ФРОЛОВ П.В., аспирант, КФ МГТУ им. Н.Э. Баумана, г. Калуга, HAN-92@mail.ru

 ЧУХРАЕВ И.В., к.т.н., доцент, КФ МГТУ им. Н.Э. Баумана, заведующий кафедрой «Компьютерные системы и сети», г. Калуга, chukhraev@bmstu-kaluga.ru

 ГРИШАНОВ К.М., магистр, КФ МГТУ им. Н.Э. Баумана, г. Калуга, cyrilgrishanov94@gmail.com

Применение искусственных нейронных сетей
в системах обнаружения вторжений

В статье предложен алгоритм выявления сетевых атак, основанный на применении трех искусственных нейронных сетей различных топологий. Приведено обоснование выбора средств, технологий и этапов данного алгоритма. Рассмотрены следующие этапы работы алгоритма: приведение сетевого трафика к единому формату, анализ данных и представление результатов в виде многомерных векторов, сложение векторов для получения конечного результата

Введение

Системы защиты корпоративных сетей должны обеспечивать не только пассивное блокирование несанкционированного доступа извне к их внутренним ресурсам, но и осуществлять обнаружение успешных атак, анализировать причины возникновения угроз информационной безопасности (ИБ) и по мере возможности устранять их в автоматическом режиме [1]. Для выявления сетевых атак в режиме реального времени используются системы обнаружения вторжений (IDS). Сетевые IDS основаны на анализе сетевого трафика, который проходит через сенсоры и в случае обнаружения аномалий отправляется в анализаторы для дальнейшего принятия решений. В больших информационных системах (ИС) [3]возникает проблема большого объема сетевого трафика, так как стандартные подходы к обработке данных перестают быть эффективными. Для повышения эффективности выявления ситуаций, связанных с возможным вторжением, впоследнее время широко используются современные технологии интеллектуального анализа данных – технологии DataMining. Одним из наиболее эффективных подходов в классифицировании большого объема данных является использование нейронных сетей. Данный метод позволяет обнаруживать не только уже известные сетевые атаки, но и выявлять новые.

Постановка задачи

Процесс обнаружения вторжений является процессом оценки подозрительных событий, которые происходят в корпоративной сети [4]. Другими словами, обнаружение вторжений – это процесс идентификации и реагирования наподозрительную деятельность, направленную на вычислительные или сетевые ресурсы. Главная задача IDS заключается в автоматизации функций по обеспечению информационной безопасности корпоративной сети. Поэтому IDS – этосистемы, собирающие информацию из различных точек корпоративной сети (защищаемой компьютерной системы) и анализирующие эту информацию для выявления не только попыток, но и реальных нарушений защиты (вторжений).

Основная задача по обработке сетевых данных лежит на подсистеме обнаружения вторжений, отвечающей за анализ сетевого трафика. Эффективность работы IDS напрямую зависит от выбранного способа построения алгоритма выявления атак и обработки большого объема сетевых данных.

Целью данной работы является разработка алгоритма обнаружения вторжений методом обработки и фильтрации большого объема сетевого трафика, основанного на интеллектуальном подходе анализа данных – искусственной нейронной сети.

Основная часть

Для обнаружения вредоносного сетевого трафика в IDS существуют следующие подходы и методы: статистический анализ, предсказание поведения на основе исследования взаимосвязи между отдельными событиями и их порядка, методы добычи данных, используемые для построения классифицирующих правил, искусственные иммунные сети, генетическое программирование, искусственные нейронные сети и т.д.

Наиболее востребованным в настоящее время является метод с использованием искусственных нейронных сетей (ИНС), так как данный подход связан с выделением большого числа признаков [9], по которым можно производить классификацию сетевых пакетов [2]. Это позволяет не только выявлять сетевые атаки в режиме реального времени, но и по набору признаков определить ее тип и характеристики. Также ИНС подходят для обработки большого объема сетевых данных, что позволяет решить поставленную задачу.

Существует два основных вида реализации систем обнаружения вторжений на базе нейронных сетей [5]:

1. IDS на основе комбинации экспертной системы (ЭС) и ИНС.
2. IDS с использованием нейронных сетей в качестве автономной системы.

