автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Разработка и исследование методов построения систем обнаружения атак

На правах рукописи

Абрамов Евгений Сергеевич

РАЗРАБОТКА И ИССЛЕДОВАНИЕ МЕТОДОВ ПОСТРОЕНИЯ СИСТЕМ ОБНАРУЖЕНИЯ АТАК

Специальность 05 13 19 - «Методы и системы защиты информации, информационная безопасность»

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Таганрог 2005

Работа выполнена в Таганрогском государственном радиотехническом университете на кафедре «Безопасности информационных технологий»

НАУЧНЫЙ РУКОВОДИТЕЛЬ

Заслуженный деятель науки РФ, доктор технических наук, профессор Макаревич Олег Борисович

ОФИЦИАЛЬНЫЕ ОППОНЕНТЫ

1 Аграновский Александр Владимирович, доктор технических наук, профессор, (ГНУ НИИ «Спецвузавтоматика» г Ростов-на-Дону)

2 Спиридонов 01ег Борисович, доцент, кандидат технических наук, (ООО «Авиа ОК Интернейшенел», г Таганрог)

ВЕДУЩАЯ ОРГАНИЗАЦИЯ

ФГУП «Концерн «Системпром», г Москва

Защита диссертации состоится «З^ » 2005 г в 14 00 на заседании диссертационного совета ДМ 212 259 06 по техническим наукам Таганрогского государственного радиотехнического университета, по адресу 347928, Ростовская область, г Таганрог, пер Некрасовский, 44, ауд Д-406

Отзывы на автореферат просьба направлять по адресу 347928, Ростовская область, г Таганрог, пер Некрасовский, 44, Таганрогский государственный радиотехнический университет, Ученому секретарю диссертационного совета ДМ 212 259 06 Галуеву Г А

С диссертацией можно ознакомиться в библиотеке Таганрогского государственного радиотехнического университета, по адресу 347922, Ростовская область, г I аганрог, ул Чехова, 22

а

Автореферат разослан апретя 2005 г

Ученый секретарь диссертационного совета, доктор технических наук, профессор Галуев Г Л

Общая характеристика работы Актуальность

Диссертационная работа посвящена актуальной проблеме разработки методов - обнаружения и выявления сетевых атак Используемые в современных системах обнаружения атак (СОЛ) методы являются достаточно эффективными, если известны точные характеристики атаки Однако сетевые атаки постоянно изменяются, поскольку злоумышленники используют индивидуальные подходы, а также в связи с регулярными изменениями в программном обеспечении и аппаратных средствах систем Вне зависимости от исполыуемых методов обнаружения атак, СОА сталкиваются с одинаковой проблемой -постоянно изменяющиеся характеристики сетевых атак требуют гибкой защитной системы. которая способна оставаться эффективной, даже если не известны точные характеристики атаки

Анализ публикаций в открытой печати показал, что подавляющее большинство СОА используют какой-то один подход к обнаружению атак - обнаружение аномалий или обнаружение злоупотреблений Поскольку методы, реализуемые в рамках этил подходов, рассчитаны на обнаружение чётко определённых типов атак, такие СОА неизбежно сталкиваются с проблемой пропуска атак.

Для создания системы обнаружения атак, которая бы позволила бы обнаруживать новые и модифицированные атаки, и устраняла недостатки присущие традиционным подходам к построению СОА. необходима разработка и исследование комбинированных методов обнаружения атак, сочетающих различные традиционные методы, а также рафаботка методов обнаружения новых и модифицированных атак

Серьезной проблемой, стоящей перед разработчиками и пользователями СОА и требующей интенсивных исследований, является отсутствие методики тестирования, позволяющей оценить эффективность используемой системы

Таким образом, задача разработки и исследования методов построения и тестирования СОА требует проведения интенсивных исследований и является актуальной

Целью работы является разработка и исследование методов обнаружения сетевых атак, неточно соответствующих сигнатурам и правилам, и построение системы, реализующей эти методы Кроме кого, необходимо рафаботать методику оценки эффективности СОА

Исходя из основной цели данной работы, определяется перечень решаемых задач:

1 Разработка метода обнаружения аномалий на основе искусственной нейронной сети, позволяющего выявлять новые, ранее не зарегистрированные атаки

2 Разработка комбинированно! о метода обнаружения атак основанного на сочетании метода обнаружения аномалий сетевого трафика при помощи нейронной сети и метода обнаружения злоупотреблений при помощи неточного поиска сигнатур

3 Разработка системы обнаружения сетевых атак, реа.1шующей комбинированный метод

4 Разработка методики функционального тестирования СОА

В рамках исследования используются методы теории нейронных сетей магматической статистики. теории математического моделирования теории вычислительных систем и сетей

Основные положения, выносимые на защиту

1 Рафаботанный комбинированный метод построения систем обнаружения атак нотоляет обнаруживать более широкий диапазон атак чем существующие методы, и выявлять новые и модифицированные атаки

2 Методика тестирования позволяет проверить полной соответствия реальных и швденных производителем функциональных свойств СОА при помощи разработанного набора тестов

3 Резуныаты экспериментального исследования эффективности и сравнения с аналогами программной реализации системы подтверждают преимущества разработанной системы по сравнению с аналогами

Научная новизна работы заключается в с тедующем

Разработан метод комбинированного поиска атак основанный на обнаружении аномалий сетевого трафика свидетельствующих об атаке, и строковых сигнатур атак (зто\потребтений) Разрабснан новый метод обнаружения аномалии при помощи нейронной сети, в котором используется И НС типа многослойный персептрон Этот метод отличается возможностью обнаруживать известные атаки и выявлять новые Прехложен метод неточного поиска (поиска с ошибками) строковых сигнатур, позвопяюший обнаруживать строковые сигнатуры отличающиеся от шаблона на заданное число симвоюв Разработан метод уточняющих сигнатур для создания репрезентажвной обучающей выборки для ИНС Разработана оригинальная методика исследования эффективности СОА, основанная на анАшзс способности СОА обнаруживать различные типы атак, и позволяющая дать точную оценку функциональных возможностей системы Применение этой методики позволит выявлять уя}вимости в средствах обеспечения безопасности информационных систем на этапе их проектирования

Практическая значимость и внедрение результатов работы Практическая значимость результатов диссертации заключается в следующем

1 Разработанный метод комбинированного поиска атак может быть испольюван как для обнаружения известных ранее встречавшихся атак, так и для выявления новых Метод позво 1ягт повысить скорость работы и эффективность СОА

2 Рафаботаннии метод уточняющих сигнатур предназначенный для формирования обучающей выборки для нейронной сеги, позволяет более точно определить множество аномальных данных и обеспечивает высокую эффективность СОА за счет выполнения требований репрезентативности

3 Разработанная методика оценки эффективности СОА может быть испольювана как пользоватстями для анализа существующих средств защиты информационных систем так и разработчиками СОА для выявления уязвимостей на этапе проектирования

4 СОА, испо плующая комбинированный метод позволяет значительно сократить затраты на обслуживание средств обеспечения безопасности, отказавшись от одновременного испо 1ьзования разных типов СОА при одновременном повышении эффективное ги обнаружения различных типов атак

Использование результатов Основные результат ы исследований были использованы на кафедре Безопасности информационных технологий ГРГУ при проведении с ¡едующих научно-исследовагс 1ьских и опытно-конструкторских работ «Создание программных и профаммно-аппарлных средств обнаружения и выявления сетевых атак в информационно-телекоммуникационных системах», «Разработка материалов по вопросам обнар>жения сетевых атак в ЛВС АС ВН» «Разработка материалов но вопросам обнаружения сетевых атак в ЛВС АС ПН и соз иния программного макета системы тестирования системы обнаружения атаю «Разработка средств генерации информационных воздействий на автоматизированию систем)» научных исследований I'издержанных грантами РФФИ № 04-07-90137-в «Исс юдование и разработка моделей, мето юв и средств обнаружения агак» в учебном процессе на кафелре БИТ Таганрогского гос\дарственного радиотехнического ишверстета при проведении лабораторных работ пп^урсу «Защита информации в компьютерных сетях» для ст\ |ентов специальностей<йзЙ£

