Построение модульных нейронных сетей для обнаружения классов сетевых атак тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Жульков, Евгений Владимирович

Последние годы знаменуются быстрым развитием информационных технологий, связанных с сетью Интернет. Многие компании уже не могут обойтись без применения автоматизированных систем, построенных с использованием сети. Во многом это связано с тем, что сетевые технологии позволяют передавать информацию с большой скоростью и практически любому получателю. По этой причине распространения получают такие системы, как системы электронной коммерции, Интернет-магазины, системы документооборота и совершения банковских транзакций. Возможно как для небольших, так и для крупных транснациональных компаний, передача информации через Интернет является единственным оптимальным решением проблемы оперативности, так как сетевые решения обеспечивают необходимую скорость.

Однако, несмотря на всю привлекательность сетевых технологий, в этой сфере существует множество серьёзных проблем, одна из которых -информационная безопасность. Понятие информационной безопасности базируется на проблеме сохранении основных свойств информации -конфиденциальности, целостности и доступности [29].

Конфиденциальностью называют субъективно определяемую характеристику информации, указывающую на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации и обеспечиваемую способность системы сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на право доступа к ней.

Целостностью называют свойство информации, заключающееся в ее существовании в неискаженном виде.

Доступность - это свойство системы, характеризующее способность обеспечить своевременный беспрепятственный доступ субъектов к информации или к ресурсу с информацией, имеющих на это надлежащие полномочия [24].

Нарушение хотя бы одного свойства информации может привести к огромным потерям, в частности - финансовым. Так, по данным, полученным Институтом Компьютерной Информации (СБ!) в Сан

Франциско, в 2007 году объем потерь вследствие нарушения политики безопасности достиг отметки в 66 миллионов долларов США [32].

Уже давно общество пытается создать эффективные системы защиты информации в сфере сетевых технологий и решить проблему безопасности. Прежде всего, рассматриваются два аспекта проблемы: обеспечение безопасности во время передачи информации по каналам связи и обеспечение информационной безопасности в узлах коммуникационной сети - в местах хранения и обработки этой информации. Первая часть проблемы - проблема безопасной передачи, решается, в основном, при помощи создания надёжных линий передачи данных и при помощи применения различных криптографических протоколов. Использование надёжного оборудования уменьшает деструктивное действие антропогенных и природных факторов на линии передачи, применение криптографических протоколов и шифрация передаваемой информации позволяет сохранить свойство конфиденциальности информации.

Решение второй проблемы, с точки зрения программного и аппаратно-программного обеспечения, не столь очевидно. Прежде всего, необходимо определить существующие на сегодняшний день источники угроз информационной безопасности в местах хранения и переработки информации.

Угрозой информационной безопасности системы называется потенциально возможное событие, действие, процесс или явление, которое может вызвать нанесение ущерба ресурсам системы [1]. Все угрозы информационной безопасности можно разбить на два больших класса -угрозы техногенного характера и угрозы антропогенного характера. К первым, прежде всего, относятся угрозы, связанные с неправильной работой техники, которая используется для приёма, обработки, передачи и хранения информации. Эта проблема решается в основном при помощи использования надёжного оборудования и правильного режима эксплуатации. Ко второму классу угроз относятся преднамеренные или не преднамеренные действия людей - атаки.

Атакой называется действие нарушителя, которое приводит к реализации угрозы путем использования уязвимостей системы.

Уязвимость - любая характеристика информационной системы, использование которой нарушителем может привести к реализации угрозы.

Нарушитель - лицо, которое предприняло попытку несанкционированного доступа к ресурсам системы по ошибке, незнанию или осознанно со злым умыслом или без такового и использовавшее для этого различные возможности, методы и средства [3].

Некоторые источники атак, по данным Института Компьютерной Информации СБ1 [31], приведены в табл. 1:

Таблица 1.1. Источники атак

Источник атак (название) Источник атак (%)

Недобросовестные сотрудники 81

Хакеры 77

Конкуренты 44

Зарубежные компании 26

Зарубежные правительства 21

Для решения этих проблем используют различные программные и аппаратно-программные средства, позволяющие уменьшить вероятность успешного проведения атаки. К таким средствам, прежде всего, относятся межсетевые экраны и системы обнаружения вторжений.

Межсетевые экраны реализуют механизмы контроля доступа из внешней сети к внутренней и путем фильтрации всего входящего и исходящего трафика, пропуская только разрешённые данные. Межсетевые экраны функционируют на основе информации, получаемой от различных уровней эталонной модели ISO/OSI, и чем выше уровень OSI, на основе которого построен межсетевой экран, тем выше степень защиты, им обеспечиваемый. Среди основных типов межсетевых экранов можно выделить пакетный фильтр (packet filtering), шлюз на сеансовом уровне (circuit-level gateway) и шлюз на прикладном уровне (application-level gateway).

Однако, несмотря на все положительные качества межсетевых экранов, у этой технологии есть и свои слабые стороны. Наиболее очевидный недостаток межсетевых экранов - невозможность защиты от пользователей, знающих идентификатор и пароль для доступа в защищаемый сегмент корпоративной сети. Межсетевой экран может ограничить доступ посторонних лиц к ресурсам, но он не может запретить авторизованному пользователю скопировать ценную информацию или изменить какие-либо параметры финансовых документов, к которым этот пользователь имеет доступ. А по статистике не менее 80% всех угроз безопасности исходит со стороны сотрудников организации. Также, нарушитель может использовать некоторые уязвимости экранов и атака сможет достичь цели. Становится очевидным, что для обеспечения информационной безопасности необходимо использовать комплекс мер и вместе с межсетевыми экранами использовать также и другие средства, например - системы обнаружения вторжений (СОВ).

Данные средства обнаруживают и, возможно, блокируют несанкционированную деятельность в сети независимо от того, кто ее реализует - авторизованный пользователь (в том числе и администратор) или злоумышленник. Такие средства могут работать как самостоятельно, так и совместно с межсетевым экраном. Например, система RealSecure обладает возможностью автоматической реконфигурации межсетевого экрана Checkpoint Firewall-1 путем изменения правил, запрещая тем самым доступ к ресурсам корпоративной сети с атакуемого узла [2]. Для обнаружения вторжений СОВ могут использовать разные источники информации - сетевой трафик, записи аудита системы, системные вызовы операционной системы и т.д.

Таким образом, разработка новых подходов к обнаружению сетевых атак для построения защищенных информационных систем и совершенствования методов защиты является актуальной.

Научная задача, решаемая в диссертационной работе - повысить защищенность компьютерных сетей организаций при помощи обнаружения новых и неизвестных ранее атак.

Целью диссертационной работы является разработка нового, «модульного» подхода к построению СОВ на базе нейронных сетей (НС) для повышения эффективности обнаружения атак.

Для достижения этой цели в работе решались следующие основные задачи:

1. Анализ подходов к построению СОВ.

2. Разработка нового подхода к построению СОВ на базе НС.

3. Разработка архитектуры СОВ.

4. Разработка методик обучения и тестирования СОВ.

5. Экспериментальная проверка предложенного подхода и разработанных методик.

Научная новизна диссертационной работы состоит в следующем:

1. Предложен новый модульный подход к построению СОВ на базе НС, заключающийся в использовании иерархии модулей с обратными связями. Каждый модуль содержит определённый тип НС.

2. Разработана архитектура модульной СОВ на основе предложенного подхода, позволяющая обнаруживать и классифицировать сетевые вторжения.

3. Разработаны методики обучения и тестирования СОВ.

4. Предложены рекомендации по построению модульной СОВ и применению разработанных методик.

Практическая ценность состоит в том, что её результаты позволяют:

1. Даны рекомендации по повышению эффективности обнаружения сетевых вторжений при использовании СОВ на базе НС.

2. Подготовлена база данных записей сетевого трафика с атаками различных классов для использования в методическом процессе.

3. Реализован прототип модульной СОВ для анализа сетевых атак семейства протоколов TCP/IP.

Диссертационная работа состоит из введения, четырех глав, заключения, приложений и списка литературы. Работа изложена на 155

Выводы

Как показали результаты, скорость работы модульной СОВ на компьютере с процессором AMD Athlon 1,3 4ГЦ с оперативной памятью DDR2 объемом 768МБ составила в среднем 58839 векторов в секунду. Каждый вектор описывает временной интервал, начало которого сдвинуто на 500 миллисекунд относительно предыдущего, то есть за секунду машинного времени обрабатывается в среднем 29419 секунд трафика исследуемой системы. Так как модульная СОВ рассчитывает вероятность наличия атаки после анализа каждого вектора, то это позволяет утверждать, что анализ данных проводится оперативно, при этом нагрузка на центральный процессор составляла в среднем 95%, объем выделенной оперативной памяти - в среднем 30МБ. Это также позволяет утверждать, что для анализа данных используется разумное количество компьютерных ресурсов.

К сожалению, в оценке эффективности работы модульной СОВ участвовали только результаты 2 работ зарубежных авторов. Причиной этого служило то, что в остальных исследованиях не приводились полные данные по вероятностям возникновения ошибок первого и второго родов, также ограничением служили используемые базы атак для тестирования -DARPA или CRC. Несмотря на это, результаты работы модульной СОВ оказались лучше, чем в приведённых работах.

138

Небольшая точность классификации атак объясняется тем, что класс атак, связанный с особенностями работы стека TCP/IP (класс «Атаки TCP/IP»), оказался малоотличим от остальных классов межсетевого взаимодействия, в частности от нормального. При дальнейших исследованиях разумно выделить другие параметры межсетевого взаимодействия для анализа в рамках данного класса, что позволит более эффективно производить разделение признакового пространства в рамках аппарата НС.

ГЛАВА 5. ЗАКЛЮЧЕНИЕ

При выполнении данной работы поставленная задача была выполнена полностью. Был проведён анализ подходов к построению СОВ с использованием НС, разработан новый модульный подход к построению СОВ основанный на применении множества иерархически расположенных НС различного типа для анализа сгруппированных параметров межсетевого взаимодействия.

Была разработана архитектура модульной СОВ и методики её обучения и тестирования. При разработке методик был произведён анализ параметров межсетевого взаимодействия и обоснован выбор тех параметров стека ТСРЛР, которые тем или иным образом смогут выявить факт наличия сетевого вторжения. Данные параметры относились к 10 различным протоколам, находящимся на трёх уровнях сетевого взаимодействия - сетевом, транспортном и прикладном.

Даны рекомендации по повышению эффективности обнаружения сетевых вторжений при использовании СОВ на базе НС. Подготовлена база данных записей сетевого трафика с атаками различных классов, которую можно использовать в методическом процессе.

Для построения прототипа модульной СОВ были реализованы специальные программы, позволяющие собирать и обрабатывать параметры сетевого взаимодействия, а также обучать нейронные сети, входящие в состав СОВ. Кроме того, разработаны методы тестирования спроектированной СОВ и методы анализа полученных результатов, проведена оценка результатов тестирования прототипа СОВ.

Как показали полученные результаты, СОВ, построенная с использованием модульного подхода, с успехом справилась с поставленной задачей, вероятность обнаружения известных атак составила 91%. СОВ смогла классифицировать наблюдаемые атаки с точностью 59%. Дополнительным преимуществом СОВ является тот факт, что она была в

140 состоянии обнаруживать те вторжения, информация о которых не участвовала при обучении СОВ с вероятностью 86%.

При построении прототипа СОВ проведены исследования, обусловившие выбор многослойного персептрона и алгоритма обучения типа автономный градиентный алгоритм.

Также стоит отметить, что СОВ, построенная с использованием модульного подхода, может использоваться не только для поиска сетевых вторжений, но, также и для анализа хостовых данных - записей аудита, параметров вызовов системных функций и так далее.

