автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Построение модульных нейронных сетей для обнаружения классов сетевых атак

На правах рукописи

ЖУЛЬКОВ Евгений Владимирович

ПОСТРОЕНИЕ МОДУЛЬНЫХ НЕЙРОННЫХ СЕТЕЙ ДЛЯ ОБНАРУЖЕНИЯ КЛАССОВ СЕТЕВЫХ АТАК

Специальность 05 13.19 - «Методы и системы защиты информации, информационная безопасность»

Автореферат

диссертации на соискание ученой степени кандидата технических наук

0031ТУ093

Санкт-Петербург - 2007

003177093

Работа выполнена в Государственном образовательном учреждении высшего профессионального образования "Санкт-Петербургский государственный политехнический университет"

Научный руководитель

Кандидат технических наук, профессор Платонов Владимир Владимирович Официальные оппоненты.

доктор технических наук, профессор Гаценко Олег Юрьевич

кандидат технических наук, доцент Шишкин Владимир Михайлович

Ведущая организация*

ГОУ "Санкт-Петербургский государственный университет телекоммуникаций имени проф МА Бонч-Бруевича"

Защита состоится « » 2007 г в часов на заседании диссертационного

совета Д 212 229 27 при ГОУ ВПО

"Санкт-Петербургский государственный политехнический университет" по адресу 195251 Санкт-Петербург, Политехническая 29, ауд 175 главного здания

С диссертацией можно ознакомиться в фундаментальной библиотеке

ГОУ ВПО' Санкт-Петербургский государственный политехнический университет"

Автореферат разослан « 3 » 2007 г

Общая характеристика работы Как следует из ежегодного отчета Федерального Бюро Расследовании США, освещающего статистику компьютерных преступлений, в этом году сократилось количество атак на компьютеры и компьютерные системы Несмотря на это, общая сумма ущерба среди интервьюируемых организаций составляет более 66 миллионов долларов США. значительная часть которых пошла на возмещение ущерба от сетевых атак Эти и другие данные подчеркивают актуальность задачи построения защищенных сетей

Для защиты сетей существует большое количество программно-аппаратных средств защиты информации, лидирующие позиции среди них занимают межсетевые экраны Для построения защищенного участка сети недостаточно использования только межсетевых экранов, так как эта технология позволяет избежать неавгоризованного доступа до определенных сетевых сервисов, однако авторизованные соединения получают полный доступ Поэтому для решения этой проблемы и для проверки авторизованного доступа широко используются системы обнаружения вторжений (СОВ) В случае проверки параметров межсетевого взаимодействия - сетевые СОВ

Для анализа параметров используется ряд методов В подавляющем числе случаев коммерческие системы используют сигнатурный метод поиска вторжений, заключающийся в поиске заранее известных атак по формальным признакам - параметров заголовков, передаваемьм данным Недостатком данного подхода считается невозможность обнаруживать неизвестные атаки

В научных и исследовательских проектах изучаются сетевые СОВ, работающие на основе аппарата нейронных сетей (НС) Благодаря обобщающим свойствам НС появляется возможность эффективно обнаруживать ранее неизвестные атаки Изучение свойств НС в составе СОВ выполнены в работах таких ученых, как В Корнеев, В Райх, А Сплошное, А Масалович, А Ежов и зарубежный ученых Дж Кеннеди, М Моради, А Бивенса, А Гоша, А Шварцбарда и других

Как показал анализ работ, несмотря на положите пьнме результаты, которые были получены авторами, эти работы обладают рядом недостатков, которые ограничивают промышленное применение рассмотренных СОВ Во-первых, СОВ были в состоянии выявить факт наличия атаки, однако СОВ не могли их клас-

сифицировать, что затрудняло дальнейший анализ и устранение угроз и уязви-мостей системы Во-вторых, авторов интересовала сама возможность применения тех или иных типов НС для поиска сетевых вторжений, они не развивали архитектуру самого решения Все исследования объединяло то, что параметры межсетевого взаимодействия подавались на вход одной НС В данной работе такой подход к построению СОВ назван монолитным Можно указать следующие недостатки монолитного подхода

1 Все параметры, даже несвязанные между собой, анализируются в рамках одной НС Это приводить к уменьшению эффективности поиска и к увеличению времени обучения НС

2 В случае изменения топологии компьютерной сети, невозможно переобучить часть НС, необходимо переобучать всю сеть сразу

3 В случае изменения политики безопасности затруднено отключение ряда анализируемых параметров

4 Все параметры сетевого взаимодействия обрабатываются однотипно, тогда как должна существовать возможность варьирования обработки различных параметров

В диссертационной работе рассмотрен новый подход к построению многоуровневой сетевой СОВ, заключающийся в том, что группы однотипных параметров межсетевого взаимодействия подаются на входы отдельных модулей первого уровня, каждый из которых представляет собой иерархическую структуру нескольких НС различного типа и выполняет обнаружение аномалий по заданной группе параметров Результаты работы модулей первого уровня подаются на вход решателя второго уровня, принимающего окончательное решение о наличии атаки и ее классификации Данный подход назван в работе модульным, характеризуется наличием двух уровней и имеет следующие особенности

в на первом уровне происходит предварительная обработка информации, на втором - окончательная, при этом на вход второго уровня подается выходная информация первого уровня,

• обработка на уровнях осуществляется при помоши ряда нейронных сетей (модулей), причем на первом уровне их количество и тип может варьироваться и определяться конкретной решаемой задачей Однотипные параметры подаются на вход отдельной нейронной сети первого уровня,

• для увеличения эффективности анализа каждый из параметров может быть подан на вход одного или нескольких модулей, также между модулей первого уровня целесообразно добавить элементы с обратной связью, ® второй уровень анализа обрабатывает информацию, поступившую от нейронных сетей первого уровня, определяет и классифицирует атаки в данный момент времени

Использование модульного подхода обеспечивает следующие преимущества перед монолитньм подходом

1 Снимаются ограничения на количество анализируемых параметров

2 Обеспечивается возможность переобучения отдельных модулей без остановки работы всей системы в целом