Достовершн 1ь потучепных резупьтатов подтверж [ается арогостью маге и ггических выкидок разрабопой дейсгвмошнх прирамм ирезулы.1 ами жеIюриментов

Апробации раб01ы Основные резмьтаты ^иученние в холе |июты над диссертацией бы ш представ 1сны на

1 Международной научно-практической конференции «Информационная безопасность» Таганрог (2003 и 2004 г)

2 Международной конференции «Системные проблемы качества математического моделирования информационных, электронных и лазерных технологий», Сочи, (2003 г)

3 Всероссийской конференции «Проблемы информационной безопасности в системе высшей школы», Москва, (2004 г)

4 Всероссийской научной конференции студентов и аспирантов «Техническая кибернетика радиоэлектроника и системы управления» Таганрог (2004 г ) Публикации

По теме диссертации опубликовано 9 научных статей и тезисов докладов Объем и структура диссертации. Диссертация состоит из введения четырех глав, заключения, списка титературы, включающего 52 наименования приложений Основной текст диссертации изложен на 142 страницах включая 37 рисунков и 18 таблиц

ОСНОВНЫЕ ПОЛОЖЕНИЯ РАБОТЫ Во введении обоснована актуальность исследований в области создания систем обнаружения атак на основе нейронных сетей, сформулированы цель работы решаемые в ней задачи, определена практическая ценность и научная новизна выносимых на защиту результатов

В первой паве определяются основные понятия, относящиеся к сетевым атакам цели и методы функционирования существующих систем обнаружения атак анализируются основные технологии обнаружения атак Проводится анализ характеристик защищаемой информационной системы (обобщенного объекта воздействия), ее субъектов объектов и возможных целей атаки Производится классификация и исследование возможных атак на рассматриваемую информационную систему Рассматриваются существующие алтритмы обнаружения аномалий и злоупотреблений Анализируются недостатки существующих методов и предлагаются перспективные методы устранения эти недостатков Формулируются цепь и основные задачи диссертационной работы

В качестве защищаемой системы рассматривается автоматизированная система (АС) на базе локальнои вычислительной сети (ЛВС) Показано, что компоненты АС рассредоточены в просгранстве и связь между ними физически осуществляется при помощи сетевых соединении а программно - при помощи механизма сообщений основанного на стеке протоколов ТС P/IP

Анализ публикаций в открытой печати позволяет выделить два основных подхода к обнаружению атак - обнаружение аномалий и обнаружение злоупотреблений

Метод обнар\жения аномалий (Anomaly Detection Intrusion Detection SvMcms AD-IDS) основан на испо шювании модели предполагаемого поведения трафика интерпретируя отклонение от «нормальною» поведения как потенциальное нарушение )а;циты «Нормальность» л\чше всего характеризуется как «неаномальность» Основноп постулат обнаружения аном,\ шй состоит в том что атаки отличаются от нормального нове |ения Метод обнаружения аномалий, как правило основан на использовании баш данных которая содержит профит контролируемой деятельности Главное преимущество систем обнаружения анома шП шлючается в том что они могут выявлять ранее неизвестные 'таки Определив что так н «нормальное» поведение можно обнаружить любое нармшнис вне ¡ависимости от того мре 1Усмотрено оно мотечью потенциальных угроз и ш нет

Вторым по i ходом к обнаружению атак является обнаружение злоупогреб 1еннй (Misuse Detection Intrusion Detection Systems MD-IDS) MD-IDS напоминаю! антнирченые системы подк ноченпьк. к сети Этот метод вкчючает сравнение деятельности пои шв<иеля с известными шаблон imh (un натурами) повеления злоумышленника Обычно такт. un.темы содержат набор им напр которые описывают типы cot мнений и трафика мчорые хказывают на ю чю предпринимается попытка проведения конкретной атаки Мех шиш

обнаружения идентифицирует потенциальные атаки в случае, если действия пользователя совпадают с установленными правилами Основное преимущество систем обнаружения зло> потреблений состоит в том, что они сосредотачиваются на анализе проверяемых данных и обычно порождают очень мало ложных тревог Главный недостаток систем обнаружения злоупотреблений связан с тем, что они могут определять только известные атаки, для которых существует определенная сигнатура По мере обнаружения новых атак разработчики должны строить соответствующие им модели, добавляя их в базу сигнатур Кроме того хакер может относительно легко скрыть следы атаки, обманывая МО-ГОБ путем модификации сигнатур атаки

ИСПОТЬЗУЯ только один подход, практически невозможно построить действительно эффективную СОА, обнаруживающую различные типы атак, поскольку очень трудно создать потную базу данных (БД), содержащую сигнатуры большинства атак или достаточно полное и точное описание нормального поведения Существует четыре главные причины этого

1 Новые сигнатуры и правила необходимо создавать вручную Сигнатуры известных атак, которые уже включены в БД, не могут гарантировать надежной защиты без постоянных обновлений

2 Теоретически существует бесконечное число методов и вариантов атак, и для их обнаружения понадобится БД бесконечного размера Таким образом, имеется потенциальная возможность, что некая атака, не включенная в базу данных, может быть успешно осуществлена

3 Современные методы обнаружения аномалий выбывают большое число ложных тревог Таким образом, могут быть скомпрометированы легальные сетевые события

4 Современные методы обнаружения злоупотреблений имеют достаточно высокую вероятность пропуска атаки

Таким образом возникает задача разработки методов и средств, сочетающих в себе достоинства существующих методов

СОА сочетающая достоинства сигнатурных и аномальных методов, должна решать следующие основные задачи

1 обнаружение модифицированных атак сигнатуры которых отсутствуют в базе данных,

2 обнаружение атак с частично или потностью извесгными характеристиками

3 выявтение новых атак не зарегистрированных ранее

Еще одна проблема стоящая перед пользователями СОА - отсутствие адекватной методики тестирования позволяющей выявить достоинства и недостатки тестируемой системы Тесты, рекомендуемые производите 1ями, как правило, служат рекламным целям и не позволяют оценить действительную эффект ивность СОА

Для разработки СОА, решающей перечисленные выше задачи, необходимо проведение исследований в следующих основных направлениях

1 Разработка методов и алгоритмов обнаружения и выявления атак

2 Разработка и исследование комбинированного метода обнаружения атак

3 Разработка методики проверки эффективности сиаемы

4 Разработка программной реализации макета системы и экспериментальное сравнение

эффективности его функционирования с аналогами

Во второй 1лаве осуществляется опре мление задачи создания системы обнар\жения агак разработка частных методов обнаружения аномалии и злоупотреблений разработка комбинированного мето ш обнаружения атак

В главе исследуется возможность применения непронных сетей для обнар\жения аномалий анализируются их достоинства и \к юстаткп Обосновывается выбор архитектуры нейронной сети Разрабатывается метод обнаружения аномалий в сетевом трафике при помощи нейронной сети предлагается новый метот уточняющих сигнатур для формирования обучающей выборки

В работе показано, что задачу обнаружения атак можно отнести к задачам распознавания образов В соответствие с этим, рассматриваются основные задачи возникающие в процессе проектирования таких систем

Первая задача заключается в определении полного перечня признаков (параметров), характеризующих объекты или явления (например, сетевой трафик), для распознавания которых разрабатывается данная система В качестве значащих признаков при описании данных для СОА должны рассматриваться такие данные, обнаружение которых является признаком факта наступления совокупности событий, характеризующих подготовку или совершение атаки на защищаемую систему Для определения признаков используемых при описании сетевого пакета, необходимо выделить основные значения полей заголовков протоколов сетевого и транспортного уровней

