способы и средства обнаружения вторжений должны постоянно исследоваться и совершенствоваться. Для тогочтобы разработать динамическую систему обнаружения вторжений необходимо изучить типы вторжений, типы систем обнаружения вторжений и подходы к анализу и обнаружению вторжений.Обнаружение вторжений можно определить, как процесс интеллектуального мониторинга событий, происходящих в вычислительной сети или системе, их анализ на наличие признаков нарушения политики безопасности и попытки поставить под угрозу конфиденциальность, целостность, доступность, или обойти механизмы безопасности хоста или сети.Процесспоиска, изучения, анализа и выбора средств достаточно сложен и продолжителен, зависим от уровня знаний специалиста, при этом надо учитывать множество влияющих факторов. Поэтому возможно появление ошибок в силу различных причин, которые могут привести к выбору не лучшего варианта, что может затем сказаться на бюджете и безопасности.Решать эту задачу можно применив систему поддержки принятия решения, базирующуюся на комплексе математических моделей многокритериальной оптимизации.Система обнаружения вторжений захватывает поток данных из сети, применяет определенные правила к этим данным и обнаруживает аномалии в них и сообщает об этомпользователю (администратору).Интенсивные исследования и разработки, проводимые в настоящее время в этом направлении, показывают, что достижение приемлемых уровней защиты информационных ресурсов от все более изощренных атак невозможно на основе применения обычных алгоритмических и программноаппаратных решений [24]. Современные средства обнаружения вторжений неизбежно должны включать в себя интеллектуальные подсистемы, по крайней мере, в качестве одной из своих составных частей.Цель работы –разработка системы обнаружения вторжений, обладающей способностью адаптации к изменениям поведения вычислительной сети основанной на использовании аппарата искусственных нейронных сетей.Искусственная нейронная сеть является одним из подходов технологии создания интеллектуальных систем, основанных на имитации поведения человеческого мозга. Существует большое количество разных конфигураций нейронных сетей с различными принципами функционирования. Для реализации системы обнаружения атак будем использовать многослойную полносвязанную нейронную сеть (многослойный персептрон), в которой каждый нейрон произвольного слоя связан со всеми нейронами предыдущего слоя.Многослойный персептрон содержит три типа слоев нейронов: входной, скрытый и выходной. Каждый нейрон сети имеет гладкую нелинейную функцию активации. Многослойные нелинейные нейронные сети позволяют формировать более сложные связи между входами и выходами, чем однослойные линейные. Для проектирования нейронной сети был использован пакет Neural Network Toolbox из MATLAB 8.6 (R2015b).Данные для обучения нейронной сети были взяты из базы [5], содержащей наборы данных о легальных сетевых соединениях и атаках.При выборе архитектуры нейронной сети было решено учитывать девять параметров [6]которые обеспечивают полное описание информации, переданной в пакете.Спроектированная нейронная сеть содержала входной слой, один скрытый слой и выходной слой. Входной слой нейронной сети, имеет 9 нейронов, выходной слой имеет два нейрона, соответствующие нормальной работе и действиям злоумышленника (рис. 1).
Рис. 1. Архитектура разработанной нейронной сети
Набор данных (3000 кортежей) был разделен на три группы: для обучения, для тестирования и для подбора наиболее оптимального состояния системы (65% записей использовалось для обучения системы, 20% тестирование, а 15% для подбора наиболее оптимального состояния системы).Для обучения искусственной нейронной сети применялся алгоритм обратного распространения ошибки. Прямое распространение сигнала производится послойно, начиная со входного слоя, при этом рассчитывается сумма входных сигналов для каждого нейрона и при помощи функции активации генерируется отклик нейрона, который распространяется в следующий слой с учетом веса межнейронной связи согласно. В результате выполнения данного этапа мы получаем вектор выходных значений нейронной сети. Следующий этап обучения –вычисление ошибки нейронной сети как разницы между ожидаемым и действительным выходными значениями.Результаты обучения и тестирования спроектированной нейронной сети показывают возможность её применения для решения задачи обнаружения сетевых компьютерных атак. Нейронная сеть правильно классифицирует активность в сети в 93% случаев распознавая действия злоумышленника. Результаты исследования позволяют сделать вывод о том, что предложенная нейросетевая система с способна высокой вероятностью распознавать сетевые атаки, при относительно небольшом числе ложных срабатываний.