3 Появляется возможность динамического отключения отдельных модулей

4 Анализ несвязанных параметров производится в рамках разных модулей

5 Наличие двухуровневой архитектуры позволяет более эффективно классифицировать наблюдаемую атаку

Актуальность

Разработка новых подходов к обнаружению сетевых атак для построения защищенных информационных систем и совершенствования методов защиты является актуальной

Цель диссертационной работы

Целью диссертационной работы является разработка модульного подхода к построению СОВ для повышения эффективности обнаружения атак

Для достижения этой цели в работе решались следующие основные задачи

1 Анализ подходов к построению СОВ

2 Разработка подхода к построению СОВ на базе НС

3 Разработка архитектуры СОВ

4 Разработка методик обучения и тестирования СОВ

5 Экспериментальная проверка предложенного подхода и разработанных методик

Объект и предмет исследования

Объектом исследования данной работы являются сетевые системы обнаружения вторжений, нейронные сети, сетевые атаки и методы обработки данных,

предметом - методы обеспечения безопасности и обработки информации в защищенных информационных системах Научная новизна работы

Научная новизна диссертационной работы состоит в следующем

1 Предложен новый подход к построению модульной СОВ на базе НС, заключающийся в использовании иерархии модулей с обратными связями Каждый модуль содержит определенный тип НС

2 Разработана архитектура модульной СОВ на основе предложенного подхода, позволяющая обнаруживать и классифицировать сетевые вторжения

3 Разработаны методики обучения и тестирования СОВ

4 Предложены рекомендации по построению модульной СОВ и применению разработанных методик

Практическая иенность работы

Практическая ценность состоит в том, что ее результаты позволяют

1 Даны рекомендации по повышению эффективности обнаружения сетевых вторжений при использовании СОВ на базе НС

2 Подготовлена база данных записей сетевого трафика с атаками различных классов для использования в методическом процессе

3 Реализован прототип модульной СОВ для анализа сетевых атак семейства протоколов TCP/IP

Внедрение результатов

Практическая ценность и новизна работы подтверждаются актами внедрения в ГОУ Санкт-Петербургский государственный политехнический университет и Санкт-Петербургском Региональном Центре Защиты Информации Положения выносимые на защиту На защиту выносятся следующие положения

1 Анализ подходов к построению СОВ на базе НС и требований к ним

2 Модульный подход к построению СОВ

3 Методики обучения и тестирования СОВ

4 Архитектура модульной СОВ и требования к архитектуре, позволяющие повысить эффективность обнаружения

Апуобаиня и публикация результатов работы

Научные результаты, полученные в диссертационной работе, докладывались на 3 общероссийских научно-технических конференциях, опубликованы в 10 печатных работах

Структура и объем диссертации

Диссертационная работа состоит из введения, четырех глав, заключения, приложений и списка литературы Работа изложена на 155 листах (включая 27 рисунков, 37 таблиц и список литературы из 76 наименований)

Содержание работы.

Во введении обоснована актуальность темы диссертации, приводятся постановка задачи, краткая аннотация содержания работы по разделам, дана оценка новизны, достоверности и практической ценности полученных результатов, сформулированы защищаемые положения

В первой главе рассмотрена предметная область, а именно, даны общие понятия теории информационной безопасности, причины возникновения атак, их типы и методы защиты от сетевых атак Обоснована необходимость использования сетевых СОВ для защиты участка сети, рассмотрены различные типы СОВ и принципы их работы, дан обзор ряда коммерческих и свободно распространяемых решений

Рассмотрены основные принципы теории НС, представлены алгоритмы обучения НС типа многослойный персептрон Проанализированы существующие исследовательские работы использования аппарата НС в сетевых СОВ

Во второй главе выявлены и проанализированы недостатки СОВ, использующих метод поиска аномалий, и обоснован выбор метода поиска злоупотреблений Рассмотрены недостатки существующих работ, введено понятие монолитного подхода к построению СОВ на базе НС В работе предложен модульный подход к построению СОВ

Существуют два противоположных метода поиска вторжений в систему -поиск аномалий (anomaly detection) и поиск злоупотреблений (misuse detection) Основное различие данных методов заключается в том, что при поиске аномалий СОВ рассчитана на поиск отклонений от нормального режима работы, тогда как поиск злоупотреблений нацелен на обнаружение заранее известных атак и вторжений Другими словами, при поиске аномалий СОВ знает, как должна ра-

ботать система и любое отклонение от норма чьного поведения она считает аномальным При поиске злоупотреблений СОВ знает сигнатуры атак, что позволяет выявлять атаки на этапе их появления Оба метода имеют свои недостатки

• основной недостаток поиска аномалий - на практике сложно построить профиль нормальной активности пользователя, так как, во-первых, нет гарантий, что на этапе построения этого профиля, в системе не наблюдались атаки, а во-вторых, стиль работы пользователя за персональным компьютером может изменяться во времени и нет возможности построить один профиль,

• недостаток поиска злоупотреблений заключается в том, что этот подход не позволяет обнаруживать ранее неизвестные атаки Количество возможных вариаций атак, которые могут быть обнаружены анализатором, зависят от реализации

Одним из основных достоинств применения НС в обработке информации является их обобщающие свойства Это позволяет, в частности, обнаруживать ранее неизвестные атаки В работе доказывается целесообразность применение НС в качестве анализатора при поиске злоупотреблений, так как, во-первых, не используется поиск аномалий, во-вторых, устраняется недостаток поиска злоупотреблений

Анализ работ по теме исследования показал, что практически все они обладали одним существенным недостатком, ограничивающим практическое применение - анализ параметров проводился в рамках одной НС (монолитный подход) Исключение составляет работа Ф Куппенса (Ршёепс Сирреш) и Я Бузиды (Уасте Воигк1а), которые применили два различных аппарата - нейронные сети и деревья решений Для устранения недостатков монолитного подхода в работе предлагается использовать не одну НС для анализа параметров, а несколько В диссертационной работе представлен новый подход к построению СОВ - модульный

Принцип модульного построения СОВ заключен в использовании иерархически расположенных модулей, каждый из которых содержит НС различного типа и подсистему обработки входных данных (рис 1) Для повышения эффективности анализа также введена обратная связь между модулями первого уровня

Модуля первого уровня

Модуль второго уровня.