Таблица 1 - Перечень признаков для описания сетевых событий

Полученный набор признаков представляет собой сокращенную характеристику элементов трафика Выделенные признаки формируют вектор который испочьзуется для выявления аномалий сетевого трафика при помощи искусственной нейронной сети

Вторая затача заключается в проведении первоначальной классификации распознаваемых объектов Применитечьно к разработке системы обнаружения атак задача формулируется как составление перечня потенциально опасных данных

Для состав1ения перечня потенциально опасных данных необходимо составить перечень событий рассматриваемых в качестве признаков подготовки или совершения атаки на ЛВС При состав пении перечня необходимо учитывать как максимально во$можное количество ситуаций которые явно направлены на совершение противоправных ити деструктивных действий, и которые могут быть однозначно сопоставлены с теми ипи иными соответствующими наборами потенциально опасных данных так и не запрещенные события совокупность которых может рассматриваться как атака на ЛВС

Введем следующие обозначения Пусть М - множество входных данных системы обнаружения атак Система ограничена объемом входных данных, который она может обработать за onpt шпенный такт своей работы Это значит что М - конечно Разобьем данное множество V/ на два подмножества - А и В К подмножеству А отнесем данные которые считаются атакой а к подмножеству В данные которые считаются беюпасными дпя системы

Для обнаружения зюупотреблений используется метод поиска сигнатур В основе метода поиска сшнаг\р лежит задача формализации элементов множества I и и\ шьнейпжй поиск но входном потоке данных Сигнатура как правито представ 1енл в вн 1е некоторою шаблон«! значении Ограничения связанные с возможностями вычис шючьных систем и постоянной эво лоцией средств реализации атак приводят к тому что

- не все элементы подмножества А помещаются в ба*у сигнатур атак

- некоторые шаб юны значений охватывакл не топько тметы подмножества I ной часть э «емеиюн подмножества В

- необходимо поиоянно дополнять цементы подмножества I в соответивии с изменяющимися сишатхрами атак

Метол оСнаружения аномалий в сетевом трафике основан на поиске совпадения данных поступающих в информационную систему с элементами подмножеава5 В случае если совпадение не найдено считается что входные данные являются атакой

Теоретически для данного метода все элементы потмножества В и следователю подмножества А известны Однако на практике очень сложно достаточно полно и точно формализовав элементы подмножества Л

При обнаружении уязвимостей возникает проблема формализации всех уязвимостей т е невозможно перечистить все уязвимости существующие в информационной системе и следоватепьно полный набор элементов множества А неизвестен С юдовагельно данный метод способен обнаруживав только известные атаки и имеет достаточно высокое значение ошибки второго рода («пропуск цели»)

Как было сказано выше, задача полной и точной формализации элементов подмножества В решается очень с южно Следствием этою являются достаточно высокое значение ошибки первого рода (сложная тревога») для метода поиска аномалий

Возникает задача разработки метода сочетающего достоинства двух рассмотренных методов и решающего задачу уменьшения ошибок первого и второго роца соответственно

Идея разрабатываемого метода заключается в применении в рамках одной системы обнаружения атак как метоюв обнаружения аномалий так и методов обнаружения зюупотреблении Данный метод позвотяст обнаруживать как известные ранее встречавшиеся агаки так и выявтять новые ранее не зарегистрированные

Для умеш шения значения вероятности ошибки второго для ро ia u-н натурного поиска можно ввести понятие коррекции сигнатуры В потоке вхотных данных происходит поиск не ючною совпадения с образцом а поиск похожего обраша которым близок к образцу и очень мало от нею отличается Это отличие называется расстоянием редактирования а метод реализующий такой поиск, можно назвать неточным поиском ити поиском с ошибками

Для уменьшения значения вероятное !и ошибки первого рода в методе обнаружения аномалии предлагается использован уточняюшие сигнатуры определяющие априорно аномальный трафик Введение таких сигнатур в обучающую выборку нейронной сеги которая бу тег иегкльюваться щя обнар\жения аномалий позвотит более точно определять множество В

Метол обнаружения аномалий заключается в реализации нейросети как отдельной подсистемы обнаружения аномалий В этом случае нейросеть поп чает весь трафик и анализирует информацию на наличие в нем аномалий Роль нейросети в этом случае состой! в проведении классификации поступающих элементов трафика - заголовков сетевых пакетов, по принципу есть ти в них признаки атаки или нет «Поведение» трафика в контролируемой сети имеет свои закономерности Нашчие закономерностей порождает образы-вектора статистически\ признаков близких в мноюмерном пространстве На основании анализа этих признаков нейронная сеть (ПС) разделяе! пространство образов на две области - аномальную и нормальную

Таким образом жачения яычоюв НС [1 0J ад ¡жны соответсгвовагь нормальным признакам а [0 ] — аномал мим Кроме того аналнзир\я порченное на вичоде шаченис соогвеютвуюдее наличию яномалин можно оценить степей i уверенности с котором неиросеть отнсс ¡а данный набор признаков к аномачиям

При анапие впхопн нейросети сначала определена пороговое значение аномальною вмчоча при их шжении которого б>дем с штать шкет к тасеифицированным к \к поюфия н ный» Эго ш i )ение необходимо установить и проверни» 1Кепер1иым путем Значения бппкие к поротвом также мог\т ч читывай ся при аналше еж налов гревош кнерир\емы\ системой обгпр\жения ai ж ^ксперименм ¡ьным н\тсм пороговое значение шомаиного » в) i\o*a нейропн >й сети 6i 1Ло \станов ieno равным 0 7

Обоснлем выбор «р\ш ектуры f IС Задача обнаружения аномалии фактически прс 1егавляет собой Kiaeut<| икацню поетупаюшич «аголонков пакетов селевого и

транспортного уровней по принципу, есть пи в них признаки атаки или нет Поскольку такая классификация не поддается формальному описанию а некоторые примеры «подозрительных» и «неподозритепьных» пакетов известны, то для решения такой задачи можег быть предложена нейронная сеть типа многослойный персептрон, обучаемый по принципу обратного распространения ошибки

Выбор именно такой архитектуры нейросети обусловлен следующими соображениями Рекуррентные и самоорганизующиеся сети не подходят, так как они обучаются задаче классификации образов исходя из своих внутренних целей (например, по принципу минимальности расстояния) Использование однослойною персептрона неприемлемо так как доказана линейная неразделимость образов которая для задач такой сложности весьма нехарактерна

Для обучения нейросети был выбран алгоритм обратно распространения ошибки (RPROP) так как он, как правило превосходит другие алгоритмы по нахождению приемлемого решения в случаях когда функция ошибки содержи! много локальных МИНИМУМОВ ( ети последовательно подаются на вход записи из файла образов и веса сети коррекшруются таким образом, чтобы на следующей итерации сеть выдала бы более близкий ответ к соответствующей записи из файла целей Таким образом в процессе обучения отклонение выходных векторов нейросети от соответствующих целей будет уменьшаться Обучение будет продолжаться до тех пор, пока это среднее отклонение по всем этементам обучающей выборки не достигнет значения ниже заданного пользователем порога После окончания обучения нейросеть будет способна идентифицировать не только аномальные IP-дейтаграммы из обучающей выборки но и некоторые похожие на них IP-дейтаграммы которые потенциально могут представлять опасность

Создается три слоя нейронов В первом и втором скрытых слоях содержится по 17 нейронов Во всех слоях используется логистическая (сигмоидальная) активационная функция, алгоритм обучения — RPROP Размерность входною вектора— 17, число выходов — 2 Размер обучающей выборки — 4399 пар «вход/выход» Цель обучения — достижение среднеквадратичной ошибкой значения 0 001 за максимальное чис ю итераций 5000.