Ссылки на источники1.Хализев В.Н., Кузьмин Д.И. Методика выбора оптимального набора средств программноаппаратной защиты информации // Физикоматематические науки и информационные технологии: проблемы и тенденции развития: сб. ст. по матер. VIII междунар. науч.практ. конф. № 8. –Новосибирск: СибАК, 2012.2.Гончаров В.А., Пржегорлинский В.Н. Метод обнаружения сетевых атак, основанный на кластерном анализе взаимодействия узлов вычислительной сети // Вестник Рязанского государственного радиотехнического университета. 2011. № 36. с. 310.3.Hofmann A., Sick B. Evolutionary Optimization of Radial Basis Function Networks for Intrusion Detection. Proceedings, International Joint Conference on Neural Networks (Volume 1), 2003. p.415420.4.Middlemiss M., Dick G. Feature Selection of Intrusion detection data using a hybrid genetic of hybrid Intelligent systems. IOSPressAmsterdam, pp.519527, 20035.KDD Cup 1999 Data [Электронный ресурс] http://kdd.ics.uci.edu/databases/kddcup99 (дата обращения: 13.02.2016)6.Мустафаев А.Г. Нейросетевая система обнаружения компьютерных атак на основе анализа сетевого трафика // Вопросы безопасности. —2016. № 2. С.17. DOI: 10.7256/24097543.2016.2.18834. URL: http://enotabene.ru/nb/article_18834.html
Мустафаев Арслан Гасанович, доктор технических наук, профессор кафедры информационныхтехнологий и информационной безопасности ГАОУ ВО «Дагестанский государственный университет народного хозяйства», г. Махачкала
Обнаружение вторжений с помощью динамической системы анализа сетевого трафика
Аннотация.В работе рассмотрены методы обнаружения сетевыхатак на вычислительную систему. Исследована возможность использования искусственных нейронных сетей для анализа сетевого трафика. Разработана нейросетевая модель фильтрации входящего в вычислительную систему трафика. Для проектирования искусственной нейронной сети был использован пакет Neural Network Toolbox из MATLAB 8.6 (R2015b). Результаты тестирования спроектированной нейросетевой системыпоказывают возможность её успешнойработы при обнаружении сетевых компьютерных атак. Ключевые слова:система обнаружения атак, адаптивность, классификация, многослойный персептрон, искусственные нейронные сети, анализ сетевого трафика, фильтрация трафика, защита вычислительных сетей.
В современных условиях развития информационных технологий и их глубокой интеграции в жизнь людей особую актуальность приобретает проблема защиты конфиденциальной информации.Стремительное развитие и распространение глобальных и локальных сетей изменило вычислительные системы, которые стали более связанными и менее защищенными от злоумышленников, обладающих новыми возможностями для своих разрушительных целей. Расходы на компенсацию убытков, причиненных в результате несанкционированного доступа злоумышленников к потокам данных в сетях постоянно, увеличиваются.Автоматизация процессов обработки, хранения и передачи информации приводит к возникновению новых проблем, связанных с обеспечением ее безопасности. В это же время, современные вычислительные системы становятся все более сложными изза динамических изменений в конфигурации и программном обеспечении. Такая ситуация создает практически неограниченные возможности для злоумышленников, которые используют программные приложения и уязвимости операционных систем для успешного проникновения в компьютерную систему.В настоящее время достаточно остро стоит проблема защищенности информационных систем предприятий, работающих с телекоммуникационными средствами связи. В связи с этим, основными задачами анализа процессов телекоммуникационных систем в области безопасности являются:
моделирование и прогнозирование угроз информационной безопасности телекоммуникационных систем, а также оценивание их уровней риска;
эффективный выбор основных элементов системы при проектировании устройств и схем защиты информации телекоммуникационных систем;
построение эффективных моделей каналов связи, а также рациональные и качественные способы формирования и преобразования сигналов в телекоммуникационных системах;
оценка эффективности защиты информации в телекоммуникационных системах;
