CC BY
151
ТЕХНИЧЕСКИЕ НАУКИ
УДК 004.7
Е.А. Богданова
аспирант, кафедра ЭВМ,
ФГБОУ ВПО «Рязанский государственный радиотехнический университет»
В.Н. Ручкин
д-р техн. наук, профессор, кафедра ЭВМ, ФГБОУ ВПО «Рязанский государственный радиотехнический университет»
АНАЛИЗ СЕТЕВОГО ТРАФИКА И ВЫЯВЛЕНИЕ НЕЛЕГИТИМНЫХ ПАКЕТОВ В ХОДЕ DOS-АТАКИ
Аннотация. Представлены результаты исследования прохождения сетевого трафика с использованием межсетевой защиты Check Point Firewall-1. Исследование показывает эффективность использования нейросетей при решении вопросов, связанных с защитой от сетевых атак.
Ключевые слова: межсетевой экран, сетевой трафик, нейросети, сетевая атака, DoS.
E. A. Bogdanova, Ryazan State Radio Engineering University
V.N. Ruchkin, Ryazan State Radio Engineering University
NETWORK TRAFFIC ANALYSIS AND MALICIOUS PACKETS IDENTIFICATION DURING THE
DOS-ATTACK
Abstract. Findings of investigation of network traffic forwarding using firewall such as Check Point Firewall-1 examined.
Keywords: firewall, network traffic, neuronets, network attack, DoS.
Введение. Как показывает практика, в современных компьютерных сетях обеспечить стопроцентную защиту от атак типа DoS (Denial of Service - отказ в обслуживании) имеющимися программными и аппаратно-программными средствами не представляется возможным. К наиболее эффективным современным средствам, направленным на защиту от сетевых атак, относятся межсетевые экраны. Однако с использованием в сетях межсетевых экранов во время атаки типа «отказ в обслуживании» возникают трудности, связанные с определением легитимности пакетов. Особенно это характерно для больших сетей, передающих значительные уровни трафика. Как правило, большие сети используют системы обнаружения вторжений IDS (Intrusion Detection System), используя сигнатуры уже известного вредоносного программного обеспечения (ПО) для идентификации таких атак. Однако новое вредоносное ПО может избежать обнаружения до тех пор, пока сигнатуры его не распознают и не классифицируют как атаку, так как IDS ищет образцы один к одному, сравнивая сетевой трафик с данными атак для выбора образцов вторжения. Кроме того, в большинстве случаев IDS настраиваются на основе правил и выдают большое количество ошибочных сигналов тревоги.
Для увеличения производительности систем и защиты сетей от сетевых атак,
можно применять нейросети и теорию сбора данных (при условии обучения интеллектуального механизма от прошедших контролируемых данных, собранных системой IDS).
Целью этой статьи является описание исследования прохождения данных TCP/IP-трафика от существующей сети к сети, созданной на основе аномальности в порядке самообучения для идентификации DoS-атак. Основным методом является статистическое развитие прогноза предполагаемой нормы сетевого трафика, основанного на базовой модели, полученной от нормального трафика в этой сети. Данный прогноз сравнивается с деятельностью в реальном времени для того, чтобы указать возможные DoS-атаки.
Эксперимент в самообучающемся межсетевом экране. Рассмотрим результаты исследования, проведенного с использованием защиты Check Point Firewall-1, работающей на кластеризированной платформе UNIX [1].
Данные собраны в две стадии. На первой стадии образцы статистических данных были собраны с логов межсетевого экрана существующей сети, представляющих ежедневную фактическую деятельность сетевых протоколов за три месяца. Этот набор данных использовался для создания основной модели, состоящей из 2184 наблюдений, собранных на первой стадии. После создания такой модели следующий набор данных, собранных с логов этого же межсетевого экрана с изменениями контролируемой среды, был подготовлен в течении двух месяцев в 24-часовых наблюдениях, обеспечивая в общем 1416 наблюдений. Второй набор данных сравнивался с прогнозами основной модели для количественного анализа. Собранные данные состояли из деятельности различных протоколов, таких как TCP, IP, ICMP и UDP. Эти протоколы представляют главную часть стека протоколов TCP/IP, необходимых для Интернет-соединений и связей между ними, поэтому выборка данных была сделана на основе групп деятельности этих протоколов. Протоколы были проклассифицированы на основе направления трафика (т.е. входящий или выходящий трафик) и статуса пакета (разрешен к доступу или отклонен).
Так как исследование рассматривало взаимоотношение между логами образцов DoS-атак против сетевой работоспособности, единицей измерения было выбрано общее количество отклоненных пакетов за час.