Рис. 1. Модульный подход к обнаружению Модульная СОВ позволяет более эффективно, по сравнению с монолитным, обнаруживать и классифицировать атаки.

В третьей главе представлена разработанная архитектура СОВ; разработана методика по обучению, тестированию и использованию СОВ. Выделены и описаны сетевые атаки, которые использовались для обучения и тестирования системы; проведена их классификация, и на основе анализа этих атак отобраны группы параметров межсетевого взаимодействия для обработки в СОВ. Разработаны методы обработки и подготовки значений параметров для подачи на вход СОВ; обоснована необходимость реализации генератора сетевого шума и предложена его реализация.

Проведенные исследования показали, что наиболее оптимальной оказалась архитектура, представленная на рис. 2.

Рис. 2. Архитектура модульной СОВ

В качестве источника данных для обучения НС, входящих в состав модулей, используются подготовленные базы атак и генератор сетевого шума Обработка данных заключается в усреднении методом "скользящего окна", нормализации данных, добавлении шума и удалении нулевых векторов Модули первого уровня представляют иерархически расположенные две НС Вторая НС подключается в том случае, если наблюдается подозрительный вектор и первая НС не может дать точного ответа - есть аномалия или нет Вторая НС имеет механизм обратной связи с обработчиком данных, динамически изменяя параметры для более подробного изучения Введение обратной связи позволяет более эффективно изучать данные и уменьшить количество ложных срабатываний системы Выходы модулей первого уровня, которые сигнализируют о наличии аномалий по одной из групп параметров, подаются на вход модуля второго уровня, который принимает окончательно решение о наличии атаки и, при возможности, производит дополнительно классификацию атаки

В качестве исходных данных для обучения используются 3 базы атак - база лаборатории Линкольна министерства обороны США, из которой выбраны 20 атак, база атак канадского центра исследований связи, после анализа выбрано 37 атак, собственная база атак, в которой представлены в основном результаты работы различных сканеров - nmap, nessus, samt Общее количество различных типов атак - 63, общее количество примеров атак в этих базах, которые используются для обучения — 3685

Разработанная таксономия атак, опирающаяся на распространенную таксономию Ховарда, включает в себя следующие классы атак

• атаки, связанные с аутентификацией — подбор паролей, подбор имен пользователей и так далее (3 атаки),

» методы сокрытия атак - использование различных особенностей работы стека TCP/IP для сокрытия атак от СОВ (16 атак),

• сканирование (3 атаки, связанные с результатами работы различных сканеров безопасности),

• отказ в обслуживании (6 атак),

• атаки, использующие уязвимости протокола Telnet (6 атак),

• атаки, использующие уязвимости протоколов TCP/IP (3 атаки),

• атаки, использующие уязвимости протокола FTP (7 атак),

* атаки, использующие уязвимости различных почтовых протоколов — РОРЗ, IMAP, SMTP (3 атаки);

» атаки, использующие уязвимости протокола HTTP (16 атак).

В результате анализа атак этих классов был обоснован выбор 132 параметров межсетевого взаимодействия, которые использовались СОВ для выявления факта наличия атак.

В работе обоснован выбор метода поиска злоупотреблений, который, в свою очередь, потребовал разработки генератора сетевого шума, необходимого для эффективного обучения модулей НС и системы. В качестве основы для построения генератора шума была использована база САЙРА, которая помимо атак содержит записи сетевых данных без атак.

Для усреднения параметров межсетевого взаимодействия в работе использован метод "скользящего окна" (рис. 3). В данном методе левая граница временного интервала смещается на величину меньшую, чем размер самого интервала.

И

-t

-t

J

-ь

J

Рис. 3. Метод "скользящего окна" Оценка математического ожидания для дискретного равномерного распределения (вероятность появления каждого значения = */) = ~, г = 1.. .и ) равна

среднему арифметическому и находится по формуле ЕЛ

где х — эле-

менты усредняемого множества X\ Х={х/, ...,хп}. В том случае, если мы изучаем временной ряд, то п — это количество временных отрезков в усредняемом множестве X.

На практике интерес представляет изучение ряда таких множеств, каждое из которых будет представлять элемент одного вектора для подачи на вход НС.

Пусть V— множество средних значений изучаемого параметра, У={¥/, , где М- количество интервалов усреднения

В случае применения скользящего окна, среднее значение параметра вы-

| п +к I

числяется по формуле К =— , где г - номер очередного окна, п, - количество временных интервалов в окне, к — временной сдвиг окна, х} - элемент выборки из временного окна

Для решения различных задач, связанных с анализом данных при помощи НС, необходимо выбрать тип НС и алгоритмы их работы и обучения, которые будут наиболее эффективно решать поставленную задачу В ходе выполнения работы были проведены исследования, в рамках которых были рассмотрены 10 различных типов НС, 7 функций активации и 11 алгоритмов обучения Как показал анализ наиболее эффективными для решения задач обнаружения сетевых атак оказались следующие НС

9 многослойный персептрон с автономным градиентным алгоритмом обучения,

« самообучающаяся сеть Кохонена с использованием слоя Гроссберга Для реализации СОВ в работе обоснован выбор многослойного персептро-на, для обучения которого используется алгоритм обратного распространения ошибки Алгоритм включает следующие шаги

1 На входы НС подается один из возможных векторов в режиме обычного функционирования НС, когда сигналы распространяются от входов к выходам Рассчитываются значения для каждого слоя по формуле

м

= , где где М-число нейронов в слое п-1 с учетом нейрона с

1«0

постоянным выходным состоянием +1, задающего смещение, у^'^х,^ — г-ый вход нейрона у слоя п у/п) -результат функции активации

2 Вычисляются значения производной функции активации слоя N для выходного слоя по формуле ¿>5М = ор' -6?,) —