Основываясь на определенном ранее перечне признаков для описания сетевых собший в качестве харак1еристики сетевых событий будем рассматривать 17зтементов как пранию, предаав тющих в сети пакеты данных, а также представчяюших полное описание данных в пакете

ProtoID - протокол связанный с событием

- SrcPort, DestPort - номера портов,

- Si cAddi, DestAddr- IP-адреса ICMPtype - тип ICMP пакета ICVlPcode - кодовое поле из ICMP пакета,

- RD1 - дайна данных в пакете (Raw Data Length), I Pflags -флаги IP-дейтаграм м

- TCP flags-флаги ICP-пакетов

Обозначим множество пакетов зарегистрированных в ceiw за время i в течение которого бьп запмиен перехватчик пакетов как U = {ц}, |] li 'Де L - число пакетов Вектор Sj ( ProtoID SrcPort DestPort, SrcAddr DestAddr, ICMPjype ilMP_code RDI IPJlags TCP_flags>) будет нести информацию об испотьзовании сетевых сервисов и жпе пакета Вы te 1им множеиво таких векторов S, ' которые однозначно соо1ветств\ют «нормальным» пакиам и, и множество IS,0 векторов которые однозначно соо1ветствуют «аномальным» пакетам Наювем множество S° - S° \j ]s,° обучающей выборкой Задача состоит в опредетенпи tooiветств\ет 1и век гор описываюший производный пакет ц области описываемой множеством Sj° Иными с ювами является ли прои<вои»ныи элемент трафика характерным j |я сети или имеет место аномалия

Для решения задачи необходимо построить нейронную сеть и на основе обучающей выборки обучить ее отличать образы из 8/' от образов из 18/' Предлагается саедующая архитектура нейронной сети (рисунок 1)

I I I

| Слои 1 | Спои 2 I Слои 3 I ! I

Рис 1 - Архитектура нейронной сети В каждом нейроне используется сжимающая сигмоидальная функция активации вида А(п) = (1 + ехр(-п))' Обучение проводится методом обратного распространения ошибки так чтобы сеть выдавав на выходе вектор <1 0> при предъявлении образа из 8/ и <0 1> при предъявлении образа из Ь/1 Таким образом при предъявлении обученной нейронной сети произвольного образа не вхоаяшего в 80 сеть определит насколько этот образ типичен для данной сети исходя из примеров нормальной работы содержащихся в 8]"

Обучающая выборка формируется из векторов представляющих собой образец реальной работы сети за определенное время с учетом исключения повторяющихся значений

Для создания более репрезентативной выборки разработан метод уточняющих сигнатур Ьго суть состоит во введении эополнительных уточняющих сигнатур те векторов представляющих описание априорно аномального трафика и сигнат>р известных атак Это позвонят более точно К1ассифицировать поступающие сетевые пакеты

Классический алгоритм анализа сигнатур базир>ется на простом понятии совпадения последовательности с образном Такой попход позволяет определят! наличие в пакте исключите 1ьно тех сигналр которые внесены в базу данных сигнатур системы обнаружения атак При этом в случае несовпадения хотя бы одного символа система обнаружения атак уже не сработает Таким образом сигнатура новой атаки отпичающаяся хотя бы на один байт не будет обнаружена

Для решения проблемы было предложено исжпыовать для поиска сигнатур в порциях д«ишы\ пакетов алгоритм поиска подстроки с ошибками (неточною поиска) Суть его состоит в том что ищется не точное совпадение со строковой еж натурой из базы шнных а похожая на нее строка отличающаяся на заданное число симво юв

Вве 1ем следующие обозначения Р - образец сигнатуры для поиска Т танные в которых производится поиск измененная сигнатура атаки Поиск похожего образца заключается в поиске такой подстроки £ в Г которая близка к Р и 01 шчается от нее на расстояние редактирования Строка Р находится на расстоянии редактирования к от О если мы можем преобразовать строку Р к строке О последовательностью из к вставок одиночных еимволов н произво и ных позициях Р удалении одиночных символов и* и !и их заменой

Таким образом испо 1ьз\я алгоритм неточною поиска можно обнаруживать модифицированные сигнатлры атак в порциях данных пакетов

Исппьз\я разработанные методы можно сформ\ шроиать комбинированный метод обнаружения атак пключ 1юшиися в сочетании мекод обн »ружения шомалий еетевого Iрафика при помощи нейронной сет и метоха обнар\жения моупотре» 1енпн при помощи неточного поиска еш натур Применение комбинации мелоюв позволит о >н 1р\жива1ь атаки

пропускаемые при использовании только одного метода Применении НС и неточного поиска позволяет уменьшить число ложных тревог и пропусков атак

Схема функционирования метола комбинированного поиска атак представлена на

рис 2

Рис 2 - Функционирование метода комбинированною поиска Необходимо отметить что если одна подсистема приняла решение об обнаружении атаки, необходимо проаналшировать результат работы другой подсистемы Эчо необходимо для уменьшения чиста ложных тревог и для формирования сигнатур вновь выяваенных атак

Архитектура СОА, использующей комплексный метод обнаружения атак представлена на рисунке 3

Источник данных

Обнаружение укупет реБпеиии (неточный пойся;

Данные об обнаружении атаки

Рис 1 -Архитектура системы обнар\жения атак Аналишруя результат работы обоих методов можно.вычис шть степень серьезности инци 1ента Дчя этою надо учитывать неюаько шачения выходов нейросетн превмшаюшие \станов 1енный поро! {Р = 0 7), ни и близкие к ним (I е Р = 0,6 - 0,6е)) Обошачим У-наличие аномалии в пакете (0 - нет I - да) /'-значение аномального иыхода ИНС(с0.1>> 5 - наличие п тестной си! натуры в пакек (0 нет I - да) И - приорите! сообщения об а гаке (У Р) а[ри прованнын результат ИНС

тогда

R - (Y+P)+b

Таблица 2 Степень серьезности сообщений

* Уровень Комментарий

0 6 - 0 69 низкий Достаточно высокое значение аномального выхода ИНС атака не обнаружена, сообщение может быть архивировано для последующего анализа зарегистрированного трафика сообщение не выводится на консоль администратора

1 2 средний Атака обнаружена только одним моду чем сообщение должно быть архивировано для последующего анализа зарегистрированного трафика сообщение выводится на консоль администратора

27-3 высокий Атака обнаружена обоими модулями сообщение должно быть архивировано для последующего анализа зарегистрированного трафика сообщение выводится на консоль администратора

Такой подход к обработке результатов работы модулей позволит сократить число сообщений предоставляемых для анализа администратору СОА и повысит эффективность анализа, поскольку администратор получает агрегированные данные от двух модулей, реализующих разные подходы к обнаружению атак

Третья глава посвящена разработке методов и средств тестирования системы обнаружения атак Целью разработки методики и средств тестирования СОА является создание программного комплекса, предназначенного для выполнения независимого тестирования систем для выработки заключения об их функциональных возможностях

Выделяются следующие основные критерии оценки функциональных возможностей

- Способность анализировать заголовки

- Способность сборки пакетов

- Анализ данных пакета

- Способность СОА обнаруживать распределенные атаки

- Возможность сохранения информации для анализа

- Наличие распределенной архитектуры

- Архитектура системы принятия решения

- Пропускная способность

- Влияние на производительность системы

Проверка СОА осуществляется путем имитации атак или аномальных действий Каждый тест представляет собой внедрение специальных пакетов в сеть в которой функционирхет тестируемая система обнаружения атак В каждом тесте в сети создается такой трафик который мог бы появиться, если бы действитетьно быта предпринята атака Тесты универсальны они воспринимают тестируемую СОА как некий «черный ящик» Все тесты испо 1 ы\ют протокол TCP/IP

Разработан набор тестов и методические рекомендации по и\ проведению и оценке полученных реi\ тьтатов Гесты основаны на имитации всех типов атак которые могут быть предпринят против защищаемой ЛВС и, соответственно должны быть обнаружены тестир)емой СОА Таким образом, можно утверждать что ра(работанный набор обеспечивае! но 1ное покрытие всех функциональных возможностей С ОЛ

