Применение искусственных нейронных сетей в системах обнаружения вторжений::Журнал СА 9.2018
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6229
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6936
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4222
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3011
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3808
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3825
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6320
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3172
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3463
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7280
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10647
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12368
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14000
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9127
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7079
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5389
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4617
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3428
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3158
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3402
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3027
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Применение искусственных нейронных сетей в системах обнаружения вторжений

Архив номеров / 2018 / Выпуск №9 (190) / Применение искусственных нейронных сетей в системах обнаружения вторжений

Рубрика: Наука и технологии

Без фото ФРОЛОВ П.В., аспирант, КФ МГТУ им. Н.Э. Баумана, г. Калуга, HAN-92@mail.ru

Без фото ЧУХРАЕВ И.В., к.т.н., доцент, КФ МГТУ им. Н.Э. Баумана, заведующий кафедрой «Компьютерные системы и сети», г. Калуга, chukhraev@bmstu-kaluga.ru

Без фото ГРИШАНОВ К.М., магистр, КФ МГТУ им. Н.Э. Баумана, г. Калуга, cyrilgrishanov94@gmail.com

Применение искусственных нейронных сетей
в системах обнаружения вторжений

В статье предложен алгоритм выявления сетевых атак, основанный на применении трех искусственных нейронных сетей различных топологий. Приведено обоснование выбора средств, технологий и этапов данного алгоритма. Рассмотрены следующие этапы работы алгоритма: приведение сетевого трафика к единому формату, анализ данных и представление результатов в виде многомерных векторов, сложение векторов для получения конечного результата

Введение

Системы защиты корпоративных сетей должны обеспечивать не только пассивное блокирование несанкционированного доступа извне к их внутренним ресурсам, но и осуществлять обнаружение успешных атак, анализировать причины возникновения угроз информационной безопасности (ИБ) и по мере возможности устранять их в автоматическом режиме [1]. Для выявления сетевых атак в режиме реального времени используются системы обнаружения вторжений (IDS). Сетевые IDS основаны на анализе сетевого трафика, который проходит через сенсоры и в случае обнаружения аномалий отправляется в анализаторы для дальнейшего принятия решений. В больших информационных системах (ИС) [3]возникает проблема большого объема сетевого трафика, так как стандартные подходы к обработке данных перестают быть эффективными. Для повышения эффективности выявления ситуаций, связанных с возможным вторжением, впоследнее время широко используются современные технологии интеллектуального анализа данных – технологии DataMining. Одним из наиболее эффективных подходов в классифицировании большого объема данных является использование нейронных сетей. Данный метод позволяет обнаруживать не только уже известные сетевые атаки, но и выявлять новые.

Постановка задачи

Процесс обнаружения вторжений является процессом оценки подозрительных событий, которые происходят в корпоративной сети [4]. Другими словами, обнаружение вторжений – это процесс идентификации и реагирования наподозрительную деятельность, направленную на вычислительные или сетевые ресурсы. Главная задача IDS заключается в автоматизации функций по обеспечению информационной безопасности корпоративной сети. Поэтому IDS – этосистемы, собирающие информацию из различных точек корпоративной сети (защищаемой компьютерной системы) и анализирующие эту информацию для выявления не только попыток, но и реальных нарушений защиты (вторжений).

Основная задача по обработке сетевых данных лежит на подсистеме обнаружения вторжений, отвечающей за анализ сетевого трафика. Эффективность работы IDS напрямую зависит от выбранного способа построения алгоритма выявления атак и обработки большого объема сетевых данных.

Целью данной работы является разработка алгоритма обнаружения вторжений методом обработки и фильтрации большого объема сетевого трафика, основанного на интеллектуальном подходе анализа данных – искусственной нейронной сети.

Основная часть

Для обнаружения вредоносного сетевого трафика в IDS существуют следующие подходы и методы: статистический анализ, предсказание поведения на основе исследования взаимосвязи между отдельными событиями и их порядка, методы добычи данных, используемые для построения классифицирующих правил, искусственные иммунные сети, генетическое программирование, искусственные нейронные сети и т.д.

Наиболее востребованным в настоящее время является метод с использованием искусственных нейронных сетей (ИНС), так как данный подход связан с выделением большого числа признаков [9], по которым можно производить классификацию сетевых пакетов [2]. Это позволяет не только выявлять сетевые атаки в режиме реального времени, но и по набору признаков определить ее тип и характеристики. Также ИНС подходят для обработки большого объема сетевых данных, что позволяет решить поставленную задачу.

Существует два основных вида реализации систем обнаружения вторжений на базе нейронных сетей [5]:

  1. IDS на основе комбинации экспертной системы (ЭС) и ИНС.
  2. IDS с использованием нейронных сетей в качестве автономной системы.