Рассчитываются изменения весов слоя N по формуте Дм-,'"1 = -п

3 Рассчитываются по формулам 8{р

V

Д№<">=-7 8"/ у"' ' соответственно $п> и ¿Зм^ для всех остальных слоев, п=Ы-1, 1

4 Корректируются веса в НС и»'"' (/) = и»;"' (г -1) + Ди£° (О

5 Если ошибка сети превышает заданный порог, переход на шаг 1 В противном случае - конец

В главе приводится разработанная методика построения и обучения СОВ, которая включает в себя следующие основные этапы

1 Анализ топологии сети для выявления классов актуальных атак

2 Выбор параметров межсетевого взаимодействия

3 Анализ выбранных параметров для формирования групп, которые будут подаваться на вход модулей первого уровня

4 Построение ряда модулей первого уровня

5 Построение модуля второго уровня СОВ

6 Подготовка данных для обучения

7 Обучение НС, входящих в состав модулей первого и второго уровней.

8 Тестирование СОВ

Разработана методика тестирования СОВ, определяющая возможность обнаруживать неизвестные атаки и оценивать эффективность работы СОВ при помощи вычисления вероятностей ошибок первого и второго рода

Четвертая глава посвящена экспериментальной проверке предложенного подхода, для чего разработан прототип модульной СОВ Дано описание программной реализации и решений, которые были использованы для построения прототипа Проведен количественный анализ выбранных атак и множеств, которые используются для обучения модулей и тестирования СОВ Представлены и проанализированы результаты обучения модулей первого и второго уровней Проанализирована скорость обучения и работы прототипа СОВ

В результате выполнения работы были получены данные, подтверждающие эффективность использования модульного подхода для анализа восьми различных классов сетевых атак, а также получены численные оценки эффективности обнаружения Приведено сравнение результатов работы модульной СОВ с результатами однотипных исследований

Общее время, потраченное на обучение 40 модулей первого уровня, превысило 61 час, при этом средняя скорость обучения модулей составила 16091 векторов в секунду Обучение модуля второго уровня заняло 28 часов при скорости в 14281 векторов в секунду Анализ показал, что скорость работы СОВ превышает 58839 векторов в секунду Замеры производительности выполнялись на персональном компьютере на базе процессора AMD Athlon 1 34 ГЦ с оперативной памятью DDR2 768МБ

После обучения и тестирования была получена оценка надежности классификации наблюдаемых сетевых параметров (табл 1), построенная на основании матрицы неточностей (confusion matrix). Матрица надежности классификации позволяет провести оценку ошибок первого и второго родов Значение первого столбца - классы подаваемых на вход СОВ данных, значение первой строки -возможные выходы СОВ, значение в ячейках - вероятность причисления входного класса к одному из возможных выходных Общая точность классификации

N

атак рассчитывается по формуле АС = —, где Pv - значение ячейки матрицы

II

/=0 7=0

неточностей, N— количество столбцов и строк в матрице Общая точность классификации СОВ равно 59%

Таблица 1 Надежность классификации СОВ

Аутент Сокр Ош Ftptelnet Ош HTTP Ош Mail Ош TCPIP Шторм Нормальное Сканиров

Аутешифик S6 0 0 1 1 9 0 3 1

Сокрытие 0 59 1 3 0 37 0 0 0

Ош Ftptelnet 0 5 49 2 1 42 0 0 0

Ош HTTP 1 6 1 56 0 31 0 3 1

Ош Mail 0 0 0 0 63 37 0 0 0

Ош TCPIP 4 0 0 0 1 93 0 0 0

Шторм 0 0 0 0 0 2 97 0 0

Нормальное 3 0 0 3 0 33 0 1 1

Сканиров ^ 1 0 0 1 0 6 0 0 92

Анализ показал, что невысокое значение точности классификации обусловлено тем, что атаки, связанные с особенностями работы стека TCP/IP ("Ош TCPIP" в табл 1) не отличаются от остальных классов, в частности от класса

нормальной активности ("Нормальное" в табл 1) В том случае, если не рассматривать этот класс атак, точность классификации увеличивается

Ошибки работы СОВ первого и второго родов представлены в табл 2 Точность обнаружения атак, рассчитываемая по формуле А =-ТМ + ТР- равна

™ т + ТР + Р.К + ЕР у

92% 14

Обнаружение нормальной работы (Ш), % 91

Обнаружение атаки (ТР), % 93

Ошибка I рода (ИМ), % 7

Ошибка II рода (ИР), % 9

Оценка эффективности работы после тестирования СОВ на ранее неизвестных данных представлена в табл 3 Точность обнаружения атак - 84%

Таблица 3 Эффективность обнаружения и ошибки I и II родов на неизвестных данных

Обнаружение нормальной работы, % 86

Обнаружение атаки, % 82

Ошибка I рода, % 14

Ошибка I рода, % 18

Из приведенных результатов видно, что модульная СОВ с большой вероятностью обнаруживает атаку на систему (93% известных и 82% неизвестных ранее атак обнаружено). Классификация атак в данной реализации прототипа производится менее эффективно (для класса FTPTelnet - всего в 49%, общая точность классификации - 59%) Это объясняется тем, что класс атак, использующих уязвимости стека TCP/IP, оказался малоразличимым относительно других классов

В работе приводится сравнение результатов диссертационной работы с результатами, полученными в рамках исследований других ученых, таких как А Гош, А Бивенс Авторы изучали использование СОВ различных типов, в качестве тестовых выборок они использовали те же базы атак Процент обнаруженных атак и вероятность ошибки второго рода, полученные в этих работах, представлены в таблице 4

Таблица 4 Сравнение результатов работы

Работа База/СОВ Обнаружено атак, % Ошибка П рода, %

Диссертационная работа, 2007 DARPA,CRC/HC 93 9

А Бивенс, Ч Палагири. 2002 DARPA/HC 76 24

А Гош, А Шварцбард, 1999 DARPA/HC 91 19

Полученные результаты позволяют утверждать, что разработанный модульный подход к построению СОВ и методика использования этой системы позволяют более эффективно обнаруживать факт наличия атаки

В результате диссертаиионных исследований были выполнены следующие задачи

1 Проведен анализ подходов к построению СОВ.