Разрабо1аны программные компоненты необходимые для тестирования СОА

- I снсрагор сетевых пакетов,

- пчшаюр атак

- перехватчик ссавых пакетов,

- ш\ 1я юр сетево! о взаимодействия

Для имитатора атак и генератора сетевых пакетов разработан язык описания сценариев сетевых атак

Результатом третьей главы является создание программного комплекса, предназначенного для выполнения независимого тестирования систем для выработки заключения об их функциональных возможностях

В четвертой главе рассматривается программная реализация модели системы обнаружения сетевых атак при помощи комбинированного метода поиска атак и результаты ее экспериментального исследования и сравнения с аналогами

Схема функционирования программной модели представлено на рис 4 Версия модели для ОС Windows 2000 была разработана на языке Object Pascal в среде программирования Borland Delphi 6 Разработаны также версии модулей поиска аномалий при помощи нейронной сети и поиска злоупотреблений при помощи неточного поиска для ОС МСВС на языке C+ +

Сетевые сенсоры функционирующие в ключевых точках сети анализируют сетевой трафик В случае обнаружения атаки сообщение об этом пересылается на консоль управления [де обрабатывается в соответствии с рассчитанным приоритетом отображаются или архивируются Для сообщений с высоким приоритетом может быть активирован модуль ответной реакции Если включена опция уведомления то сообщение об атаке может быть передано администратору по )лектронной почте или через, службу коротких сообщений (short message service, SMS) Модуль корреляции сообщений предназначен для выявления следов атак при помощи анализa архива сообщений об атаках

Одним из наиболее известных решений, объединяющих по заявлению разработчиков, обнаружение аномалий и злоупотреблений, является система NIDES (Next-Generation Intrusion Detection F.xpert System) от System Design Laboratory Для обнаружения аномалий NIDES использует статистический подход (statistical profile-based anomaly-detection) определяющий отклонения от профиля нормального поведения пользователя построенного на основе 39 различных параметров (загрузка процессоров, операции ввода/вывода системных вызовов и ошибок и т п ) Эти профили периодически адаптируются к поведению пользователя Компонент обнаружения злоупотреблений хранит сигнатуры уже известных агак При выявлении атаки подсистемы генерируют сигналы тревоги на консоль, где запущен компонент RESOLVER, отвечающий за объединение данных от статистической и экспертной подсистем

Фактически данное решение представляет собой объединение сетевого и хостового датчика под управлением одной консоли администратора При таком подходе не обнаруживаются аномалии сетевого трафика К серьезным недостаткам системы можно отнести распотожение решающего компонента на консоли, что снижает преимущества распределённой архитектуры принятия решений

В качестве основного аналога была выбрана свободно распространяемая система обнаружения атак Snort Snort использует правила (указанные в файлах «правил»), чтобы знать какой трафик пропустить, а какой задержать Этот инструмент достаточно гибок и позволяет записывать новые правила и соблюдать их Параметры правила, по сути, представляют собой сложные сигнатуры и включают в себя как данные из заголовков пакетов, так и строковые данные из полей данных пакетов Такой формат правила позволяет контролировать аномалии трафика и вести сигнатурный поиск, что послужило основным аргументом в пользу выбора аналога

Для сравнения разработанных методов и аналога с помощью разработанной программы Parser exe были сымитированы атаки, относящиеся к различным типам

- несколько типов Stealth-сканирования,

- использование CGI-скриптов для НСД;

- DoS-атака на маршрутизатор Cisco с целью НСД или вывода из строя

Во втором случае было проведено две серии экспериментов - с оригинальной сигнатурой и с изменённой

Были получены следующие результаты

1 Загрузка процессора при работе аналога составила - 25% при работе разработанной СОА -15 %

2 Как разработанная COA. так и аналог показали одинаковые результаты при обнаружении атак типа Stealth-сканирование ^о объясняется широкой известностью данного типа атак, наличием в базе правил Snort соответствующих записей и достаточной репрезентативностью обучающей выборки для нейросетевого модуля обнаружения аномалий

3 Разработанная COA и аналог обнаружили оригинальную сигнат\ру атаки «/cgibin/php» Попе изменения двух байт сигнатуры система Snort не смогла обнаружить сигнатуру атаки, поскольку необходимо изменение правила Модуль неточного поиска модели обнару жил видоизмененную сигнатуру

4 Сигнатура DoS-атаки на диагностический порт маршрутизатора Cisco отсутствуй в используемой базе сигнатур системы Snort (аким обраюм, Snort не смопа обнаружить му атаку Нейросетевой молмь обнаружения аномалии обнаружит эту агак> поскольку на!ичие таки\ сетевых пакетов нехарактерно для защищаемой сети, что было отражено в обучающей выборке

5 С помощью разработанного программного обеспечения была проведена серия тестов моде in и аналога в соответствии v. предложенной методикой юстирования По ре^утьтатом 1естирования с ie тан выво i о соответствии модели предъяв 1яемым к COA требованиям

Для оценки ошибок первого и второго рода («ложная тревога» и «пропуск цели») было проведено экспериментальное исследование тестовой выборки пакетов объёмом 89386 штук, составленной в результате сбора трафика в реальной сети. В эту выборку были дополнительно включены 400 пакетов, содержащих различные атаки.

Результаты анализа выборки представлены в таблице 3, а результаты производительности СОА- в таблице 4.

Таблица 3 - Результаты анализа тестовой выборки

где М- объём выборки; А - число сгенерированных атак, А„(, - число обнаруженных атак; А„р - число пропущенных атак; Р„р - вероятность пропуска атаки, Р,„ - вероятность ложной тревоги.

Из таблицы видно, что 12 атак не были обнаружены, что составляет 3%. В то же время 424 вектора были ошибочно отнесены к атакам, что составляет 0,47%

Таблица 4 -Время анализа тестовой выборки

Характеристики ПЭВМ Время, сек

AMD Athlon ХР 1700 Мгц 512 Мб ОЗУ 10

Intel Celeron 1800 Мгц 384 Мб ОЗУ 24

Результаты тестирования экспериментальной СОА, использующей комбинированный метод обнаружения атак на основе нейросети дают основание для использования метода в реальных системах Вероятность пропуска атаки составила 0,03, вероятность ложной тревоги - 0,0047 Отмечено, что производительность реальной системы будет зависеть от скорости получения входных данных из сети и производительности ПЭВМ, на которой будет функционировать сенсор СОА Для СОА, установленной на ПЭВМ AMD Athlon 2000 ХР 1700 Мгц 512 Мб ОЗУ была достигнута производительность 8938 пакетов в секунду, на ПЭВМ Intel Celeron 1800 Мгц 384 Мб ОЗУ -3724 пакета в секунду.

В заключении приводятся основные результаты, полученные в процессе проводимых исследований, делаются общие выводы.

Результаты, выносимые на защиту

1 Разработанный метод построения систем обнаружения атак, основанный на комбинировании методов обнаружения аномалий при помощи искусственных нейронных сетей и обнаружения злоупотреблений при помощи неточного поиска сигнатур

2 Методика и инструментальные средства тестирования функциональных свойств систем обнаружения атак, набор функциональных тестов и язык описания тестов

3 Репльтаты экспериментального исследования эффективности и сравнения с аналогами макета программной реализации системы, подтверждающие преимущества разработанной системы по сравнению с аналогами.

Но теме диссертационной работы опубликованы следующие работы

1 Абрамов Г С , Макаревич О 1> Разработка профиля информационной инфраструктуры г Таганрога // Материалы Ш международной научно-практической конференции «Информационная безопасность» Изд-воТРТУ, Таганрог 2001 i

2 Абрамов Е С , Макаревич О Б, Бойченко А В , Филиной Е Н Применение информационно-телекоммуникационных техно тогий в различных о Граалях городского хозяйства // Материалы IV международной научно-практической конференции «Информационная безопасность». Изд-воТРТУ. Таганрог 2002 i

3. Абрамов ЕС , Макаревич ОБ. Развитие информационной инфраструктуры города как основа реформы муниципального самоуправления // Материалы международной конференции «Системные проблемы качестча математического моделирования, информационных, электронных и лазерных технологий». Изд-во «Радио и связь», Москва 2002.