Модель линейной регрессии была выбрана как прогнозирующий инструмент для оценки общего количества отклоненных пакетов, сформулированный как равенство выбранной деятельности протокола и статуса пакета (входящий или исходящий).
Результаты исследования. Рисунки 1а и 1b показывают общий образец, появляющийся в графах остаточного прогноза для двух методов. Рисунок 1а показывает TCP-трафик действующей сети до обучения за период 2 месяцев. Рисунок 1b иллюстрирует предполагаемое количество отклоненных пакетов, с использованием методов линейной регрессии (выделено светлым цветом) и Холта-Винтерса (выделено темным цветом). Периоды времени на этих рисунках очень важны.
Результат анализа аномалий (рисунок 1b) показывает два пика в образце отклоненных пакетов (оба пика отмечены прерывистой линией). Большой пик произошел в течение первого периода (т.е. с 27 апреля по 1 мая), и исследование контрольных логов межсетевого экрана не дало объяснения этому пику. Чередование роста и убы-
вания количества пакетов произошло во втором периоде (с 17 по 21 мая). При исследовании логов межсетевого экрана было обнаружено, что потеря данных возникла из-за ввода нового узла кластера межсетевых экранов.
Рисунок 1а - TCP-трафик действующей сети
Рисунок 1b - Количество отклоненных пакетов с использованием методов линейной регрессии и Холта-Винтерса
В результате исследований, проводившихся в сети Интернет в течение первого периода, был найден почтовый Интернет-червь, названный SASSER, распространившийся в течение данного периода, но отчет Интернет-сообществу пришел только 1 мая во второй половине дня [1]. SASSER атаковал межсетевой экран в течение почти 4 дней, прежде чем это было выявлено. Вирус SASSER использует уязвимость ОС Microsoft Windows, называемую Local Security Authority Subsystem Service (LSASS), которая впервые была обнаружена 26 апреля. Однако связь между уязвимостью LSASS и вирусом SASSER не была определена до 30 апреля. SASSER использует определенный порт ТСР для самораспространения (порты 445, 5554 и 9996), что соответствует
входящим ТСР-пакетам, принятым из сети Интернет через WAN-шлюз.
Учитывая, что в межсетевом экране применяется операционная система не на основе Microsoft Windows, это позволило блокировать запросы пакетов SASSER и не пропускать их во внутреннюю сеть (LAN). Поэтому результат атаки SASSER был ограничен наводнением сети большим количеством ТСР-пакетов, проходивших через шлюз к интерфейсу межсетевого экрана и впоследствии замедляющих работу всей сети. Данный случай - типичная сетевая DoS-атака, запущенная в случайном порядке с вирусом SASSER, который инфицирует систему Windows, используемую в любой сети и имеющую подключение к Интернету.
Алгоритм обратного распространения ошибки в обучении сети MLP. MLP (Многослойный персептрон) - тип нейронной сети, которая может быть создана из связанного набора узлов (нейронов) с многоуровневыми слоями, как показано на рисунке 2. Первый уровень - входной, на который подаются сигналы для обработки; далее следует промежуточный слой - скрытый уровень, где все связи преобразованы к следующему уровню, основанному на их весах; и заключительный слой - выходной уровень [2].
у _>- (1)
вых -net 1 ' '
Скрытый Входной уровень уровень
Рисунок 2 - Пример архитектуры нейронной сети с одним скрытым уровнем
В сети MLP для вычисления выхода (Y) с учетом входных данных нейронной сети используется функция гиперболического тангенса для всех скрытых нейронов. Выходной нейрон Yebix является суммой всех весов связей между скрытыми уровнями и выходным уровнем в сети [1, 3]:
(1 - e-net) (1 + e-net)'
где net - выходной узел (у), как функция входных узлов (х), которая может быть получена из суммирования весов, умноженных на значение входного сигнала, согласно следующей формуле [1, 4]:
У(х) = w0 .wXi , (2)
где: w0 - порог активации нейрона, w■, - весовой коэффициент связи /-го скрытого нейрона со входом нейрона х.
В данном исследовании входами сети MLP является количество пакетов за единицу времени (час) для каждого типа пакета, который прошел через межсетевой экран (например - TCP, IP, ICMP, UDP) независимо от статуса пакета (принят или отклонен). Выход нейронной сети MLP представлен общим количеством отклоненных пакетов за период времени (час).
На рисунке 3 представлен алгоритм обработки потока данных в пределах сети MLP с рекурсивной обработкой весов, которая используется для нахождения оптимального значения весов связи между узлами входа и выхода MLP.