2 Разработан подход к построению СОВ на базе НС

3 Разработана архитектура СОВ

4 Разработана методика обучения и тестирования СОВ

5 Проведены эксперименты для проверки предложенного подхода и разработанных методик

Основные результаты диссертационного исследования изложены в 10 печатных работах, основные работы представлены в списке

1 Жульков Е В , Платонов В В Прототип системы обнаружения вторжений на основе модульных нейронных сетей // Материалы XVI общероссийской научно-технической конференции "Методы и Технические Средства Обеспечения Безопасности Информации" СПб - 2007 - С 89

2 Жульков Е.В., Платонов В.В. Применение модульного подхода к построению нейронных сетей для поиска аномалий. // Проблемы информационной безопасности. Компьютерные системы. СПб.: - 2006. - №3. — С. 30-34. (перечень ВАК).

3 Жульков Е В Платонов В В Развитие сетевых систем обнаружения вторжений на базе модульных нейронных сетей // Сборник материалов V общероссийской научной конференции "Математика и Безопасность Информационных Технологий" М МаБИТ-2006-С 108

4 Жульков Е В , Платонов В В Основные пути развития систем обнаружения вторжений на базе модульных нейронных сетей // Материалы XV общероссийской научно-технической конференции "Методы и Технические Средства Обеспечения Безопасности Информации" СПб - 2006 - С 99

5 Жульков Е В , Платонов В В Направления развития модульного построения нейронных сетей для обнаружения вторжений // Материалы XIV общероссийской научно-технической конференции СПб - 2005 - С 86

6 Жульков Е В Томилин В Н Модульный подход к построению сетевой системы обнаружения вторжений на основе аппарата нейронных сетей //Материалы XII общероссийской научно-технической конференции СПб

- 2004 - С 89

Лицензия ЛР №020593 от 07 08 97

Подписано в печать 08 11 2007 Формат 60x84/16 Печать цифровая Уел печ л 1,0 Тираж 100 Заказ 2261Ь

Отпечатано с готового оригинал-макета, предоставленного автором, в Цифровом типографском центре Издательства Политехнического университета 195251, Санкт-Петербург, Политехническая ул , 29 Тел 550-40-14

Тел/факс 297-57-76

ВВЕДЕНИЕ.

ГЛАВА 1. АНАЛИЗ ПОДХОДОВ К ПОСТРОЕНИЮ СОВ.

1.1. Системы обнаружения вторжений.

1.2. Основы аппарата нейронных сетей.

1.3. Обзор работ, посвященных СОВ на базе нейросетей.

1.4. Обзор СОВ, основанных на нейронных сетях.

Выводы.

ГЛАВА 2. МОДУЛЬНЫЙ ПОДХОД К ПОСТРОЕНИЮ СОВ.

2.1. Недостатки поиска аномалий.

2.2. Недостатки рассмотренных СОВ.

2.3. Модульный подход.

2.4. Достоинства модульного подхода.

Выводы.

ГЛАВА 3. АРХИТЕКТУРА МОДУЛЬНОЙ СОВ.

3.1. Архитектура модульной СОВ.

3.2. Методики обучения и тестирования.

3.3. Систематизация атак.

3.4. Выбор актуальных атак.

3.5. Выбор типа НС.

3.6. Подготовка входных данных для обучения.

3.7. Анализ стека протоколов TCP/IP.

3.8. Выбор параметров межсетевого взаимодействия и формирование групп.

3.9. Модули первого уровня.

3.10. Модуль второго уровня.

3.11. Обучение нейронных сетей.

Выводы.

ГЛАВА 4. РЕАЛИЗАЦИЯ МОДУЛЬНОЙ СОВ, РЕЗУЛЬТАТЫ.

4.1. Реализация модульной СОВ.

4.2. Алгоритм поиска вторжений.

4.3. Макет для проведения тестов.

4.4. Запись и интерпретация результатов.

4.5. Тестирование СОВ.

4.6. Работа СОВ.

4.7. Результаты обучения модулей первого уровня.

4.8. Результаты и их обсуждение.

Выводы.

Последние годы знаменуются быстрым развитием информационных технологий, связанных с сетью Интернет. Многие компании уже не могут обойтись без применения автоматизированных систем, построенных с использованием сети. Во многом это связано с тем, что сетевые технологии позволяют передавать информацию с большой скоростью и практически любому получателю. По этой причине распространения получают такие системы, как системы электронной коммерции, Интернет-магазины, системы документооборота и совершения банковских транзакций. Возможно как для небольших, так и для крупных транснациональных компаний, передача информации через Интернет является единственным оптимальным решением проблемы оперативности, так как сетевые решения обеспечивают необходимую скорость.

Однако, несмотря на всю привлекательность сетевых технологий, в этой сфере существует множество серьёзных проблем, одна из которых -информационная безопасность. Понятие информационной безопасности базируется на проблеме сохранении основных свойств информации -конфиденциальности, целостности и доступности [29].

Конфиденциальностью называют субъективно определяемую характеристику информации, указывающую на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации и обеспечиваемую способность системы сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на право доступа к ней.

Целостностью называют свойство информации, заключающееся в ее существовании в неискаженном виде.

Доступность - это свойство системы, характеризующее способность обеспечить своевременный беспрепятственный доступ субъектов к информации или к ресурсу с информацией, имеющих на это надлежащие полномочия [24].

Нарушение хотя бы одного свойства информации может привести к огромным потерям, в частности - финансовым. Так, по данным, полученным Институтом Компьютерной Информации (СБ!) в Сан

Франциско, в 2007 году объем потерь вследствие нарушения политики безопасности достиг отметки в 66 миллионов долларов США [32].