Наибольший интерес представляют IDS, построенные на основе ИНС без использования ЭС [9], так как их основными достоинствами являются:

• более высокая скорость реакции по отношению к первому виду, поскольку присутствует всего одна ступень анализа. Скорость обработки информации в нейросети достаточна для реагирования в реальном времени на проводимые атаки до появления в системе неустранимых последствий;
• возможность для нейронной сети полностью использовать потенциал «самообучения» и выходить за пределы базы знаний экспертной системы;
• отсутствие потребности регулярного обновления базы знаний как для систем, основанных на правилах;
• нейросеть в отличие от ЭС проводит анализ информации и предоставляет возможность оценить, что данные согласуются с характеристиками, которые она научена распознавать;
• нейросеть способна анализировать данные от сети, даже если эти данные являются неполными или искаженными;
• возможность проводить анализ данных от большого количества источников в нелинейном режиме (что важно, например, при скоординированных атаках);
• способность «изучать» характеристики умышленных атак и идентифицировать элементы (например, трафик), которые не похожи на те, что наблюдались в сети прежде.

В связи с этим в данной работе за основу взят подход применения ИНС без использования ЭС. При этом применение ИНС подразумевается только в IDS, в которой осуществляется непосредственный анализ большого объема сетевого трафика. Простая нейронная сеть может быть использована и на сенсорах IDS при первичном сборе информации, однако для грубой первичной обработки трафика достаточно небольшого набора классификаторов, что делает использование ИНС нецелесообразным.

Для повышения эффективности работы IDS предлагается использовать метод совпадений [7], основанный на том, что различные нейронные сети могут детектировать различные атаки. Ложные срабатывания также происходят не всегда наодних и тех же сетевых пакетах при анализе с помощью разных типов ИНС. Для достижения поставленной в работе цели предлагается использовать три ИНС с различными топологиями: многослойный перцепторн (MLP), сеть радикально-базисных функций (RBF) и самоорганизующаяся карта Кохонена (SOM). На вход каждой ИНС подается один и тот же трафик для анализа заголовков IP-пакетов совместно с неточным поиском сигнатур вторжений непосредственно вприкладном содержимом IР-пакетов. Для обучения ИНС необходимо использовать как пакеты, содержащие известные сигнатуры, так и нормальные IP-дейтаграммы [8]. В процессе обнаружения каждая ИНС определяет, насколько сетевой пакет, поданный на вход, соответствует нормальной или аномальной ситуации.

На выходе каждой ИНС результаты представлены в виде многомерного вектора, каждая координата которого соответствует одному из видов атак. Если ИНС детектирует атаку, то соответствующая координата принимает единичное значение, в противном случае – нулевое.

Применение трех ИНС с различными топологиями обуславливает необходимость преобразования сетевого трафика к единому формату, чтобы каждая из них могла в равной степени анализировать подаваемые ей на вход данные. Наиболее подходящим форматом является NLS-KDD, представляющий собой стандартный набор данных для IDS. Набор данных NLS-KDD содержит в себе сырые сетевые пакеты, которые не зависят от используемых операционных систем. Всего вэтот набор данных входит 4 898 431 образец. NLS-KDD включает в себя 37 различных сетевых атак, которые можно разбить на четыре большие группы: отказ в обслуживании, повышение привилегий, получение удаленного доступа исетевое сканирование [6]. Все виды сетевых атак представлены в таблице 1.

Таблица 1. Виды сетевых атак из набора данных NLS-KDD

Формат NLS-KDD содержит в себе 41 поле. Приведение IP-пакетов к NLS_KDD заключается в выделении ряда признаков из сетевого трафика. К таким признакам относятся: длительность соединения, протокол соединения, тип подключения, служба и порт назначения, флаг успешного подключения, количество неудачных попыток авторизации, количество запросов на подключение с правами администратора и т.д. Процесс приведения сетевых пакетов к формату NLS-KDD представлен на рис. 1.

Рисунок 1. Процесс приведения сетевых пакетов к формату NLS-KDD для дальнейшей подачи на вход ИНС различных топологий

По завершении приведения сетевых данных к единому формату NLS-KDD они подаются на вход ИНС. После анализа очередной порции сетевого трафика результаты работы ИНС заносятся в многомерные векторы. Результирующий вектор находится как сумма выходных векторов трех ИНС. Если в результирующем векторе координата нулевая или единичная, то атака отсутствует. Единица означает, что на одной из ИНС произошло ложное срабатывание. Если значение координаты вектора равно 2 или 3, то произошла атака соответствующего типа. На рис. 2 упрощенно представлен процесс получения результирующего вектора.