Наибольший интерес представляют IDS, построенные на основе ИНС без использования ЭС [9], так как их основными достоинствами являются:

  • более высокая скорость реакции по отношению к первому виду, поскольку присутствует всего одна ступень анализа. Скорость обработки информации в нейросети достаточна для реагирования в реальном времени на проводимые атаки до появления в системе неустранимых последствий;
  • возможность для нейронной сети полностью использовать потенциал «самообучения» и выходить за пределы базы знаний экспертной системы;
  • отсутствие потребности регулярного обновления базы знаний как для систем, основанных на правилах;
  • нейросеть в отличие от ЭС проводит анализ информации и предоставляет возможность оценить, что данные согласуются с характеристиками, которые она научена распознавать;
  • нейросеть способна анализировать данные от сети, даже если эти данные являются неполными или искаженными;
  • возможность проводить анализ данных от большого количества источников в нелинейном режиме (что важно, например, при скоординированных атаках);
  • способность «изучать» характеристики умышленных атак и идентифицировать элементы (например, трафик), которые не похожи на те, что наблюдались в сети прежде.

В связи с этим в данной работе за основу взят подход применения ИНС без использования ЭС. При этом применение ИНС подразумевается только в IDS, в которой осуществляется непосредственный анализ большого объема сетевого трафика. Простая нейронная сеть может быть использована и на сенсорах IDS при первичном сборе информации, однако для грубой первичной обработки трафика достаточно небольшого набора классификаторов, что делает использование ИНС нецелесообразным.

Для повышения эффективности работы IDS предлагается использовать метод совпадений [7], основанный на том, что различные нейронные сети могут детектировать различные атаки. Ложные срабатывания также происходят не всегда наодних и тех же сетевых пакетах при анализе с помощью разных типов ИНС. Для достижения поставленной в работе цели предлагается использовать три ИНС с различными топологиями: многослойный перцепторн (MLP), сеть радикально-базисных функций (RBF) и самоорганизующаяся карта Кохонена (SOM). На вход каждой ИНС подается один и тот же трафик для анализа заголовков IP-пакетов совместно с неточным поиском сигнатур вторжений непосредственно вприкладном содержимом IР-пакетов. Для обучения ИНС необходимо использовать как пакеты, содержащие известные сигнатуры, так и нормальные IP-дейтаграммы [8]. В процессе обнаружения каждая ИНС определяет, насколько сетевой пакет, поданный на вход, соответствует нормальной или аномальной ситуации.

На выходе каждой ИНС результаты представлены в виде многомерного вектора, каждая координата которого соответствует одному из видов атак. Если ИНС детектирует атаку, то соответствующая координата принимает единичное значение, в противном случае – нулевое.

Применение трех ИНС с различными топологиями обуславливает необходимость преобразования сетевого трафика к единому формату, чтобы каждая из них могла в равной степени анализировать подаваемые ей на вход данные. Наиболее подходящим форматом является NLS-KDD, представляющий собой стандартный набор данных для IDS. Набор данных NLS-KDD содержит в себе сырые сетевые пакеты, которые не зависят от используемых операционных систем. Всего вэтот набор данных входит 4 898 431 образец. NLS-KDD включает в себя 37 различных сетевых атак, которые можно разбить на четыре большие группы: отказ в обслуживании, повышение привилегий, получение удаленного доступа исетевое сканирование [6]. Все виды сетевых атак представлены в таблице 1.

Таблица 1. Виды сетевых атак из набора данных NLS-KDD

Группа атак Атаки
Отказ в обслуживании Back, Land, Neptune, Pod, Smurf, Teardrop, Mailbomb, Processtable, Udpstorm, Apache2, Worm
Сетевое сканирование Satan, IPsweep, Nmap, Portsweep, Mscan
Получение удаленного доступа Guess_password, Ftp_write, Imap, Phf, Multihop, WarezmasterXlock, Xsnoop, Snmpguess, Snmpgetattack, Httptunnel, Sendmail, Named
Повышение привилегий Buffer_overflow, Loadmodule Rootkit, Perl, Sqlattack, Xterm, Ps

Формат NLS-KDD содержит в себе 41 поле. Приведение IP-пакетов к NLS_KDD заключается в выделении ряда признаков из сетевого трафика. К таким признакам относятся: длительность соединения, протокол соединения, тип подключения, служба и порт назначения, флаг успешного подключения, количество неудачных попыток авторизации, количество запросов на подключение с правами администратора и т.д. Процесс приведения сетевых пакетов к формату NLS-KDD представлен на рис. 1.

Рисунок 1. Процесс приведения сетевых пакетов к формату NLS-KDD для дальнейшей подачи на вход ИНС различных топологий

Рисунок 1. Процесс приведения сетевых пакетов к формату NLS-KDD для дальнейшей подачи на вход ИНС различных топологий

По завершении приведения сетевых данных к единому формату NLS-KDD они подаются на вход ИНС. После анализа очередной порции сетевого трафика результаты работы ИНС заносятся в многомерные векторы. Результирующий вектор находится как сумма выходных векторов трех ИНС. Если в результирующем векторе координата нулевая или единичная, то атака отсутствует. Единица означает, что на одной из ИНС произошло ложное срабатывание. Если значение координаты вектора равно 2 или 3, то произошла атака соответствующего типа. На рис. 2 упрощенно представлен процесс получения результирующего вектора.