Уже давно общество пытается создать эффективные системы защиты информации в сфере сетевых технологий и решить проблему безопасности. Прежде всего, рассматриваются два аспекта проблемы: обеспечение безопасности во время передачи информации по каналам связи и обеспечение информационной безопасности в узлах коммуникационной сети - в местах хранения и обработки этой информации. Первая часть проблемы - проблема безопасной передачи, решается, в основном, при помощи создания надёжных линий передачи данных и при помощи применения различных криптографических протоколов. Использование надёжного оборудования уменьшает деструктивное действие антропогенных и природных факторов на линии передачи, применение криптографических протоколов и шифрация передаваемой информации позволяет сохранить свойство конфиденциальности информации.

Решение второй проблемы, с точки зрения программного и аппаратно-программного обеспечения, не столь очевидно. Прежде всего, необходимо определить существующие на сегодняшний день источники угроз информационной безопасности в местах хранения и переработки информации.

Угрозой информационной безопасности системы называется потенциально возможное событие, действие, процесс или явление, которое может вызвать нанесение ущерба ресурсам системы [1]. Все угрозы информационной безопасности можно разбить на два больших класса -угрозы техногенного характера и угрозы антропогенного характера. К первым, прежде всего, относятся угрозы, связанные с неправильной работой техники, которая используется для приёма, обработки, передачи и хранения информации. Эта проблема решается в основном при помощи использования надёжного оборудования и правильного режима эксплуатации. Ко второму классу угроз относятся преднамеренные или не преднамеренные действия людей - атаки.

Атакой называется действие нарушителя, которое приводит к реализации угрозы путем использования уязвимостей системы.

Уязвимость - любая характеристика информационной системы, использование которой нарушителем может привести к реализации угрозы.

Нарушитель - лицо, которое предприняло попытку несанкционированного доступа к ресурсам системы по ошибке, незнанию или осознанно со злым умыслом или без такового и использовавшее для этого различные возможности, методы и средства [3].

Некоторые источники атак, по данным Института Компьютерной Информации СБ1 [31], приведены в табл. 1:

Таблица 1.1. Источники атак

Источник атак (название) Источник атак (%)

Недобросовестные сотрудники 81

Хакеры 77

Конкуренты 44

Зарубежные компании 26

Зарубежные правительства 21

Для решения этих проблем используют различные программные и аппаратно-программные средства, позволяющие уменьшить вероятность успешного проведения атаки. К таким средствам, прежде всего, относятся межсетевые экраны и системы обнаружения вторжений.

Межсетевые экраны реализуют механизмы контроля доступа из внешней сети к внутренней и путем фильтрации всего входящего и исходящего трафика, пропуская только разрешённые данные. Межсетевые экраны функционируют на основе информации, получаемой от различных уровней эталонной модели ISO/OSI, и чем выше уровень OSI, на основе которого построен межсетевой экран, тем выше степень защиты, им обеспечиваемый. Среди основных типов межсетевых экранов можно выделить пакетный фильтр (packet filtering), шлюз на сеансовом уровне (circuit-level gateway) и шлюз на прикладном уровне (application-level gateway).

Однако, несмотря на все положительные качества межсетевых экранов, у этой технологии есть и свои слабые стороны. Наиболее очевидный недостаток межсетевых экранов - невозможность защиты от пользователей, знающих идентификатор и пароль для доступа в защищаемый сегмент корпоративной сети. Межсетевой экран может ограничить доступ посторонних лиц к ресурсам, но он не может запретить авторизованному пользователю скопировать ценную информацию или изменить какие-либо параметры финансовых документов, к которым этот пользователь имеет доступ. А по статистике не менее 80% всех угроз безопасности исходит со стороны сотрудников организации. Также, нарушитель может использовать некоторые уязвимости экранов и атака сможет достичь цели. Становится очевидным, что для обеспечения информационной безопасности необходимо использовать комплекс мер и вместе с межсетевыми экранами использовать также и другие средства, например - системы обнаружения вторжений (СОВ).

Данные средства обнаруживают и, возможно, блокируют несанкционированную деятельность в сети независимо от того, кто ее реализует - авторизованный пользователь (в том числе и администратор) или злоумышленник. Такие средства могут работать как самостоятельно, так и совместно с межсетевым экраном. Например, система RealSecure обладает возможностью автоматической реконфигурации межсетевого экрана Checkpoint Firewall-1 путем изменения правил, запрещая тем самым доступ к ресурсам корпоративной сети с атакуемого узла [2]. Для обнаружения вторжений СОВ могут использовать разные источники информации - сетевой трафик, записи аудита системы, системные вызовы операционной системы и т.д.

Таким образом, разработка новых подходов к обнаружению сетевых атак для построения защищенных информационных систем и совершенствования методов защиты является актуальной.

Научная задача, решаемая в диссертационной работе - повысить защищенность компьютерных сетей организаций при помощи обнаружения новых и неизвестных ранее атак.

Целью диссертационной работы является разработка нового, «модульного» подхода к построению СОВ на базе нейронных сетей (НС) для повышения эффективности обнаружения атак.

Для достижения этой цели в работе решались следующие основные задачи:

1. Анализ подходов к построению СОВ.

2. Разработка нового подхода к построению СОВ на базе НС.

3. Разработка архитектуры СОВ.

4. Разработка методик обучения и тестирования СОВ.

5. Экспериментальная проверка предложенного подхода и разработанных методик.

Научная новизна диссертационной работы состоит в следующем:

1. Предложен новый модульный подход к построению СОВ на базе НС, заключающийся в использовании иерархии модулей с обратными связями. Каждый модуль содержит определённый тип НС.

2. Разработана архитектура модульной СОВ на основе предложенного подхода, позволяющая обнаруживать и классифицировать сетевые вторжения.

3. Разработаны методики обучения и тестирования СОВ.

4. Предложены рекомендации по построению модульной СОВ и применению разработанных методик.

Практическая ценность состоит в том, что её результаты позволяют:

1. Даны рекомендации по повышению эффективности обнаружения сетевых вторжений при использовании СОВ на базе НС.

2. Подготовлена база данных записей сетевого трафика с атаками различных классов для использования в методическом процессе.

3. Реализован прототип модульной СОВ для анализа сетевых атак семейства протоколов TCP/IP.