Рисунок 2. Упрощенное представление сложения результирующих векторов

Таким образом, алгоритм работы IDS, осуществляющей обработку и фильтрацию большого объема сетевого трафика на основе ИНС, будет состоять из следующих этапов (см. рис. 3):

1. Получение подозрительного сетевого трафика от подсистемы сенсоров.
2. Приведение сетевых пакетов к формату NLS-KDD.
3. Анализ порции из nсетевых пакетов с помощью трех нейросетей с различной топологией MLP, SVM и SOM (количество пакетов в одной порции определяется в зависимости от характеристик сети и ИС в целом).
4. Результаты анализа заносятся в многомерные векторы.
5. Результирующий вектор получается путем сложения трех выходных векторов MLP, SVM и SOV. После этого он передается в подсистему представления данных.

Рисунок 3. Алгоритм выявления сетевых атак с использованием трех ИНС с разными топологиями

Заключение

Возможности предлагаемого алгоритма могут быть расширены как за счет увеличения количества используемых ИНС, так и применения других типов ИНС в зависимости от поставленной задачи.

В настоящее время предложенный алгоритм проходит апробацию для выявления сетевых атак в информационной сети КФ МГТУ им. Н.Э. Баумана.

1. Булдакова Т.И., Джалолов А.Ш. Выбор технологий DataMining для систем обнаружения вторжений в корпоративную сеть. // «Инженерный журнал: наука и инновации», 2013, вып. 11. URL: http://engjournal.ru/catalog/it/security/987.html.
2. Иванов П.Д., Вампилов В.Ж. Технологии BigData и их применение на современном промышленном предприятии. // «Инженерный журнал: наука и инновации», 2014, вып. 8. URL: http://engjournal.ru/catalog/it/asu/1228.html.
3. Молчанов А.Н., Бурмистров А.В., Гришунов С.С., Чухраев И.В. Некоторые вопросы сбора и обработки данных в информационной системе высшего учебного заведения. Известия Тульского государственного университета. Технические науки. 2016, № 7-1. – С. 191-198.
4. Молчанов А.Н., Бурмистров А.В., Гришунов С.С., Чухраев И.В. Разработка ROLAP-модуля информационной системы высшего учебного заведения. Известия Тульского государственного университета. Технические науки. 2017, № 5. – С. 311-317.
5. Явтуховский Е.Ю. Анализ систем обнаружения вторжений на основе интеллектуальных технологий. // Технические науки: теория и практика: материалы III Mеждунар. науч. конф. 2016. – С. 27-29.
6. Alaa Abd Ali Hadi. Performance Analysis of Big Data Intrusion Detection System over Random Forest Algorithm // International Journal of Applied Engineering Research ISSN 0973-4562 Volume 13, Number 2. 2018, pp. 1520-1527.
7. Chitrakar R., Huang C. Anomaly based Intrusion Detection using Hybrid Learning Approach of combining k-MedoidsClustering and Naive Bayes Classification. 8th International Conference in Wireless Communications, Networking and Mobile Computing (WiCOM). 2012, pp. 1-5.
8. Jingwei Huang, Zbigniew Kalbarczyk, David M. Nicol Knowledge Discovery from Big Data for Intrusion Detection Using LDA // IEEE International Congress on Big Data. 2014, pp 760-762.
9. Kesavulu Reddy E. Neural Networks for Intrusion Detection and Its Applications. Proceedings of the World Congress on Engineering. 2013. London, pp. 1-5.

Ключевые слова: система обнаружения вторжений, IDS, большие данные, искусственные нейронные сети, алгоритм, сетевой трафик, сетевые данные, анализ данных, сетевые атаки, информационная система.

Application of artificial neural networks in intrusion detection systems

Frolov P.V., post-graduate student, Kaluga Branch of Bauman MSTU, Kaluga, HAN-92@mail.ru

Chukhraev I.V., Ph. D.(Eng.), Associate Professor, Kaluga Branch of Bauman MSTU, Head of «Computer systems and networks» Department, chukhraev@bmstu-kaluga.ru

Grishanov K.M., master, Kaluga Branch of Bauman MSTU, cyrilgrishanov94@gmail.com

Abstract: The algorithm for detecting network attacks based on the usage of 3 artificial neural networks of various topologies wassuggested in the article.There was made the substantiation of the choice of means, technologies and stages of the given algorithm. The following stages of the algorithm are considered: bringing the network traffic to a single format, analyzing the data and presenting the results in the form of multidimensional vectors, adding vectors to obtain the final result.

Keywords: intrusion detection system, IDS, big data, artificial neural networks, algorithm, network traffic, network data, data analysis, network attacks, information system.

Комментарии могут оставлять только зарегистрированные пользователи