4. Абрамов Е.С Система анализа защищённости от сетевых атак // Известия ТРТУ. Тематический выпуск. Материалы V международной научно-практической конференции «Информационная безопасность», Изд-во ТРТУ, Таганрог 2003 г.

5. Абрамов Е С, Аникеев М.В., Макаревич О.Б. Подготовка данных для использования в обучении и тестировании нейросетей при обнаружении сетевых атак // Известия ТРТУ. Тематический выпуск. Материалы V международной научно-практической конференции «Информационная безопасность». Изд-во ТРТУ, Таганрог 2003 г.

6. Абрамов Е.С, Макаревич ОБ. Программа имитации сетевых атак // Материалы международной конференции «Системные проблемы качества математического моделирования, информационных, электронных и лазерных технологий», Изд-во «Радио и связь», 2003.

7. Абрамов Е.С. Разработка методов функционального тестирования СОА // Материалы XI Всероссийской научной конференции «Проблемы информационной безопасности в системе высшей школы», Изд-во МИФИ, Москва 2004.

8 Абрамов Е.С, Макаревич О.Б., Бабенко Л.К., Пескова О Ю. Разработка архитектуры СОА на основе нейронной сети // Материалы VI международной научно-практической конференции «Информационная безопасность», Изд-во ТРТУ, Таганрог (2004 г.) 9. Абрамов Е.С. Разработка комбинированной архитектуры системы обнаружения и выявления сетевых атак // Тезисы докладов на VII Всероссийской НК студентов и аспирантов «Техническая кибернетика, радиоэлектроника и системы управления». Изд-во ТРТУ, Таганрог. 2004 г.

Личный вклад автора в работах, написанных в соавторстве, состоит в следующем:

[1] - разработка требований к безопасному функционированию автоматизированных систем;

[2] - обоснование необходимости использования систем обнаружения атак; [31 -рекомендации по размещению сенсоров СОА; [5] - разработка метода обнаружения аномалий и метода формирования выборки и структуры вектора признаков; [6] - анализ современных сканеров безопасности, выработка предложений по использованию системы для выявления уязвимостей и тестирования СОА; [8] - анализ недостатков существующих методов обнаружения атак, разработка архитектуры модуля корреляции предупреждений об атаках.

ЛР№ 020565 от 23.06.97 г. Подписано в печать 12.11.04. формат 60x84 1/16 Бумага офсетная. Печачь офсетная Уел п.л. - 1 Тираж 100 жз. Заказ № 161 "С"

Издательство Таганрогского государственного радиотехнического университета

ГСП 17 А, Таганрог - 28, Некрасовский, 44. Типография Таганрогско! о государственного радио технического \ ниверситета ГСП 17 А. Таганрог-28. ЩюлЪса.

19 !&1га05

970

ВВЕДЕНИЕ.

1. ОБЗОР СУЩЕСТВУЮЩИХ МЕТОДОВ ОБНАРУЖЕНИЯ СЕТЕВЫХ АТАК.

1.1. Анализ характеристик защищаемой информационной системы.

1.1.1. Основные понятия и определения.

1.1.2. Определение среды функционирования СОА.

1.1.3. Классификация сетевых атак.

1.2. Анализ существующих технологий систем обнаружения атак

1.2.1 Типовая архитектура СОА.

1.2.2. Анализ существующих подходов к построению СОА.

1.2.3. Методы обнаружения злоупотреблений.

1.2.4. Обнаружение аномалий.

1.3. Цель и задачи исследования.

1.4. Выводы.

2. РАЗРАБОТКА ЧАСТНЫХ МЕТОДОВ ОБНАРУЖЕНИЯ АТАК.

2.1. Определение задачи обнаружения атак.

2.1.1. Определение перечня признаков объектов.

2.1.2. Классификация распознаваемых объектов.

2.1.3. Разработка общего метода распознавания атак.

2.2. Метод обнаружения аномалий.

2.2.1 Применение нейронных сетей в задачах обнаружения аномалий.

2.2.2 Выбор архитектуры нейросети.

2.2.3 Разработка частного метода обнаружения аномалий.

2.2.4 Методика формирования обучающей выборки.

2.2.5 Обучение нейронной сети.

2.3 Метод поиска злоупотреблений.

2.3.1. Общие сведения об алгоритме неточно поиска сигнатур.

2.3.2. Описание алгоритма неточного поиска.

2.4 Применение комбинированного метода для построения архитектуры СОА

2.5 Выводы.

3. РАЗРАБОТКА МЕТОДИКИ ТЕСТИРОВАНИЯ СОА.

3.1. Общие положения.

3.2. Критерии оценки для функциональных тестов.

3.3. Методические рекомендации по тестированию систем обнаружения атак.

3.4. Методы тестирования производительности.

4.5. Программно-аппаратное обеспечение.

4.6. Разработка интерпретатора языка программирования сценариев атак

4.7. Выводы.

4. ПРОГРАММНАЯ РЕАЛИЗАЦИЯ МОДЕЛИ СОА, ЕЁ ЭКСПЕРИМЕНТАЛЬНОЕ ИССЛЕДОВАНИЕ И СРАВНЕНИЕ С АНАЛОГАМИ.

4.1. Описание программной реализации модулей.

4.1.1 Описание программной реализации модулей СОА.

4.1.2 Описание программной реализации модулей тестирования СОА.

4.1.3 Описание программной реализации модуля подготовки данных для обучения нейросети.

4.2. Экспериментальное исследование программной модели

4.2.1 Исследование программной реализации нейронной сети.

4.2.2 Исследование программной модели неточного поиска.

4.3. Сравнение с аналогами.

4.3.1 Обзор аналогов.

4.3.2 Экспериментальное сравнение с аналогами.

4.4. Выводы.

Всего несколько лет назад проблема сетевой безопасности не стояла столь остро, как сейчас. Сегодня Internet стал местом высокой деловой активности, и бизнес огромного числа компаний напрямую зависит от глобальных информационных технологий. Значительное число предприятий и организаций по всему миру используют компьютерные системы для управления производственными процессами и персоналом, распределения ресурсов и подключения удалённых пользователей и т.д.

Использование информационных технологий имеет ряд очевидных преимуществ — снижение накладных расходов, ускорение производственных процессов, повышение мобильности и оперативности доступа к информации и услугам. Кроме того, появился рынок таких услуг, как удаленное управление банковскими счетами, заказ и оплата товаров и услуг через Internet и т.д. В связи с этим значительно возросла стоимость информации, циркулирующей в корпоративных и глобальных сетях.

Однако бурный рост информационных технологий вызвал стремительный рост компьютерно^ преступности. Ещё р 2000 году лишь 24% компаний, чей бизнес связан с использованием информационных технологий, • сообщали • об инцидентах, связанных с преднамеренным нарушением компьютерной безопасности. В 2002 таких организаций было уже 44%, в 2003 - более 60%. Зафиксированные финансовые потери компаний за 2000 год составили 265,5 млн. долларов, за 2002 год 455,8 млн., а за первый квартал 2003 года - 201,7 млн[1]. Аналогично обстоит дело и в России. Так, например, с начала 2004г. зафиксировано около 5000 попыток атак на информационные системы и телекоммуникационные сети ОАО "Российские железные дороги", убыток от которых мог составить около 1 млрд руб. Эти цифры дозволяют увидеть тенденцию рорта компьютерной преступности.