Диссертационная работа состоит из введения, четырех глав, заключения, приложений и списка литературы. Работа изложена на 155

Выводы

Как показали результаты, скорость работы модульной СОВ на компьютере с процессором AMD Athlon 1,3 4ГЦ с оперативной памятью DDR2 объемом 768МБ составила в среднем 58839 векторов в секунду. Каждый вектор описывает временной интервал, начало которого сдвинуто на 500 миллисекунд относительно предыдущего, то есть за секунду машинного времени обрабатывается в среднем 29419 секунд трафика исследуемой системы. Так как модульная СОВ рассчитывает вероятность наличия атаки после анализа каждого вектора, то это позволяет утверждать, что анализ данных проводится оперативно, при этом нагрузка на центральный процессор составляла в среднем 95%, объем выделенной оперативной памяти - в среднем 30МБ. Это также позволяет утверждать, что для анализа данных используется разумное количество компьютерных ресурсов.

К сожалению, в оценке эффективности работы модульной СОВ участвовали только результаты 2 работ зарубежных авторов. Причиной этого служило то, что в остальных исследованиях не приводились полные данные по вероятностям возникновения ошибок первого и второго родов, также ограничением служили используемые базы атак для тестирования -DARPA или CRC. Несмотря на это, результаты работы модульной СОВ оказались лучше, чем в приведённых работах.

138

Небольшая точность классификации атак объясняется тем, что класс атак, связанный с особенностями работы стека TCP/IP (класс «Атаки TCP/IP»), оказался малоотличим от остальных классов межсетевого взаимодействия, в частности от нормального. При дальнейших исследованиях разумно выделить другие параметры межсетевого взаимодействия для анализа в рамках данного класса, что позволит более эффективно производить разделение признакового пространства в рамках аппарата НС.

ГЛАВА 5. ЗАКЛЮЧЕНИЕ

При выполнении данной работы поставленная задача была выполнена полностью. Был проведён анализ подходов к построению СОВ с использованием НС, разработан новый модульный подход к построению СОВ основанный на применении множества иерархически расположенных НС различного типа для анализа сгруппированных параметров межсетевого взаимодействия.

Была разработана архитектура модульной СОВ и методики её обучения и тестирования. При разработке методик был произведён анализ параметров межсетевого взаимодействия и обоснован выбор тех параметров стека ТСРЛР, которые тем или иным образом смогут выявить факт наличия сетевого вторжения. Данные параметры относились к 10 различным протоколам, находящимся на трёх уровнях сетевого взаимодействия - сетевом, транспортном и прикладном.

Даны рекомендации по повышению эффективности обнаружения сетевых вторжений при использовании СОВ на базе НС. Подготовлена база данных записей сетевого трафика с атаками различных классов, которую можно использовать в методическом процессе.

Для построения прототипа модульной СОВ были реализованы специальные программы, позволяющие собирать и обрабатывать параметры сетевого взаимодействия, а также обучать нейронные сети, входящие в состав СОВ. Кроме того, разработаны методы тестирования спроектированной СОВ и методы анализа полученных результатов, проведена оценка результатов тестирования прототипа СОВ.

Как показали полученные результаты, СОВ, построенная с использованием модульного подхода, с успехом справилась с поставленной задачей, вероятность обнаружения известных атак составила 91%. СОВ смогла классифицировать наблюдаемые атаки с точностью 59%. Дополнительным преимуществом СОВ является тот факт, что она была в

140 состоянии обнаруживать те вторжения, информация о которых не участвовала при обучении СОВ с вероятностью 86%.

При построении прототипа СОВ проведены исследования, обусловившие выбор многослойного персептрона и алгоритма обучения типа автономный градиентный алгоритм.

Также стоит отметить, что СОВ, построенная с использованием модульного подхода, может использоваться не только для поиска сетевых вторжений, но, также и для анализа хостовых данных - записей аудита, параметров вызовов системных функций и так далее.

Результаты показали, что разработанный прототип имеет относительно большую вероятность ошибки второго рода, анализ и исправление причин этих ошибок являются перспективными для продолжения настоящего исследования. Результаты также показали, что атаки, связанные с особенностями работы стека протоколов TCP/IP (класс «Атаки TCP/IP»), малоотличимы от класса нормального взаимодействия (класс «Нормальный»), это привело к тому, что точность классификации равна всего 59%. Решение данной проблемы также считается перспективной задачей.

1. Лукацкий А. В. Обнаружение атак. СПб.: БХВ Петербург, 2001.

2. Лукацкий А. В. Firewall не панацея. Доступно с http://www.citforum.ru/internet/securities/fwpan.shtml.

3. Лукацкий А. В. Краткий толковый словарь по информационной безопасности. Доступно с http://emanual.ru/download2/1799.pdf.

4. Медведовский И.Д., Семьянов П.В., Платонов В.В. Атака через Internet. НПО "Мир и семья-95", 1997.

5. Олифер В. Г., Олифер Н. А. Компьютерные сети. Принципы, технологии, протоколы. СПб.: Издательство "Питер", 2000.

6. Головко В.А. Нейронные сети: обучение, организация и применение. М.: Издательство "Радиотехника", 2001.

7. Осовский С. Нейронные сети для обработки информации. М.: Издательство "Финансы и статистика", 2002.

8. Кондрашин A.A. Обнаружение атак в локальной сети по анализу их сигнатур. ГУ МФТИ, доступноhttp://re.mipt.ru/infsec/2006/essay/2006Detectionofattacksinalocal networkbyanalyzingtheirsignaturesKondrashin.pdf

9. Короткий С., Нейронные сети: основные положения.

10. Корт С.С. Методы выявления нарушений безопасности.

11. Корт С.С. Теоретические основы защиты информации. М.: Гелиос-АРВ, 2004

12. Корнеев В.В. Райх В.В. Материалы международной научной по проблемам безопасности и противодействия терроризму. М.: МЦНМО, 2006.

13. Робачевский.А. Операционная система UNIX. СПб.: БХВ, 1999.

