Алгоритмы преобразования и классификации трафика для обнаружения вторжений в компьютерные сети тема диссертации и автореферата по ВАК РФ 05.13.11, кандидат технических наук Большев, Александр Константинович

Актуальность работы. Обнаружение сетевых атак является в данный момент одной из наиболее острых проблем сетевых технологий. По данным САЙРА, незащищенный компьютер, подключенный к сети Интернет, будет взломан не позднее, чем через 2-3 часа. Масштабные эпидемии сетевых червей, БОоБ атаки с бот-сетей размером более 10000 компьютеров, автоматизированные средства поиска уязвимостей в сетях - все это делает обеспечение безопасности локальных сетей весьма трудоемким делом. Сейчас трудно найти сеть, в которой отсутствуют такие активные средства предупреждения атак как антивирус, брандмауэр, системы предупреждения вторжений уровня хоста и так далее. К сожалению, одних активных средств отражения атак недостаточно. Поэтому, в дополнение к ним применяют пассивные средства борьбы с атаками - сетевые системы обнаружения вторжений.

Сетевые системы обнаружения вторжений (ССОВ) просматривают весь сетевой трафик (или трафик определенного участка сети) и при обнаружении каких-либо отклонений в нем сигнализируют об этом. Формальные ССОВ работают по принципу антивирусной программы - пакеты, попадающие на сенсоры, сравниваются с БД сигнатур и, в случае обнаружения совпадения, объявляется тревога. К сожалению, даже формальных ССОВ становится недостаточно для надежной защиты сети. По данным СЕКТ, количество известных новых методов вторжения только за 2010 год превысило 25000. Это значит, что в среднем, каждый день появляется порядка 70 новых атак. Физически невозможно обновлять БД сигнатур формальных ССОВ за такие промежутки времени. Кроме того, увеличение объема сигнатур отрицательно сказывается на производительности систем. Решением этой проблемы является применение систем обнаружения вторжений на основе выявления аномальной активности или эвристических ССОВ.

На данный момент существует достаточно большое количество эвристических ССОВ, работающих на прикладном уровне 081. В области обнаружения вторжений на сетевом/транспортном уровнях до сих пор не предложено ни одной системы, способной работать в реальном времени.

Цель и задачи исследования - разработка модели обнаружения вторжений на сетевом/транспортном уровнях и построение эвристической сетевой системы обнаружения вторжений на основе полученной модели.

Для достижения поставленных целей были решены следующие задачи:

1. классификация и анализ архитектуры современных систем обнаружения вторжений;

2. исследование и анализ существующих моделей, методов и систем эвристического обнаружения вторжений, выбор основных критериев оценки эвристических методов обнаружения вторжений, оценка существующих методов и систем;

3. разработка представления трафика в виде пространства векторов; разработка набора быстрых алгоритмов, реализующего такое преобразование;

4. исследование и выбор численных методов сокращения размерности полученного пространства;

5. выбор и настройка метода извлечения знаний и формирования базы знаний о трафике целевой сети;

6. разработка модели эвристической системы обнаружения вторжений на основе полученных алгоритмов и выбранных методов;

7. исследование и оценка полученной модели;

8. разработка комплекса программ реализующих модель и исследование его работоспособности в реальных сетях.

Объектом исследования диссертационной работы является процесс обнаружения вредоносных действий и аномальных явлений на основе анализа трафика в компьютерной сети.

Предметом изучения является набор моделей, эвристических методов и алгоритмов, обучающихся на положительном и/или смешанном сетевом трафике и предназначенных для обнаружения вторжений и аномальных явлений в компьютерных сетях.

Методы исследования. Теоретическая часть работы выполнена на основе методов математической статистики и функционального анализа, методологии извлечения знаний и искусственного интеллекта. В экспериментальной части работы применяются численные методы, алгоритмы и методы извлечения знаний. Для выполнения экспериментальной части созданы программные комплексы 1сеШ82 и 1сеГО82з.