Результаты показали, что разработанный прототип имеет относительно большую вероятность ошибки второго рода, анализ и исправление причин этих ошибок являются перспективными для продолжения настоящего исследования. Результаты также показали, что атаки, связанные с особенностями работы стека протоколов TCP/IP (класс «Атаки TCP/IP»), малоотличимы от класса нормального взаимодействия (класс «Нормальный»), это привело к тому, что точность классификации равна всего 59%. Решение данной проблемы также считается перспективной задачей.

1. Лукацкий А. В. Обнаружение атак. СПб.: БХВ Петербург, 2001.

2. Лукацкий А. В. Firewall не панацея. Доступно с http://www.citforum.ru/internet/securities/fwpan.shtml.

3. Лукацкий А. В. Краткий толковый словарь по информационной безопасности. Доступно с http://emanual.ru/download2/1799.pdf.

4. Медведовский И.Д., Семьянов П.В., Платонов В.В. Атака через Internet. НПО "Мир и семья-95", 1997.

5. Олифер В. Г., Олифер Н. А. Компьютерные сети. Принципы, технологии, протоколы. СПб.: Издательство "Питер", 2000.

6. Головко В.А. Нейронные сети: обучение, организация и применение. М.: Издательство "Радиотехника", 2001.

7. Осовский С. Нейронные сети для обработки информации. М.: Издательство "Финансы и статистика", 2002.

8. Кондрашин A.A. Обнаружение атак в локальной сети по анализу их сигнатур. ГУ МФТИ, доступноhttp://re.mipt.ru/infsec/2006/essay/2006Detectionofattacksinalocal networkbyanalyzingtheirsignaturesKondrashin.pdf

9. Короткий С., Нейронные сети: основные положения.

10. Корт С.С. Методы выявления нарушений безопасности.

11. Корт С.С. Теоретические основы защиты информации. М.: Гелиос-АРВ, 2004

12. Корнеев В.В. Райх В.В. Материалы международной научной по проблемам безопасности и противодействия терроризму. М.: МЦНМО, 2006.

13. Робачевский.А. Операционная система UNIX. СПб.: БХВ, 1999.

14. Мамаев.М. Технлогии защиты информации в интернете. СПб.: ПИТЕР, 2002.

15. Хайкин С. Нейронные сети, полный курс. М.: Вильяме, 2006.

16. Щетенков А.В. Исследование возможностей технологии нейронных сетей для обнаружения сетевых атак. 2006.

17. Хайкин С. Нейронные сети, полный курс. М.: Вильяме, 2006.

18. Жульков Е.В., Томилин В.Н. Поиск уязвимостей сетевых систем обнаружения вторжения. // Проблемы информационной безопасности. Компьютерные системы. СПб.: 2003. - №2.

19. Жульков Е.В., Томилин В.Н. Поиск уязвимостей сетевых систем обнаружения вторжения. // Открытые системы. М.: 2004. - №7-8.

20. Intrusion Detection Systems (IDS), проект Интернет Университет, доступно с http://www.intuit.rU/department/network/firewalls/4/3.html

21. Система обнаружения вторжений «ЮРПОСТ 1.1 >, официальный сайт, доступно с http://www.rnt.ru/tocontent/actiondesc/id46/langru/

22. Гамаюнов Д.Ю. Современные некоммерческие средства обнаружения атак. 2002.