Рисунок 3 - Общая структура алгоритма обратного распространения ошибки
в сети MLP
Минимизация ошибки работы многослойного персептрона и желаемый выход могут быть получены с помощью алгоритма обратного распространения, который использует различие между реальными выходными данными, полученными в результате обучения и предполагаемыми выходными значениями сети MLP, использующей значение среднеквадратичной погрешности (MSE) всех величин, задействованных в процессе обучения [1, 4]:
E=z :т {1 z J= (dj - yj ))
(3)
где:
Е - полная среднеквадратичная погрешность сети обучаемого /-го образца, / - индекс входного значения обучаемого образца,
- общее количество обучаемых образцов, включая все выходные данные и, } - индекс выходного значения обучаемого образца, и - выходные данные обучаемых образцов,
С - требуемое значение}-х выходных данных в /-м обучаемом образце, у - реальные выходные данные обучаемого образца.
Вывод. Данное исследование показало, что с точки зрения рационального управления сетью использование нейросетей достаточно эффективно при решении вопросов, связанных с защитой от сетевых атак. Вместо настройки администратором повышенного порога реагирования на атаку в правилах, модель пересчитывает значение порога на основании статистики отклоненных пакетов, регистрируемой в логах межсетевого экрана.
Список литературы:
1. Mohammed Salem, Helen Armstrong. Identifying DOS Attacks Using Data Pattern Analysis. - Australian Information Security Management Conference, 2008. - URL: http://ro.ecu.edu.au/ism/55
2. Костров Б.В., Ручкин В.Н., Богданова Е.А., Дунаева А.А. Анализ трафика в сетях с межсетевыми экранами: Математическое и программное обеспечение вычисли-
тельных систем: Межвуз. сб. научн. тр. / Под редакцией А.Н. Пылькина - Рязань (РГРТУ), 2011. - 120 с.
3. Злобин В.К., Ручкин В.Н. Нейросети и нейрокомпьютеры.- Санкт-Петербург: БХВ-Петербург, 2011. - 256 с.
4. Галушкин А.И. Нейрокомпьютеры и их применение. - М:ИПРЖР, 2000 - 528 с.
List of references:
1. Mohammed Salem, Helen Armstrong. Identifying DOS Attacks Using Data Pattern Analysis. -Australian Information Security Management Conference, 2008. - URL: http://ro.ecu.edu.au/ism/55
2. Kostrov B.V., Ruchkin V.N., Bogdanova E.A., Dunaeva A.A. Traffic analysis in the networks with firewalls: Mathematical and program support of computer system. - RSREU, 2011. - 120 p.
3. Zlobin V.K., Ruchkin V.N. Neuronets and neurocomputers. - St. Petersburg, 2011. - 256 p.
4. Galushkin A.I. Neurocomputers and their use.-Moscow, 2000-528pg.
УДК 771.534
А.С. Молчанов
начальник отделения, войсковая часть 15650, г. Ахтубинск
М.В. Музыря
старший инженер, войсковая часть 15650, г. Ахтубинск
М.А. Лозицкий
инженер, войсковая часть 15650, г. Ахтубинск
АНАЛИЗ СЕНСИТОМЕТРИЧЕСКОЙ АППАРАТУРЫ ДЛЯ ИСПЫТАНИЙ АЭРОФОТОМАТЕРИАЛОВ НА ОСНОВЕ ФОТОЧУВСТВИТЕЛЬНЫХ ПРИБОРОВ С ПЕРЕНОСОМ ЗАРЯДА
Аннотация. В статье рассмотрен анализ сенситометрической аппаратуры для испытаний аэрофотоматериалов на основе фоточувствительных приборов с переносом заряда и возможности их адаптации при проведении сенситометрических испытаний. Внедрение фоточувствительных приборов с переносом зарядов (ФППЗ) в аэрофотоаппараты упростило визуализацию получаемых изображений при сохранении возможности фотопечати цветных изображений на твердую копию. Для оценки аэрофотоматериалов на основе ФППЗ, также как и на основе AqHal, должны быть определены их сенситометрические характеристики, являющиеся основными параметрами, используемыми для оценки качества аэрофотоаппаратов.
Ключевые слова: сенситометр, испытания, оценка, аэрофотоаппарат, аэротоматериал.
A.S. Molchanov, head of the department, Military unit 15650, Akhtubinsk
M.V. Muzyrya, senior engineer, Military unit 15650, Akhtubinsk
M.A. Lozitsky, engineer, Military unit 15650, Akhtubinsk
SENSITOMETRIC ANALYSIS EQUIPMENT FOR TESTING ON THE BASIS OF AERIAL
PHOTOGRAPHS OF PHOTOSENSITIVE DEVICES WITH CHARGE TRANSFER