Научная новизна полученных результатов заключается в следующем:

1. систематизированы существующие методы обнаружения вторжений в сеть, обучающиеся только на положительном или смешанном трафике;

2. разработан набор алгоритмов быстрого преобразования трафика в множество векторов, пригодных для извлечения признаков вторжений;

3. разработана модель системы обнаружения вторжений на основе быстрого алгоритма преобразования трафика, одноклассового классификатора на базе искусственных нейронных сетей (ИНС) и методов сжатия пространства данных;

4. разработана методика определения аномалий на основе метода главных компонент (МГК) и ИНС, позволяющая обнаруживать нехарактерные явления в динамических системах, методика может применяться и вне области обнаружения вторжений в сеть;

5. разработан комплекс программ для обнаружения вторжений в компьютерные сети, основанный на предложенной модели и алгоритмах.

Практическая значимость. Практическую значимость имеют полученные автором следующие результаты:

• Набор алгоритмов быстрого преобразования трафика в множество векторов.

• Методика выявления аномалий в динамических системах.

• Программные комплексы обнаружения вторжений 1сеГО32 и 1сеГО82з.

Результаты работы внедрены в СПбГЭТУ «ЛЭТИ» на кафедре «МО ЭВМ», в сетях компаний ООО «Торговый дом «Китай» и ООО «Некки».

На защиту выносятся следующие основные результаты и положения:

1. способ представления трафика в виде набора векторов, пригодных для последующего использования в методах классификации;

2. набор алгоритмов преобразования трафика в множество векторов;

3. модель эвристической системы обнаружения вторжений на основе разработанных алгоритмов;

4. комплекс программ, позволяющий обнаруживать вторжения и аномальные явления в реальных компьютерных сетях.

Апробация работы. Основные результаты, полученные в ходе работы над диссертацией представлены на:

• Научно-технических конференциях профессорско-преподавательского состава СПбГЭТУ, Санкт-Петербург, 2009 и 2011 гг.

• XV Международной конференции «Современное образование: содержание, технологии, качество.», СПбГЭТУ «ЛЭТИ» 2009 г.

• Всероссийской Конференции «ИНФОС-2009», Вологодский Государственный Технический Университет, 2009 г.

• Конференции «Технологии Microsoft в теории и практике программирования», Санкт-Петербург, 2010 г.

Публикации. Основные теоретические и практические результаты диссертации опубликованы в 10 статьях и докладах, среди которых 4 публикации в ведущих рецензируемых изданиях, рекомендованных в действующем перечне ВАК. Доклады доложены и получили одобрение на 5 международных, всероссийских и межвузовских научно-практических конференциях, перечисленных в конце автореферата. Система IceIDS2 зарегистрирована в качестве программного средства (свидетельство о регистрации ПС IceIDS2 №2009614325).

Структура и объем диссертации. Диссертация состоит из введения, 4 глав, заключения и библиографии. Общий объем диссертации 155 страниц, из них 146 страниц текста, включая 43 рисунка. Библиография включает 88 наименований на 9 страницах.

Выводы по работе:

Проведена классификация и анализ архитектуры современных систем обнаружения вторжений, рассмотрены основные этапы и составные части современных методов вторжений в сеть.

Проведено исследование и анализ существующих моделей, методов и систем эвристического обнаружения вторжений, выбраны основные кри-терие оценки эвристических методов обнаружения вторжений, и с помощью них оценены существующие методы и системы. Большинство современных эвристических методов обнаружения атак не подходят для работы в реальных сетях из-за низкой производительности, высоких показателей FP или большой чувствительности к шумам.

Разработан алгоритм излечения данных из трафика ТЕА1. Он извлекает из трафика 45 признаков вторжений и имеет сложность О (login), где п - число активных сессий. Алгоритм использует сложную структуру представления трафика в сети (на базе перекрестной хэш-таблицы) и методики определения клиентского и серверного портов для каждого единичного пакета. В состав вектора признаков входят опции IP и TCP, флаги, контрольные суммы, количество переданных и отправленных байт, характеристики изменения окна в сессии TCP и др.

Для уменьшения размерности полученного пространства векторов используется метод главных компонент. Выбор МГК в качестве метода сжатия основан на его относительной простоте реализации и сохранении необходимого объема информации в выходном пространстве.