23. Anup Chosh a study in using neural networks for anomaly and misuse detection. 1999.

24. Balasubramaniyan J., Garcia-Fernandez J. An Architecture for Intrusion Detection using Autonomous Agents.

25. Kvarnstrom H. A survey of commercial tools for intrusion detection. 1999.

26. Jansen W., Mell P., Karygiannis T. Applying Mobile Agents to Intrusion Detection and Response. 1999.

27. Puketza N., Zhang K., Chung M. A methodology for testing intrusion detection systems. 1996.

28. Ptacek Т., Newsham Т. Insertion, evasion, and denial of service: eluding network intrusion detection. 1998.

29. Kumar S. Classification and detection of computer intrusions. 1995.

30. Sundaram А. Ал introduction to intrusion detection, 1996.

31. Lawrence A. Grodon, Martin P. Loeb. CSI/FBI Computer Crime and Security Survey. 2004. Доступно с www.gocsi.com.

32. Lawrence A. Grodon, Martin P. Loeb. CSI/FBI Computer Crime and Security Survey. 2007. Доступно с www.gocsi.com.

33. Kohonen Т. Self-organized formation of topologically correct feature maps. 1982.

34. Sankar K., Sushmita Mitra, Multilayer Perceptron, Fuzzy Sets, and Classification. 1992.

35. Debar, H., Becke, M., & Siboni, D. A Neural Network Component for an Intrusion Detection System. 1992.

36. Debar, H. & Dorizzi, B. An Application of a Recurrent Network to an Intrusion Detection System. 1992.

37. Tan. Detection and Classification of TCP/IP Network Services. 1997.

38. Girardin L, Brodbeck D. A Visual Approach for Monitoring Logs. 1998

39. Rhodes B. C., Mahaffey J., Cannady J. Multiple Self-Organizing Maps for Intrusion Detection

40. Cannady J. Artificial Neural Networks for Misuse Detection. 1998.

41. Cannady J. The Application of Artificial Neural Networks to Misuse Detection: Initial Results. 1998.

42. Yacine Bouzida. detection trees

43. Manikantan Ramadas. Detecting Anomalous Network Traffic with self-organizing maps. 2002.

44. Athanasiades N, Abler R. Intrusion Detection Testing and Bencharking Methodologies. 2002.

45. Mell P, Ни V. An overview of issues in testing intrusion detection systems. 2002.

46. Brugger T, Chow J. An assessment of the DARPA IDS Evaluation dataset using snort. 2005.

47. McHugh J. Testing intrusion detection systems: a critique of the 1998 and 1999 DARPA datasets. 2000.48. 1999 DARPA Intrusion detection evaluation plan.

48. Portnoy L. Intrusion detection with unlabeled data using clustering.1999.

49. Axxelson S. Intrusion detection systems: a survey and taxonomy.2000.

50. Mirkovich J. Martin J. A taxonomy of DDoS attacks and DDoS defense mechanisms. 2002.

51. Christey S. Vulnerability type distribution in CVE. 2006.

52. Hansman S. A taxonomy of network and computer attack methodologies. 2003.

53. Howard J. Longstaff T. A common language for computer security incidents. 1998.

54. Bouzida.Y. Cuppens.F. Neural networks vs. desision trees for intrusion detection. 2006.

55. Moradi M. Zulkernine M. A neural based system for intrusion detection and classification of attacks. 2003.

56. Massicote F. Automatic evaluation of intrusion detection systems. 2006.

57. Документация к программе Deductor. Доступно с http://www.basegroup.ru/download/deductorlite.html

58. Документация к программе NeuroSolutions. Доступно с http://www.neurosolutions.com/downloads/documentation.html

59. Документация к программе NMap. Доступно с http ://www. insecure .org.

60. Документация к программе Saint. Доступно с http://www.saintcorporation.com/saint.

61. Документация к программе Nessus. Доступно с http://www.nessus.org

62. Документация к программе ThreatSentry. Доступно с http://www.privacyware.com

63. RFC 791 спецификация 1Р-протокола.

64. RFC 792 спецификация 1СМР-протокола.

65. RFC 826 спецификация АЕ1Р-протокола.

66. RFC 793 спецификация ТСР-протокола.

67. RFC 768 спецификация ХЛЭР-протокола.

68. RFC 454 спецификация РТР-протокола.

69. RFC 2821 спецификация 8МТР-протокола.

70. RFC 1939 спецификация РОРЗ-протокола.

71. RFC 2616 спецификация НТТР-протокола.

72. Ryan J., Miikkulainen R. Intrusion Detection with Neural Networks.1998. 74. http ://wiki.wireshark. org/Development/LibpcapFileFormat75. http://kdd.ics.uci.edu/

73. Research on Internal State-Based Systems, доступно с http://eecs.vanderbilt.edu/cis/CRL/internalSBsvstems.shtml

74. SANS Institute, доступно с http://www.sans.org