разработка предложений и мер по совершенствованию системы управления информационной безопасностью телекоммуникационной системы.В организациях, работающих с телекоммуникационными средствами связи, существуют определенные трудности, связанные с частыми и значительными изменениями в технологиях обработки и передачи информации. Постоянное развитие вычислительных сетей, их совершенствование, модификация, взаимная интеграция, открытость приводят к появлению качественно новых угроз, увеличению числа несанкционированного доступа.Телекоммуникационные системымогут быть отнесены к сложным техническим системам, требующим обеспечения информационной безопасности, поскольку в полной мере удовлетворяют таким основным системным критериям, как наличие множества взаимодействующих составляющих, иерархичность подсистем, их подвижность и др.Составной частью современных сложных технических систем, в частности, телекоммуникационных сетей, являются распределенные системы управления и мониторинга, к которым предъявляются очень высокие требования по качеству функционирования и использования с целью поддержания высокого уровня работоспособности сетевых подсистем, в связи с чем, задачи управления телекоммуникационной сетью являются актуальными.Требования по обеспечению безопасности в различных информационных системахмогут существенно отличаться, однако они всегда направлены на достижение трех основных свойств–целостности, доступности,конфиденциальности.В рамках теории интеллектуального обеспечения безопасности информации необходимо комплексное решение проблемсоздания интеллектуальных систем защиты информации, что позволит создавать интеллектуальные системы, основным преимуществом которых будет способность предотвращения, обнаружения и нейтрализации использования противраспределенных специализированных автоматизированных системметодов и средств специального программнотехнического воздействия.В литературе неоднократно формулировалась задача определения мер и средств защиты как оптимизационная задача выбора при заданных ограничениях, например, в[1], как задача первого или второго вида. Первая минимизация стоимости при требуемой эффективности мер защиты и второго вида —максимизация эффективности мер защиты при ограничении на стоимость средств. Вместе с тем, нормативными документами ФСТЭК строго определен порядок построения эффективной защиты —выявление всех возможных угроз безопасности информации, оценка их актуальности, вероятности реализации, определения класса защищенности АС и установление по этим данным определенного набора мер соответствия введенному классу защищенности (уровню защиты), то есть покрытия множества требований РД (или угроз) множеством мер и способов защиты (создание профиля функциональных требований (ФТ) защиты —в терминах ГОСТ Р ИСО\МЭК 15408). В этом случае задача количественного определения эффективности и оптимизации стоимости выбранных мер и средств защиты не ставится. При этом отсутствие строгой методики обоснования выбора конкретных мер и способов защиты и реализующих их средств защиты информации может привести к неоптимальности, а иногда даже к несостоятельности выбранного далее набора компонентов системы защиты.Складывается устойчивая тенденция к увеличению количества атак на вычислительные системы и сети. Технологии и методы удаленных сетевых атак постоянно совершенствуются, и существующие средства защиты не позволяют полностьюпресекать злонамеренный трафик. Эти обстоятельства делают разработку и внедрение новых методов и средств защиты информации в вычислительных сетях весьма актуальными. В настоящее время используются различные подходы к обнаружению сетевых атак (вторжений), но на практике эти подходы не всегда неэффективны. По этой причине способы и средства обнаружения вторжений должны постоянно исследоваться и совершенствоваться. Для тогочтобы разработать динамическую систему обнаружения вторжений необходимо изучить типы вторжений, типы систем обнаружения вторжений и подходы к анализу и обнаружению вторжений.Обнаружение вторжений можно определить, как процесс интеллектуального мониторинга событий, происходящих в вычислительной сети или системе, их анализ на наличие признаков нарушения политики безопасности и попытки поставить под угрозу конфиденциальность, целостность, доступность, или обойти механизмы безопасности хоста или сети.Процесспоиска, изучения, анализа и выбора средств достаточно сложен и продолжителен, зависим от уровня знаний специалиста, при этом надо учитывать множество влияющих факторов. Поэтому возможно появление ошибок в силу различных причин, которые могут привести к выбору не лучшего варианта, что может затем сказаться на бюджете и безопасности.Решать эту задачу можно применив систему поддержки принятия решения, базирующуюся на комплексе математических моделей многокритериальной оптимизации.Система обнаружения вторжений захватывает поток данных из сети, применяет определенные правила к этим данным и обнаруживает аномалии в них и сообщает об этомпользователю (администратору).