Секция «Информационнаябезопасность»
УДК 004.056
АНАЛИЗ СЕТЕВОГО ТРАФИКА С ИСПОЛЬЗОВАНИЕМ НЕЙРОННОЙ СЕТИ
И ВЫЯВЛЕНИЕ DOS-АТАКИ
А. В. Сидоров
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева
Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: tolyasidk26@gmail.com
Описывается анализ сетевого трафика с использованием нейронной сети и выявления DoS-атаки. Представленные этапы проектирования нейронной сети для систем обнаружения вторжений позволяют эффективно выявлять DoS-атаку в компьютерной сети.
Ключевые слова: компьютерные сети, нейронные сети, межсетевой экран, сетевой трафик, сетевая атака, DoS
NETWORK TRAFFIC ANALYSIS USING NEURAL NETWORK AND DOS-ATTACK DETECTION
A. V. Sidorov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: tolyasidk26@gmail.com
The article describes the network traffic analysis using a neural network and DoS-attack detection. The presented stages of designing a neural network for intrusion detection systems make it possible to effectively detect DoS-attack in a computer network.
Keywords: computer networks, neural networks, firewall, network traffic, network attack, DoS
В современных компьютерных сетях обеспечить защиту от DoS-атак практически 100% невозможно. Обычно для защиты компьютерной сети используют межсетевые экраны. Однако в их использовании возникают трудности, поскольку возникают проблемы с определением легитимности сетевых пакетов в момент проведения сетевой атаки злоумышленниками. Это широко распространено в больших компьютерных сетях, где ведется работа с большим потоком сетевого трафика. Тогда в таком случае используют систему обнаружения вторжений (Intrusion Detection System), которая анализирует сетевой трафик с использованием базы сигнатур уже известных сетевых атак.
Такая система не является эффективной, поскольку она использует алгоритмы определения легитимности сетевых пакетов, которые основываются на уже заранее заданных правилах и система не способна адаптировать эти правила для определения новых, ранее неизвестных сетевых атак [1]. В таком случае предлагается создать многослойную нейронную сеть в качестве дополнения к системе обнаружения вторжений, которая с помощью метода эвристического анализа могла обнаруживать новые сетевые атаки или любую другую активность, которая не может быть определена сигнатурой баз данных.
Для решения поставленной задачи предлагается разработать многослойную нейронную сеть, состоящую из трех слоев: входной, скрытый и выходной [2]. Для разработки нейронной сети используется компонент Neural Network Toolbox из программного продукта MATLAB версии 8.6 (R2015b). В качестве вспомогательного компонента для обучения и тестирования нейронной сети
Актуальные проблемы авиации и космонавтики - 2019. Том 2
можно использовать общедоступная база NSL-KDD уже с готовым набором данных легальных сетевых соединений и сетевых пакетов [3].
Нейронная сеть состоит из пяти нейронов на входном слое, одного скрытого слоя, тридцати нейронов на скрытом слое и двух нейронов на выходном слое, имеющих соответствия нормального состояния сети и состояния сети, при котором производились сетевая атака злоумышленниками.
Набор данных для нейронной сети разделен на три группы: training (для обучения), validation (для определения оптимального состояния систем), testing (для тестирования). 70% данных использовано для обучения, 15% - для определения оптимального состояния системы, 15% - для тестирования.
Обучение нейронной сети происходит в несколько этапов [4]:
1. на входной слой подаются данные, полученные в процессе анализа сетевого трафика;
2. происходит обработка данных и выделение признаков;
3. использование признаков в процессе обучения нейронной сети с «учителем»;
4. происходит расчет и корректировка весовых коэффициентов;
5. происходит расчет порогового значения;
6. происходит расчет значения выходного слоя;
7. вынесение результата принятия решения о том, содержит ли трафик признаки сетевой атаки или же сетевой трафик является «нормальным»;
8. происходит запись результата в базу данных;
9. вывод результата в интерфейс администратора;
Процесс обучения нейронной сети происходит до тех пор, пока идёт поступление входных данных в нейронную сеть. Под «учителем» подразумеваются данные, взятые в процессе обучения из базы сигнатур NSL-KDD, которые содержат в себе признаки сетевой атаки.
Тестирование нейронной сети происходит в несколько этапов [4]:
1) на входной слой подаются данные, которые были получены в процессе анализа сетевого трафика;
2) происходит обработка данных и выделение признаков;
3) производится расчет значения выходного слоя;
4) вынесение результата принятия решения о том, содержит ли трафик признаки сетевой атаки или же сетевой трафик является «нормальным»;
5) происходит запись результата в базу данных;
6) вывод результата в интерфейс администратора;
Рассмотренный в статье способ реализации нейронной сети, её обучения и тестирования показывает, что, при анализе сетевого трафика и последующего выявления сетевой атаки, использование нейронной сети в совокупности с системой обнаружения вторжений является наиболее эффективным решением для защиты компьютерных сетей от несанкционированных действий злоумышленников.
Библиографические ссылки
1. Управление информационной безопасностью. Часть II. Управление инцидентами информационной безопасности : Учебное пособие для студентов очной формы обучения, обучающихся по направлениям 090900.68, 090302.65, 090303.65, 230100.68, 230200.68 / сост. М.Н. Жукова, В. Г. Жуков, В.В. Золотарев ; Сиб. гос. аэрокосмич. ун-т. - Красноярск, 2011. С. 50-86.
2. Мустафаев А. Г., Нейросетевая система обнаружения компьютерных атак на основе анализа сетевого трафика // Вопросы безопасности. 2016. № 2. С. 1-7 (дата обращения: 14.03.2019).
3. NSL-KDD dataset [Электронный ресурс]. URL: https://www.unb.ca/cic/datasets/nsl.html (дата обращения: 15.03.2019).
4. Зинкевич А. В., Система обнаружения вторжений с использованием нейронной сети для анализа данных // Электронное научное издание «Ученые заметки ТОГУ». 2017. № 4. С. 514-519 (дата обращения: 16.03.2019).
© Сидоров А. В., 2019