Поскольку в реальных условиях невозможно получить две одинаковые выборки «хорошего» и «плохого» трафика, принято решение использовать классификатор с обучением на данных одного класса. Проведенное исследование на данных KDD показало приемлемость такого подхода с использованием 1-NN или ОС SVM в качестве классификатора. Для улучшения качества обнаружения и показателей других критериев используется одноклассовый классификатор на базе многослойного пер-цептрона. Он обладает такими важными свойствами, как стабильные результаты на больших выборках, хорошая работа на данных даже при свертке их размерности и высокая устойчивостью к шуму.

Разработана модель системы обнаружения вторжений с использованием алгоритма ТЕА1, МГК и одноклассового классификатора на базе ИНС.

Исследования на данных KDD Сир Data и DARPA IDS Evaluation позволяет утверждать, что разработанная модель в большинстве случаев лучше аналогичных моделей по критериям CR/FP; по показателям производительности и устойчивости при фиксированных CR/FP она лучше всегда. На данных KDD модель показала корректность обнаружения более 96% при 0.001% ложных срабатываний.

На базе модели были разработаны две системы обнаружения вторжений IceIDS2 и IceIDS2s. Они прошли испытания в реальных сетях и показали лучшие результаты обнаружения вторжений по критерию CR по сравнению с формальной системой обнаружения вторжений Snort. Система IceIDS2 была зарегистрирована в качестве программного средства (Свидетельство о регистрации ПС IceIDS2 №2009614325).

Полученные модели по обнаружению вторжений можно перенести в более широкую область обнаружения аномалий в любых сложных динамических объектах. Показан пример подобной модели для обнаружения аномалий в поведении сигналов датчиков. Дальнейшее развитие разработок по этой тематике представляется весьма актуальным и перспективным. Еще одно возможное направление развития работы - это дальнейшая оптимизация алгоритма ТЕА1 и реализация принципов, заложенных в системах 1сеШ82/1сеГО82з на уровне драйвера для сетевого стека ОС.

Работа выполнялась в рамках комплексного проекта с участием высшего учебного заведения по заказу Министерства Образования и Науки Российской Федерации на тему «Организация высокотехнологичного производства систем гидроакустического мониторинга акватории на базе покровных антенн в местах размещения нефте- и газодобывающих платформ в районе арктического шельфа». Дог. №13.025.31.0054.

При решении поставленных в диссертационной работе задач получены следующие основные научные и практические результаты:

1. Разработано представление сетевого трафика в виде набора векторов, содержащих признаки вторжений и/или аномальных явлений в целевой сети. Разработан набор алгоритмов преобразования трафика в этот набор векторов; алгоритм имеет сложность О^од^п) и может работать в режиме реального времени.

2. Разработана модель эвристической сетевой системы обнаружения вторжений на базе предложенного алгоритма, метода главных компонент и одноклассового классификатора на базе искусственных нейронных сетей. Модель, после обучения, способна обнаруживать вторжения и нехарактерные явления в трафике целевой сети. Модель может быть адаптирована для обнаружения аномалий в других сложных динамических объектах (например, телеметрических сигналов).

3. Проведено экспериментальное исследование эффективности обнаружения вторжений и аномалий при помощи полученной модели. Результаты исследования показали, что модель является конкурентоспособной в области методов обнаружения вторжений обучающихся только на положительном или смешанном трафике.

4. Разработаны комплексы программ 1сеШ82 и 1сеГО82з представляющие из себя сетевые эвристическйе системы обнаружения вторжений. Проведены испытания и внедрения программных комплексов в реальных сетях. Результаты испытаний показали хорошие результаты по критериям СК, РРв и БР.

Заключение

1. Лукацкий А. В. Обнаружение атак. СПб: БХВ-Петербург, 2003.

2. Ральников М. А. Повышение безопасности среды передачи данных в интегрированных системах управления предприятиями: Кандидатская диссертация / РИО КГТУ. Кострома, 2004.

3. Фостер Д. С. Защита от взлома. Сокеты, shell-код, эксплойты. Москва: ДМК-пресс., 2006.

4. Northcutt S., Cooper M., Fearnow M., Frederik К. Intrusion Signatures and Analysis. New-York: New Riders Publishing, 2001.

5. Mitnick K. The art of intrusion : the real stories behind the exploits of hackers, intruders к deceivers. Indianapolis, IN: Wiley, 2005. ISBN: 0471782661.

6. Northcutt S. Inside Network Perimeter Security. Indianapolis: New Riders, 2004. 182-186 pp.

7. Hernan S., Lambert S., Ostwald T., Shostack A. Uncover Security Design Flaws Using The STRIDE Approach // MSDN Magazine. 2006. Vol. 11. Pp. 44-48.

8. Loeb L., Faircloth J., Ftu K., Everett C. Hack Proofing Your Network. New York: Syngress Publishing Inc., 2001. 75-127 pp.

9. Wang K., Stolfo S. Anomalous Payload-Based Network Intrusion Detection // Recent Advances in Intrusion Detection / Ed. by E. Jonsson, A. Valdes. M. Almgren. Springer Berlin / Heidelberg, 2004. Vol. 3224 of Lecture Notes in Computer Science. Pp. 203-222.

10. Messer J. Secrets of Network Cartography: A Comprehensive Guide to Nmap Second Edition. New York: A Professor Messer Publications, 2007. 30-51 pp.

11. Wenstrom M. J. Managing Cisco Network Security. Indianapolis: Cisco Press, 2001. 31-61 pp.

12. Erickson J. Hacking: the Art of Exploitation, 2nd Edition. San Francisco: No Starch Press, 2007.

13. Barner C. Hack Proofing Wireless Network. New York: Syngress Publishing Inc., 2002. 91-139 pp.

14. Cheswick W. Firewalls and Internet Security. Boston: Addison-Wesley, 1994. ISBN: 0201633574.

15. Marchette D. Computer Intrusion Detection and Network Monitoring. Berlin: Springer, 2001. ISBN: 0387952810.

16. Scarfone K., Meli P. Guide to Intrusion Detection and Prevention Systems (IDPS) // Computer Security Resource Center. 2007. Vol. 800-94.

17. Whitman M. Principles of Information Security, Third Edition. Cambridge: Course Technology, 2007. ISBN: 9781423901778.

18. Newman R. Computer Security. Sudbury: Jones & Bartlett Publishers, 2009. ISBN: 0763759945.

19. Shahbazian E. Aspects of Network and Information Security. Amsterdam: IOS Press, 2008. ISBN: 1586038567.

20. Carter E. Ccsp Self-Study : Cisco Secure Intrusion Detection System. Indianapolis: Cisco Press, 2004. ISBN: 1587051443.

21. Intrusion Detection Systems Group Test (Ed. 2). New York: NSS, 2001.

22. Vacca J. Computer and Information Security Handbook. San Diego: Morgan Kaufmann, 2009. ISBN: 9780123743541.

23. Lussi C. Signature-based Extrusion Detection: Ph.D. thesis / ITK. Zurich, 2008.

24. Manikopoulos C. Intrusion Detection and Network Security: Statistical Anomaly Approaches. Boca Raton: CRC, 2008. ISBN: 0849397162.

25. Singhal A. Data Warehousing and Data Mining Techniques for Cyber Security. Berlin: Springer, 2007. ISBN: 6610816522.

26. Ibrahim N. H. Evaluating indirect and direct classification techniques for network intrusion detection: Ph. D. thesis / Florida Atlantic University. Orlando, 2004.

27. Pinkston J. Intrusion detection: Modeling system state to detect and classify anomalous behaviors: Ph. D. thesis / University of Maryland. Baltimore County, 2004.

28. Anderson R. Security Engineering. Chichester: John Wiley & Sons, 2001. ISBN: 9780471389224.

29. Mahoney M. V., Chan P. K. PHAD: Packet Header Anomaly Detection for Identifying Hostile Network Traffic. Florida: Department of Computer Sciences Florida Institute of Technology Melbourne, 2001. 17 pp.