До сих пор можно встретить утверждения, что наибольший ущерб наносится компаниям изнутри. Такая ситуация была характерна для начала 90-х годов. Согласно отчёту Институту компьютерной безопасности CSI (Computer Security Institute), опубликованному в конце 2003 года, 71% процентов подвергнувшихся нападению организаций были атакованы через внешние сетевые подключения.

Эта ситуация обусловила рост доли систем обнаружения атак (СОА) среди используемых средств обеспечения безопасности. По сравнению с 1999 годом число компаний, использующих СОА, выросло почти в два раза [1]. Это свидетельствует о том, что в скором времени СОА должны стать таким же обязательным средством защиты, как межсетевые экраны и антивирусы.

Актуальность темы

Диссертационная работа посвящена актуальной проблеме разработки методов обнаружения и выявления сетевых атак. Используемые в современных системах обнаружения атак (СОА) методы являются достаточно эффективными, если известны точные характеристики атаки. Однако сетевые атаки постоянно изменяются, поскольку злоумышленники используют индивидуальные подходы, а также в связи с регулярными изменениями в программном обеспечении и аппаратных средствах систем. Вне зависимости от используемых методов обнаружения атак, СОА сталкиваются с одинаковой проблемой - постоянно изменяющиеся характеристики сетевых атак требуют гибкой защитной системы, которая способна оставаться эффективной, даже если не известны точные характеристики атаки.

Анализ публикаций в открытой печати показал, что подавляющее большинство СОА используют какой-то один подход к обнаружению атак — обнаружение аномалий или обнаружение злоупотреблений. Поскольку методы, реализуемые в рамках этих подходов, рассчитаны на обнаружение 4 чётко определённых типов атак, такие СОА неизбежно сталкиваются с проблемой пропуска атак.

Для создания системы обнаружения атак, которая бы позволила бы обнаруживать новые и модифицированные атаки, и устраняла недостатки, присущие традиционным подходам к построению СОА, необходима разработка и исследование комбинированных методов обнаружения атак, сочетающих различные традиционные методы, а также разработка методов обнаружения новых и модифицированных атак .

Ещё одной проблемой, стоящей перед разработчиками и пользователями СОА, является отсутствие методики тестирования, позволяющей оценить эффективность используемой системы.

Таким образом, задача разработки и исследования методов построения и тестирования СОА требует проведения интенсивных исследований и является актуальной.

Целью работы является разработка и исследование методов обнаружения сетевых атак, неточно соответствующих сигнатурам и правилам, и построение системы, реализующей эти методы. Кроме этого, необходимо разработать методику оценки эффективности СОА.

Исходя из основной цели данной работы, определяется перечень решаемых задач:

1. Разработка метода обнаружения аномалий на основе искусственной нейронной сети, позволяющего выявлять новые, ранее не зарегистрированные атаки.

2. Разработка комбинированного метода обнаружения атак, основанного на сочетании метода обнаружения аномалий сетевого трафика при помощи нейронной сети и метода обнаружения злоупотреблений при помощи неточного поиска сигнатур.

3. Разработка системы обнаружения сетевых атак, реализующей комбинированный метод.

4. Разработка методики функционального тестирования СОА.

В рамках исследования используются методы теории нейронных сетей, математической статистики, теории математического моделирования, теории вычислительных систем и сетей.

Результаты, выносимые на защиту

1. Разработанный метод построения систем обнаружения атак, основанный на комбинировании методов обнаружения аномалий при помощи искусственных нейронных сетей и обнаружения злоупотреблений при помощи неточного поиска сигнатур.

2. Методика и инструментальные средства тестирования функциональных свойств систем обнаружения атак, набор функциональных тестов и язык описания тестов.

3. Результаты экспериментального исследования эффективности и сравнения с аналогами программной реализации системы, подтверждающие преимущества разработанной системы по сравнению с аналогами.

Научная новизна работы заключается в следующем: Разработан метод комбинированного поиска атак, основанный на обнаружении аномалий сетевого трафика, свидетельствующих об атаке, и строковых сигнатур атак (злоупотреблений). Разработан новый метод обнаружения аномалий при помощи нейронной сети, в котором используется ИНС типа многослойный персептрон. Этот метод отличается возможностью обнаруживать известные атаки и выявлять новые. Предложен метод неточного поиска (поиска с ошибками) строковых сигнатур, позволяющий обнаруживать строковые сигнатуры, отличающиеся от шаблона на заданное число символов. Разработан метод уточняющих сигнатур для создания репрезентативной обучающей выборки для ИНС. Разработана оригинальная методика исследования эффективности СОА, основанная на анализе способности СОА обнаруживать различные типы атак, и позволяющая дать точную оценку функциональных возможностей системы. Применение этой методики позволит выявлять уязвимости в средствах обеспечения безопасности информационных систем на этапе их проектирования.

Практическая значимость и внедрение результатов работы Практическая значимость результатов диссертации заключается в следующем:

1. Разработанный метод комбинированного поиска атак может быть использован как для обнаружения известных, ранее встречавшихся атак, так и для выявления новых. Метод позволяет повысить скорость работы и эффективность СОА.

2. Разработанный метод уточняющих сигнатур, предназначенный для формирования обучающей выборки для нейронной сети, позволяет более точно определить множество аномальных данных и обеспечивает высокую эффективность СОА за счёт выполнения требований репрезентативности.

3. Разработанная методика оценки эффективности СОА может быть использована как пользователями для анализа существующих средств защиты информационных систем, так и разработчиками СОА для выявления уязвимостей на этапе проектирования.

4. СОА, использующая комбинированный метод, позволяет значительно сократить затраты на обслуживание средств обеспечения безопасности, отказавшись от одновременного использования разных типов СОА, при одновременном повышении эффективности обнаружения различных типов атак.

Использование результатов Основные результаты исследований были использованы на кафедре Безопасности информационных технологий ТРТУ при проведении следующих научно-исследовательских и опытно-конструкторских работ: «Создание программных и программно-аппаратных средств обнаружения и выявления сетевых атак в информационно7 телекоммуникационных системах» (№ договора 16108), «Разработка материалов по вопросам обнаружения сетевых атак в ЛВС АС ВН» (№ договора 16112), «Разработка материалов по вопросам обнаружения сетевых атак в ЛВС АС ВН и создания программного макета системы тестирования системы обнаружения атак» (№ договора 16111), «Разработка средств генерации информационных воздействий на автоматизированную систему»; научных исследований, поддержанных грантами РФФИ № 04-07-90137-в «Исследование и разработка моделей, методов и средств обнаружения атак»; в учебном процессе на кафедре БИТ Таганрогского государственного радиотехнического университета.

Достоверность полученных результатов подтверждается строгостью математических выкладок, разработкой действующих программ и результатами экспериментов.

Апробация работы. По теме диссертации опубликовано 9 научных статей и тезисов докладов. Основные результаты, полученные в ходе работы над диссертацией, были представлены на:

1. Международной научно-практической конференции «Информационная безопасность», Таганрог (2003 и 2004 г.).

2. Международной конференции «Системные проблемы качества математического моделирования, информационных, электронных и лазерных технологий», Сочи, (2003 г.).

3. Всероссийской конференции «Проблемы информационной безопасности в системе высшей школы», МИФИ, Москва, (2004 г.).

4. Всероссийской научной конференции студентов и аспирантов «Техническая кибернетика, радиоэлектроника и системы управления», Таганрог (2004 г.).

4.4. Выводы

В этой главе представлено описание программной реализации модели СОА и модулей системы тестирования СОА. Проведено сравнение с аналогом — свободно распространяемой системой Snort. Приводятся результаты функционального тестирования в соответствии с разработанной методикой.

Результаты тестирования экспериментальной модели СОА, использующей комбинированный метод обнаружения атак на основе нейросети дают указание на целесообразность использования метода в реальных системах. Отмечено, что производительность реальной системы будет зависеть от скорости получения входных данных из сети.