Интенсивные исследования и разработки, проводимые в настоящее время в этом направлении, показывают, что достижение приемлемых уровней защиты информационных ресурсов от все более изощренных атак невозможно на основе применения обычных алгоритмических и программноаппаратных решений [24]. Современные средства обнаружения вторжений неизбежно должны включать в себя интеллектуальные подсистемы, по крайней мере, в качестве одной из своих составных частей.Цель работы –разработка системы обнаружения вторжений, обладающей способностью адаптации к изменениям поведения вычислительной сети основанной на использовании аппарата искусственных нейронных сетей.Искусственная нейронная сеть является одним из подходов технологии создания интеллектуальных систем, основанных на имитации поведения человеческого мозга. Существует большое количество разных конфигураций нейронных сетей с различными принципами функционирования. Для реализации системы обнаружения атак будем использовать многослойную полносвязанную нейронную сеть (многослойный персептрон), в которой каждый нейрон произвольного слоя связан со всеми нейронами предыдущего слоя.Многослойный персептрон содержит три типа слоев нейронов: входной, скрытый и выходной. Каждый нейрон сети имеет гладкую нелинейную функцию активации. Многослойные нелинейные нейронные сети позволяют формировать более сложные связи между входами и выходами, чем однослойные линейные. Для проектирования нейронной сети был использован пакет Neural Network Toolbox из MATLAB 8.6 (R2015b).Данные для обучения нейронной сети были взяты из базы [5], содержащей наборы данных о легальных сетевых соединениях и атаках.При выборе архитектуры нейронной сети было решено учитывать девять параметров [6]которые обеспечивают полное описание информации, переданной в пакете.Спроектированная нейронная сеть содержала входной слой, один скрытый слой и выходной слой. Входной слой нейронной сети, имеет 9 нейронов, выходной слой имеет два нейрона, соответствующие нормальной работе и действиям злоумышленника (рис. 1).
Рис. 1. Архитектура разработанной нейронной сети
Набор данных (3000 кортежей) был разделен на три группы: для обучения, для тестирования и для подбора наиболее оптимального состояния системы (65% записей использовалось для обучения системы, 20% тестирование, а 15% для подбора наиболее оптимального состояния системы).Для обучения искусственной нейронной сети применялся алгоритм обратного распространения ошибки. Прямое распространение сигнала производится послойно, начиная со входного слоя, при этом рассчитывается сумма входных сигналов для каждого нейрона и при помощи функции активации генерируется отклик нейрона, который распространяется в следующий слой с учетом веса межнейронной связи согласно. В результате выполнения данного этапа мы получаем вектор выходных значений нейронной сети. Следующий этап обучения –вычисление ошибки нейронной сети как разницы между ожидаемым и действительным выходными значениями.Результаты обучения и тестирования спроектированной нейронной сети показывают возможность её применения для решения задачи обнаружения сетевых компьютерных атак. Нейронная сеть правильно классифицирует активность в сети в 93% случаев распознавая действия злоумышленника. Результаты исследования позволяют сделать вывод о том, что предложенная нейросетевая система с способна высокой вероятностью распознавать сетевые атаки, при относительно небольшом числе ложных срабатываний.
Ссылки на источники1.Хализев В.Н., Кузьмин Д.И. Методика выбора оптимального набора средств программноаппаратной защиты информации // Физикоматематические науки и информационные технологии: проблемы и тенденции развития: сб. ст. по матер. VIII междунар. науч.практ. конф. № 8. –Новосибирск: СибАК, 2012.2.Гончаров В.А., Пржегорлинский В.Н. Метод обнаружения сетевых атак, основанный на кластерном анализе взаимодействия узлов вычислительной сети // Вестник Рязанского государственного радиотехнического университета. 2011. № 36. с. 310.3.Hofmann A., Sick B. Evolutionary Optimization of Radial Basis Function Networks for Intrusion Detection. Proceedings, International Joint Conference on Neural Networks (Volume 1), 2003. p.415420.4.Middlemiss M., Dick G. Feature Selection of Intrusion detection data using a hybrid genetic of hybrid Intelligent systems. IOSPressAmsterdam, pp.519527, 20035.KDD Cup 1999 Data [Электронный ресурс] http://kdd.ics.uci.edu/databases/kddcup99 (дата обращения: 13.02.2016)6.Мустафаев А.Г. Нейросетевая система обнаружения компьютерных атак на основе анализа сетевого трафика // Вопросы безопасности. —2016. № 2. С.17. DOI: 10.7256/24097543.2016.2.18834. URL: http://enotabene.ru/nb/article_18834.html