30. Staniford-Chen S. IDS Standards: Lessons Learned to Date // Raid Sym-posyum Journal. 1999. Pp. 105-119.

31. Debar H., Curry D., Feinstein B. The Intrusion Detection Message Exchange Format (IDMEF). The IETF Trust.

32. Kahn C., Bolinger D., Schnackenberg D. Communication in the Common Intrusion Detection Framework v 0.7. CIDF Working Group.

33. Caswell B., Beale J., Baker A. R. Snort IDS and IPS toolkit. Burlington, MA: Syngress, 2007. ISBN: 9781597490993.

34. Allen J., Christie A., William F. et al. State of the Practice of Intrusion Detection Technologies. Pittsburgh: Carnegie Mellon Software Engineering Institute, 2000.

35. Pietro R. Intrusion detection systems. S.l: Springer, 2008. ISBN: 1441945857.

36. Biles S. Statistical Packet Anomaly Detection Engine (SPADE). New York: Computer Security Online Ltd., 2005. 28 pp.

37. Biles S. Detecting the Unknown with Snort and the Statistical Packet Anomaly Detection Engine ( SPADE ). New York: Computer Security Online Ltd., 2005. 9 pp.

38. Tran Q.-A., Duan H., Li X. One-class Support Vector Machine for Anomaly Network Traffic Detection. Beijing: Tsinghua University, 2007. 6 c.

39. Williamson R., Smola A. J., Scholkopf B. New Support Vector Algorithms. Sydney: Australian National University, 1998. 28 c.

40. Eskin E., Arnold A., Portnoy L. A Geometric Framework for Unsupervised Anomaly Detection: Detecting Intrusions in Ulabeled Data. New York: Columbia University, 2001. 20 c.

41. Eskin E., Portnoy L. Intrusion Detection with Ulabeled Data Using Clustering. New York: Columbia University, 1999. 14 c.

42. Yao J., Zhao S., Fan L. An Enhanced Support Vector Machine Model for Intrusion Detection.

43. Peddabachigari S., Abraham A., Grosan C., Thomas J. Modeling intrusion detection system using hybrid intelligent systems // J. Netw. Comput. Appl. 2007. January. Vol. 30. Pp. 114-132.

44. Танненбаум Э. Основы компьютерных сетей. СПб.: Питер, 2005. 992 с.

45. Scambray J. Hacking Exposed. Berkeley: Osborne/McGraw-Hill, 2001. ISBN: 0072127481.

46. Mcnab C. Network Security Assessment: Know Your Network. O'reilly Media Inc.: O'Reilly Media Inc., 2008. ISBN: 0596510306.

47. Большее А., Яновский В. Модель системы обнаружения атак отказа в обслуживании на основе метода опорных векторов // Известия Государственного Электротехнического Университета. 2008. Т. 4. С. 25-31.

48. Stevens R. Tcp/Ip Illustrated. Reading: Addison-Wesley Pub. Co, 1994. ISBN: 0201634953.

49. Zalewski M. Silence on the Wire. San Francisco: No Starch Press, 2005. ISBN: 1593270461.

50. Kozierok С. The Tcp/Ip Guide. San Francisco: No Starch Press, 2005. ISBN: 159327047X.

51. Veysset F., Courtay О., Heen O. New Tool And Technique For Remote Operating System Fingerprinting. Intranode Research Team, 2002.

52. Шиффман M. Защита от хакеров: Анализ 20 сценариев взлома. М.: Издательский дом «Вильяме», 2002. 305 с.

53. Stevens S. Unix Network Programming. Boston: Addison-Wesley, 2004. ISBN: 0131411551.

54. Systems I. Ccna 1 and 2 Companion Guide, Revised. Indianapolis: Cisco Press, 2004. ISBN: 1587131501.

55. Orebaugh A. Nmap in the Enterprise: Your Guide to Network Scanning. Amsterdam: Elsevier, 2008. ISBN: 1597492418.

56. Larsen M., Gont F. Recommendations for Transport-Protocol Port Randomization. Internet Engineering Task Force (IETF).

57. Nogueira A., Salvador P., Valadas R. Detecting Internet Applications using Neural Networks // Proceedings of the International conference on Networking and Services. Washington, DC, USA: IEEE Computer Society, 2006. Pp. 95-96.