Заключение

В соответствии с поставленными целями, в итоге проведенных исследований и разработок были получены следующие основные научные результаты:

1. Разработан метод комбинированного поиска атак, основанный на сочетании методов обнаружения аномалий сетевого трафика, свидетельствующих об атаке, и методов обнаружения злоупотреблений (сигнатур атак). Метод позволяет преодолеть недостатки традиционных СОА, в частности, снизить количество пропусков атак и обнаруживать новые и модифицированные атаки.

2. Разработан метод обнаружения аномалий при помощи нейронной сети, в котором используется ИНС типа многослойный персептрон. Метод основан на контроле значений полей заголовков пакетов сетевого и транспортного уровня. Метод позволяет обнаруживать не только известные атаки, но выявлять новые.

3. Разработан метод уточняющих сигнатур для создания репрезентативной обучающей выборки для ИНС. Метод позволяет уменьшить число ложных тревог, основанный на включении априорно аномальных векторов в обучающую выборку.

4. Разработана методика тестирования СОА, позволяющая дать точную оценку функциональных возможностей системы. Применение этой методики позволяет получить информацию о соответствии функциональных возможностей СОА заявленным возможностям, предъявленным функциональным требованиям, а также о корректности настройки СОА.

5. Разработана программная реализация модели СОА, экспериментальное исследование которой указывают на возможность использования метода в реальных системах обнаружения атак.

Вероятность пропуска атаки для модели составила 0,03, вероятность ложной тревоги - 0,0047. Отмечено, что производительность реальной системы будет зависеть от скорости получения входных данных из сети и производительности ПЭВМ, на которой будет функционировать сенсор СОА. Для модели, установленной на ПЭВМ AMD Athlon 2000 ХР 1700 Мгц 512 Мб ОЗУ была достигнута производительность 8938 пакетов в секунду, на ПЭВМ Intel Celeron 1800 Мгц 384 Мб ОЗУ - 3724 пакета в секунду.

1. 2003 CSI/FBI Computer crime and security survey, http://www.gocsi.com/awareness/fbi.jhtml.

2. Лукацкий A.B. Вопросы информационной безопасности, связанные с применением Internet в кредитно-финансовых учреждениях.-http://www.infosec.ru/press/pub/t v l.zip

3. Лукацкий A.B. Адаптивное управление защитой.-Сети, №10,1999г.

4. Лукацкий А.В. Обнаружение атак. 2-е изд., перераб. и доп. СПб.:БХВ-Петербург, 2003.

5. Кеммерер Р., Виджна Дж. Обнаружение вторжений: краткая история и обзор.- "Открытые системы", №07-08, 2002г.

6. Ранум М. Обнаружение атак: реальность и мифы.- http://security.tsu.ru/

7. Лукацкий А.В. Системы обнаружения атак. Взгляд изнутри.-http://www.bezpeka.com/library/adiii/arc/lukacobnaruzhizn.zip

8. Вильям Столлингс, Криптография и защита сетей. Принципы и практика, 2е издание, М., изд. дом "Вильяме", 2002г.

9. Кудин Д.В., Корольков В.В. Некоторые подходы к моделированию атак в информационных системах http://www.bezpeka.com/library/sci/arc/kudinarticle4.zip

10. Лукацкий А.В. Новые подходы к обеспечению информационной безопасности сети. Компьютер-Пресс, №7 , 2000г.11 .Кеннеди Дж. Нейросетевые технологии в диагностике аномальной сетевой активности.- http://security.tsu.ru/

11. Медведовский И.Д., Семьянов П.В., Платонов В.В. Атака через Интернет.- НПО "Мир и семья-95", 1997

12. Г.А.Черней, С.А.Охрименко, Ф.С.Ляху Безопасность автоматизированных информационных систем.-Ruxanda, 1996с.

13. М.Гайкович В., Першин А. Безопасность электронных банковских систем. -М.: Изд-во компания "Единая Европа", 1993 г.

14. FAQ 0.3 Системы обнаружения атак на сетевом уровне.-http://www.citforum.ru/internet/securities/faqids.shtml

15. Лукацкий А.В. Мир атак многообразен.-http://www.infosec.ru//press/pub luka.html

16. Ф. Уоссермен. Нейрокомпьютерная техника. — М.: Мир, 1992

17. Gibb J., Back Propagation Family Album. NSW, Australia: Macquarie University, 199620.0совский С. Нейронные сети для обработки информации / Пер. с польского И. Д. Рудинского. М.: Финансы и статистика, 2002.

18. Riedmiller М., Braun Н. RPROP a fast adaptive learning algorithm. Technical report, Karlsruhe: University Karlsruhe, 1992

19. Fahlman S. E. Faster learning variations on backpropagation: an empirical study // Proc. 1988 Coiinectionist Models Summer School. Los Altos, USA: Morgan Kaufman, 1988.

20. Kohonen T: Self-organizing maps. Berlin: Springer Verlag, 1995.

21. Абрамов E.C. Разработка методов функционального тестирования СОА. // Сборник научных трудов XI всероссийской научной конференции «Проблемы информационной безопасности в системе высшей школы» Москва, 2004.

22. Профиль защиты БИЗКТ.МЭ.2.ПЗ. Межсетевые экраны. Класс защищенности второй. Версия L0.

23. Абрамов Е.С., Макаревич О.Б. Программа имитации сетевых атак // Материалы международной конференции «Системные проблемы качества математического моделирования, информационных, электронных и лазерных технологий», 2003.

24. Абрамов Е.С., Макаревич О.Б., Бабенко JI.K., Пескова О.Ю. Разработка архитектуры СОА на основе нейронной сети // Материалы VI международной научно-практической конференции «Информационная безопасность», Таганрог (2004 г.)

25. Абрамов Е.С. Разработка комбинированной архитектуры системы обнаружения и выявления сетевых атак // Тезисы докладов на VII Всероссийской НК студентов и аспирантов «Техническая кибернетика, радиоэлектроника и системы управления». Таганрог. 2004 г.

26. Абрамов Е.С., Макаревич О.Б. Разработка профиля информационной инфраструктуры г. Таганрога // Материалы III международной научно-практической конференции «Информационная безопасность», Таганрог 2001 г.

27. Райан Д., Менг-Джанг Лиин Обнаружение атак с помощью нейросетей.-http://neurnews.iu4.bmstu.ru/

28. Лакин К.А Статистические методы анализа данных аудита в системе обнаружения аномалий поведения.-Труды научно-технической конференции «Безопасность информационных технологий», Том №3, Секция №6: Системы обнаружения вторжений, Пенза, август 2002г.

29. Experiences Benchmarking IDS, Marcus Ranum, NFR Security Inc., www.nfr.com

30. Network Based Intrusion Detection A review of technologies, Denmac Systems, Inc., www.denmac.com

31. Development of an Architecture for Packet Capture and Network Traffic Analysis, Loris Degioanni

32. TCP-IP illustrated, Gary R. Wright, W. Richard Stevens

33. Бармен С. Разработка правил информационной безопасности.: пер. с англ. -М.: Изд. «Вильяме», 2002.

34. Норткат С., Новак Дж. Обнаружение нарушений безопасности в сетях.: пер. с англ. — М.: Изд. «Вильяме», 2003.

35. Knuth D. Е., J. Н. Morris, and V. R. Pratt, "Fast pattern matching in strings," SIAM Jou-nalon Computing, 6 (June 1977).

36. Boyer R. S., and J. S. Moore, "A fast string searching algorithm," Communications of the ACM, 20 (October 1977).

37. Горелик A.JI., Скрипкин B.A. Методы распознавания. M.: Высш. шк., 1977.

38. Патрик Э. Основы теории распознавания образов. — М.: Сов. радио, 1980.

39. Next-generation Intrusion Detection Expert System.-http://www.csl .sri.com/trlist.html

40. SAFEGUARD Final Report: Detecting Unusual Program Behavior Using the NIDES Statistical Component. http://www.sdl.sri.com/proiects/nides/reports/safeguard.ps.gz