14. Мамаев.М. Технлогии защиты информации в интернете. СПб.: ПИТЕР, 2002.

15. Хайкин С. Нейронные сети, полный курс. М.: Вильяме, 2006.

16. Щетенков А.В. Исследование возможностей технологии нейронных сетей для обнаружения сетевых атак. 2006.

17. Хайкин С. Нейронные сети, полный курс. М.: Вильяме, 2006.

18. Жульков Е.В., Томилин В.Н. Поиск уязвимостей сетевых систем обнаружения вторжения. // Проблемы информационной безопасности. Компьютерные системы. СПб.: 2003. - №2.

19. Жульков Е.В., Томилин В.Н. Поиск уязвимостей сетевых систем обнаружения вторжения. // Открытые системы. М.: 2004. - №7-8.

20. Intrusion Detection Systems (IDS), проект Интернет Университет, доступно с http://www.intuit.rU/department/network/firewalls/4/3.html

21. Система обнаружения вторжений «ЮРПОСТ 1.1 >, официальный сайт, доступно с http://www.rnt.ru/tocontent/actiondesc/id46/langru/

22. Гамаюнов Д.Ю. Современные некоммерческие средства обнаружения атак. 2002.

23. Anup Chosh a study in using neural networks for anomaly and misuse detection. 1999.

24. Balasubramaniyan J., Garcia-Fernandez J. An Architecture for Intrusion Detection using Autonomous Agents.

25. Kvarnstrom H. A survey of commercial tools for intrusion detection. 1999.

26. Jansen W., Mell P., Karygiannis T. Applying Mobile Agents to Intrusion Detection and Response. 1999.

27. Puketza N., Zhang K., Chung M. A methodology for testing intrusion detection systems. 1996.

28. Ptacek Т., Newsham Т. Insertion, evasion, and denial of service: eluding network intrusion detection. 1998.

29. Kumar S. Classification and detection of computer intrusions. 1995.

30. Sundaram А. Ал introduction to intrusion detection, 1996.

31. Lawrence A. Grodon, Martin P. Loeb. CSI/FBI Computer Crime and Security Survey. 2004. Доступно с www.gocsi.com.

32. Lawrence A. Grodon, Martin P. Loeb. CSI/FBI Computer Crime and Security Survey. 2007. Доступно с www.gocsi.com.

33. Kohonen Т. Self-organized formation of topologically correct feature maps. 1982.

34. Sankar K., Sushmita Mitra, Multilayer Perceptron, Fuzzy Sets, and Classification. 1992.

35. Debar, H., Becke, M., & Siboni, D. A Neural Network Component for an Intrusion Detection System. 1992.

36. Debar, H. & Dorizzi, B. An Application of a Recurrent Network to an Intrusion Detection System. 1992.

37. Tan. Detection and Classification of TCP/IP Network Services. 1997.

38. Girardin L, Brodbeck D. A Visual Approach for Monitoring Logs. 1998

39. Rhodes B. C., Mahaffey J., Cannady J. Multiple Self-Organizing Maps for Intrusion Detection

40. Cannady J. Artificial Neural Networks for Misuse Detection. 1998.

41. Cannady J. The Application of Artificial Neural Networks to Misuse Detection: Initial Results. 1998.

42. Yacine Bouzida. detection trees

43. Manikantan Ramadas. Detecting Anomalous Network Traffic with self-organizing maps. 2002.

44. Athanasiades N, Abler R. Intrusion Detection Testing and Bencharking Methodologies. 2002.

45. Mell P, Ни V. An overview of issues in testing intrusion detection systems. 2002.

46. Brugger T, Chow J. An assessment of the DARPA IDS Evaluation dataset using snort. 2005.

47. McHugh J. Testing intrusion detection systems: a critique of the 1998 and 1999 DARPA datasets. 2000.48. 1999 DARPA Intrusion detection evaluation plan.

48. Portnoy L. Intrusion detection with unlabeled data using clustering.1999.

49. Axxelson S. Intrusion detection systems: a survey and taxonomy.2000.

50. Mirkovich J. Martin J. A taxonomy of DDoS attacks and DDoS defense mechanisms. 2002.

51. Christey S. Vulnerability type distribution in CVE. 2006.

52. Hansman S. A taxonomy of network and computer attack methodologies. 2003.

53. Howard J. Longstaff T. A common language for computer security incidents. 1998.

54. Bouzida.Y. Cuppens.F. Neural networks vs. desision trees for intrusion detection. 2006.

55. Moradi M. Zulkernine M. A neural based system for intrusion detection and classification of attacks. 2003.

56. Massicote F. Automatic evaluation of intrusion detection systems. 2006.

57. Документация к программе Deductor. Доступно с http://www.basegroup.ru/download/deductorlite.html

58. Документация к программе NeuroSolutions. Доступно с http://www.neurosolutions.com/downloads/documentation.html

59. Документация к программе NMap. Доступно с http ://www. insecure .org.

60. Документация к программе Saint. Доступно с http://www.saintcorporation.com/saint.

61. Документация к программе Nessus. Доступно с http://www.nessus.org

62. Документация к программе ThreatSentry. Доступно с http://www.privacyware.com

63. RFC 791 спецификация 1Р-протокола.

64. RFC 792 спецификация 1СМР-протокола.

65. RFC 826 спецификация АЕ1Р-протокола.

66. RFC 793 спецификация ТСР-протокола.

67. RFC 768 спецификация ХЛЭР-протокола.

68. RFC 454 спецификация РТР-протокола.

69. RFC 2821 спецификация 8МТР-протокола.

70. RFC 1939 спецификация РОРЗ-протокола.

71. RFC 2616 спецификация НТТР-протокола.

72. Ryan J., Miikkulainen R. Intrusion Detection with Neural Networks.1998. 74. http ://wiki.wireshark. org/Development/LibpcapFileFormat75. http://kdd.ics.uci.edu/

73. Research on Internal State-Based Systems, доступно с http://eecs.vanderbilt.edu/cis/CRL/internalSBsvstems.shtml

74. SANS Institute, доступно с http://www.sans.org