58. Group B. Hash Functions. City: Books LLC, 2010. ISBN: 1156049105.

59. Refaat M. Data Preparation for Data Mining Using Sas. San Francisco: Morgan Kaufmann Publishers, 2007. ISBN: 0123735777.

60. Gorban A. Principal Manifolds for Data Visualization and Dimension Reduction. Berlin: Springer, 2007. ISBN: 9783540737490.вторжений // ИНФОС-2009, сборник докладов. 26-27.06.2009. Вологодский Государственный Технический Университет, 2009. Pp. 28-31.

61. Wu X. Support vector machines for text categorization: Ph. D. thesis. Buffalo, NY, USA: State University of New York at Buffalo, 2004.

62. Wasserman P. Neural computing : theory and practice. New York: Van Nos-trand Reinhold, 1989. ISBN: 0442207433.

63. Hinton G., Sejnowski T. J. Unsupervised learning : foundations of neural computation. Cambridge, Mass: MIT Press, 1999. ISBN: 026258168X.

64. Каллан P. Основные концепции нейронных сетей. Москва: Вильяме, 2001. 289 с.

65. Хайкин С. Нейронные сети, полный курс. Москва: Вильяме, 2008. 1104 с.

66. Круглов В. В., Борисов В. В. Искусственные нейронные сети. Теория и практика. Москва: Горячая линия Телеком, 2001. 382 с.

67. Wilson D. R., Martinez Т. R. The Need for Small Learning Rates on Large Problems. Utah: Brigham Young University, 2001. 5 c.

68. Jolliffe I. Т. Principal Component Analysis. Berlin: Springer, 2002. ISBN: 9780387954424.

69. Айвазян С. А., Вухштабер В. M., Енюков И. С., Мешалкин JT. Д. Прикладная-статистика". Классйфйкация и снижение размерности. Москва: Финансы и статистика, 1989. С. 607.

70. Журавлев Ю. И., Рязанов В. В., Сенько О. В. «Распознавание». Математические методы. Программная система. Практические применения. Москва: Фазис, 2006.

71. Вапник В. Восстановление зависимостей по эмпирическим данным. Москва: Наука, 1979.

72. Моуа М. М., Hush D. R. Network constraints and multi-objective optimization for one-class classification // Neural Netw. 1996. —April. Vol. 9. Pp. 463-474.

73. Bermejo S., Cabestany J. Learning with Nearest Neighbour Classifiers // Neural Process. Lett. 2001.-April. Vol. 13. Pp. 159-181.

74. Cristianini N. An Introduction to Support Vector Machines. Cambridge: Cambridge University Press, 2000. ISBN: 0521780195.

75. Болынев А., Яновский В. Применение алгоритмов одноклассовой классификации при построении сетевых систем обнаружения

76. Болыиев А., Лисс А. Использование РСА и ИНС для обнаружения вторжений в сеть. // Технологии Microsoft в теории и практике программирования. Изд-во Политехнического университета, 2010. 2 pp.

77. Болынев А., Яновский -В. Применение нейронных сетей для обнаружения вторжений в компьютерные сети // «Вестник Санкт-Петербургского университета», Серия 10 «Прикладная математика информатика процессы управления». 2010. Т. 1. С. 129-136.

78. Duda R. Pattern classification. New York: Wiley, 2001. ISBN: 0471056693.

79. Болынев А., Лисс А. Прототип эвристической системы обнаружения вторжений в компьютерные сети на основе метода главных компонент. // Научно-Технические Ведомости СПбГПУ, Серия «Информатика, Телекоммуникации, Управление». 2010. Т. 4(103). С. 200-205.

80. Большев А., Лисс А. Применение искусственных нейронных сетей и методов сокращения размерности данных при решении задач обнаружения сетевых вторжений. // Известия СпбГЭТУ «ЛЭТИ». 2010. Т. 5. С. 51-56.

81. Smith М. Neural networks for statistical modeling. New York: Van Nostrand Reinhold, 1993. ISBN: 0442013108.