Рисунок 2. Упрощенное представление сложения результирующих векторов

Рисунок 2. Упрощенное представление сложения результирующих векторов

Таким образом, алгоритм работы IDS, осуществляющей обработку и фильтрацию большого объема сетевого трафика на основе ИНС, будет состоять из следующих этапов (см. рис. 3):

  1. Получение подозрительного сетевого трафика от подсистемы сенсоров.
  2. Приведение сетевых пакетов к формату NLS-KDD.
  3. Анализ порции из nсетевых пакетов с помощью трех нейросетей с различной топологией MLP, SVM и SOM (количество пакетов в одной порции определяется в зависимости от характеристик сети и ИС в целом).
  4. Результаты анализа заносятся в многомерные векторы.
  5. Результирующий вектор получается путем сложения трех выходных векторов MLP, SVM и SOV. После этого он передается в подсистему представления данных.

Рисунок 3. Алгоритм выявления сетевых атак с использованием трех ИНС с разными топологиями

Рисунок 3. Алгоритм выявления сетевых атак с использованием трех ИНС с разными топологиями

Заключение

Возможности предлагаемого алгоритма могут быть расширены как за счет увеличения количества используемых ИНС, так и применения других типов ИНС в зависимости от поставленной задачи.

В настоящее время предложенный алгоритм проходит апробацию для выявления сетевых атак в информационной сети КФ МГТУ им. Н.Э. Баумана.

  1. Булдакова Т.И., Джалолов А.Ш. Выбор технологий DataMining для систем обнаружения вторжений в корпоративную сеть. // «Инженерный журнал: наука и инновации», 2013, вып. 11. URL: http://engjournal.ru/catalog/it/security/987.html.
  2. Иванов П.Д., Вампилов В.Ж. Технологии BigData и их применение на современном промышленном предприятии. // «Инженерный журнал: наука и инновации», 2014, вып. 8. URL: http://engjournal.ru/catalog/it/asu/1228.html.
  3. Молчанов А.Н., Бурмистров А.В., Гришунов С.С., Чухраев И.В. Некоторые вопросы сбора и обработки данных в информационной системе высшего учебного заведения. Известия Тульского государственного университета. Технические науки. 2016, № 7-1. – С. 191-198.
  4. Молчанов А.Н., Бурмистров А.В., Гришунов С.С., Чухраев И.В. Разработка ROLAP-модуля информационной системы высшего учебного заведения. Известия Тульского государственного университета. Технические науки. 2017, № 5. – С. 311-317.
  5. Явтуховский Е.Ю. Анализ систем обнаружения вторжений на основе интеллектуальных технологий. // Технические науки: теория и практика: материалы III Mеждунар. науч. конф. 2016. – С. 27-29.
  6. Alaa Abd Ali Hadi. Performance Analysis of Big Data Intrusion Detection System over Random Forest Algorithm // International Journal of Applied Engineering Research ISSN 0973-4562 Volume 13, Number 2. 2018, pp. 1520-1527.
  7. Chitrakar R., Huang C. Anomaly based Intrusion Detection using Hybrid Learning Approach of combining k-MedoidsClustering and Naive Bayes Classification. 8th International Conference in Wireless Communications, Networking and Mobile Computing (WiCOM). 2012, pp. 1-5.
  8. Jingwei Huang, Zbigniew Kalbarczyk, David M. Nicol Knowledge Discovery from Big Data for Intrusion Detection Using LDA // IEEE International Congress on Big Data. 2014, pp 760-762.
  9. Kesavulu Reddy E. Neural Networks for Intrusion Detection and Its Applications. Proceedings of the World Congress on Engineering. 2013. London, pp. 1-5.

Ключевые слова: система обнаружения вторжений, IDS, большие данные, искусственные нейронные сети, алгоритм, сетевой трафик, сетевые данные, анализ данных, сетевые атаки, информационная система.


Application of artificial neural networks in intrusion detection systems

Frolov P.V., post-graduate student, Kaluga Branch of Bauman MSTU, Kaluga, HAN-92@mail.ru

Chukhraev I.V., Ph. D.(Eng.), Associate Professor, Kaluga Branch of Bauman MSTU, Head of «Computer systems and networks» Department, chukhraev@bmstu-kaluga.ru

Grishanov K.M., master, Kaluga Branch of Bauman MSTU, cyrilgrishanov94@gmail.com

Abstract: The algorithm for detecting network attacks based on the usage of 3 artificial neural networks of various topologies wassuggested in the article.There was made the substantiation of the choice of means, technologies and stages of the given algorithm. The following stages of the algorithm are considered: bringing the network traffic to a single format, analyzing the data and presenting the results in the form of multidimensional vectors, adding vectors to obtain the final result.

Keywords: intrusion detection system, IDS, big data, artificial neural networks, algorithm, network traffic, network data, data analysis, network attacks, information system.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru