отдельной функции, он должен только обеспечивать передачу данных в ядро TTY, где происходит буферизация данных. Таким образом драйверу нет необходимости организовывать логику буферизации. Передача данных в ядро TTY может происходить в контексте прерывания. Для отправки данных ядру необходимо вызвать функцию tty_msert_flip_char, аргументами её являются указатель на struct tty_port и значение флага. Если был получен обычный символ, то флаг должен иметь значение TTY_NORMAL, а если произошла ошибка при передаче, оно должно быть установлено в TTY_BREAK, TTY_FRAME, TTY_PARITY или TTY_OVERRUN. Для проталкивания информации пользователю после считывания данных необходимо вызывать функцию tty_flip_buffer_push.
Используя данные рекомендации можно создать собственный драйвер последовательного порта, а изучив подробнее тему вопроса и руководство для конкретного устройства возможно разработать функции для более полного управления устройством.
Данная статья предназначена для людей уже имеющих представление о разработке драйверов для Linux, но возможно она будет полезна и тем, кто только начинает изучать данную область компьютерных технологий.
Использованные источники:
1. Корбет Д. Драйверы Устройств Linux, Третья Редакция [Текст]/ Д. Корбет, А. Рубини, Г. Кроах-Хартман. - Sebastopol: O'Reilly, 2005 .-636c.
2. The Linux Kernel API [Электронный ресурс] URL: https://www.kernel.org/doc/htmldocs/kernel-api/ (Дата обращения 13.04.2017)
Кувшинов Н.Е.
инженер научно-исслед. лаборатории «ФХПЭ» Казанский государственный энергетический университет
Галяутдинов А.А. студент ИКТЗИ
Казанский национальный исследовательский технический
университет имени А.Н. Туполева - КАИ
Россия, г. Казань ИСПОЛЬЗОВАНИЕ АППАРАТА НЕЙРОННЫХ СЕТЕЙ В СИСТЕМАХ СЕТЕВОЙ БЕЗОПАСНОСТИ Аннотация В данной работе рассмотрена возможность применения аппарата нейронных сетей для задач классификации мультимедийного трафика в телекоммуникационныхсетях. Для реализации одноклассового классификатора был выбран многослойный перцептрон. При исследовании современных атак на транспортном и/или межсетевом уровне сети, были выбраны следующие признаки: тип протокола, характеристики фрагментации, TTL, ToS, количество отправленных/полученных байт, IP-опции, корректность CRC, код и тип ICMP-сообщения, TCP-сессий продолжительность, количество флагов в сессии, менялся ли размер окна и другие.
Ключевые слова: классификация IP-трафика, P2P-трафик, критерии оценки, система обнаружения вторжений, одноклассовый классификатор, многослойный перцептрон.
Kuvshinov N.E., engineer laboratory "FHPE" Kazan State Power Engineering University
Russia, Kazan
USE OF THE NEURAL NETWORK DEVICE IN NETWORK SECURITY SYSTEMS
In this paper, we consider the possibility of using the apparatus of neural networks for the tasks of classifying multimedia traffic in telecommunication networks. For the implementation of a class classifier, a multilayer perceptron was selected. When examining modern attacks at the transport and / or network level of the network, the following characteristics were selected: protocol type, fragmentation characteristics, TTL, ToS, number of sent / received bytes, whether the broadcast, IP options, correctness of the CRC, code and type of ICMP-Messages, TCP sessions-duration, number of flags in the session, whether the window size was changing and others.
Key words: classification of IP traffic, P2P traffic, evaluation criteria, intrusion detection system, one-class classifier, multi-layer perceptron.
Обнаружение сетевых атак является в данный момент одной из наиболее острых проблем сетевых технологий. Эпидемии сетевых червей, DDoS атаки, автоматизированные средства поиска уязвимостей в сетях - все это делает обеспечение безопасности локальных сетей весьма трудоемким делом. В настоящее время практически все сети снабжены такими активными средствами предупреждения атак как антивирус, брандмауэр, системы предупреждения вторжений уровня хоста и так далее. Однако одних активных средств отражения атак недостаточно. Поэтому, в дополнение к ним активно применяют пассивные средства борьбы с атаками - сетевые системы обнаружения вторжений. Сетевые системы обнаружения вторжений (Network-based IDS, NIDS) осуществляют просмотр всего сетевого трафика (или трафик определенного участка сети) и при обнаружении каких-либо отклонений в нем сигнализируют об этом. Формальные NIDS работают по принципу антивирусной программы-пакеты, попадающие на сенсоры, сравниваются с БД сигнатур и, в случае обнаружения совпадения, объявляется тревога. К сожалению, даже формальных NIDS становится недостаточно для надежной защиты сети. По данным CERT в среднем, каждый день появляется порядка 70 новых атак. Физически невозможно обновлять БД сигнатур формальных NIDS за такие промежутки времени. Кроме того, увеличение объема сигнатур отрицательно сказывается на производительности систем. Решением этой проблемы является применение систем обнаружения вторжений на основе ыявления
аномальной активности или эвристических NIDS. На данный момент существует достаточно большое количество эвристических NIDS,
работающих на прикладном уровне OSI. В области обнаружения вторжений на сетевом/транспортном уровнях до сих пор не предложено ни одной системы, способной работать в реальном времени. В данной работе предлагается сетевая система обнаружения вторжений на сетевом/транспортном уровнях. Для решения данной задачи необходимо провести анализ архитектуры современных систем обнаружения вторжений, их классификацию, а также исследование и анализ существующих моделей, методов и систем эвристического обнаружения вторжений, выбор основных критериев оценки эвристических методов обнаружения вторжений, оценка существующих методов и систем.
Система обнаружения вторжений (Intrusion Detection System, IDS) -программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть, либо несанкционированного управления ими. Современные методы обнаружения вторжений базируются на двух принципах: сигнатурный (формальный, описывающий каждую атаку особой моделью или сигнатурой); эвристический (обнаружение аномалий, базирующийся не на моделях информационных атак, а на моделях штатного функционирования наблюдаемой информационной системы).
NIDS можно разделить на два класса систем - системы работающие на уровне приложений модели OSI (обнаруживают вторжения на основе анализа поля данных пакета) и системы, работающие на сетевом/транспортном уровне модели OSI.
Можно выделить следующие наиболее важные критерии оценки эффективности работы эвристических IDS (HNIDS):
1. CR - количество корректно распознанных аномальных и нормальных пакетов; здесь также будет корректно предположить, что любые атаки обычно не входят в нормальный трафик сети и классифицируются как аномальные;
2. FP (False Positive, ложная тревога) - количество нормальных пакетов принятых за аномальные;
3. PPs (Packet per second, пакетооборот) - максимальное количество пакетов, которое система может обработать за 1 секунду на этапе тестирования; 4. ^ (устойчивость системы) - процент отрицательных векторов в обучающей выборке при котором система начинает работать нестабильно;
5. FN (False Negative) - количество аномальных пакетов, принятых за нормальные.
В условиях реальных современных сетей на применение HNIDS накладываются особые требования, связанные с высокими уровнями трафика. Во-первых, скорость этапа тестирования имеет наивысший приоритет. Во-вторых, при проверке большого количества пакетов в секунду, любая FP генерирует сообщение в журналах анормальностей. Если значение FP системы достаточно велико, то журналы системы очень быстро
заполнятся ошибками распознавания и восприятие человеком настоящих аномалий в этом шуме будет сильно затруднено.
Другой важный момент заключается в том, что мы изначально не сможем разделить тренировочные данные на нормальные и аномальные . То есть, тренировочная выборка либо может состоять целиком из данных, которые мы считаем положительными (или отрицательными), либо считается, что тренировочная выборка - смешанная.
На основании проведенного обзора, можно сделать следующие выводы:
- ни одна из рассмотренных систем или моделей не способна работать в сетях с высоким уровнем трафика из-за больших значений FP;
- рассмотренные методы не предназначены для работы с большими объемами обучающих выборок;
- время обучения является слишком большим и не подходит для реальных условий;
- большинство моделей рассчитаны на обнаружение только узкого класса атак и не способны к обнаружению других аномалий.
В результате анализа способов вторжений, а также исследования современных атак на транспортном и/или межсетевом уровне сети, были выбраны следующие признаки, которые будут извлекаться из трафика для пакетов или сессий:
- Общие: протокол, характеристики фрагментации, TTL, ToS, количество отправленных/полученных байт, является ли широковещательным, IP-опции, корректность CRC и др;
- ICMP-пакетов: код и тип ICMP-сообщения;
- UDP-пакетов и TCP-сессий: сервис, land (равен ли порт клиента порту серверу);
- TCP-сессий: продолжительность, количество флагов в сессии, менялся ли размер окна, встречался ли нулевой sequence, количество пакетов, количество сессий у того же сервиса, отношения отправленных/полученных к общему количеству байт сессии, количество байт под опции TCP, тип и версия ОС инициатора сессии, MSS и др.
Всего было выделено 45 признаков вторжений, которые составили вектор признаков для эвристического обнаружения вредоносной или аномальной активности. Для выработки закономерностей признаков вторжений необходимо применять методы кластеризации или классификации с обучением на одном классе. Для реализации одноклассового классификатора был выбран многослойный перцептрон (искусственная нейронная сеть прямого распространения ,ИНС) с т входными нейронами, h нейронами скрытого слоя и т выходными нейронами, при этом скрытый слой имеет сигмоидальную функцию активации, выходной - линейную. Для его обучения по методу обратного распространения была использована обучающая выборка Хп вида (х1, х1), ..., (хп, хп).
Три основных параметра, которые напрямую влияют на эффективность работы такого одноклассового классификатора, это:
- h - количество нейронов скрытого слоя напрямую влияет на объем т.н. «памяти» нейросети;
- ^ - коэффициент скорости обучения (LR, learning rate), влияет как на скорость обучения, так и на эффективность «запоминания»;
- ß - коэффициент инерционности (LM, Learning Momentum), влияющий как на скорость обучения, так и на качество обучения.
Результаты проведенных экспериментальных исследований показали, что предложенная модель сетевой системы обнаружения вторжений с использованием одноклассового классификатора на базе искусственной нейронный сети является весьма конкурентоспособной не только на положительном, так и на смешанном трафике и после обучения, способна обнаруживать вторжения и нехарактерные явления в трафике сети.
Использованные источники: 1. Шыхалиев Р.Г. Институт Информационных Технологий НАНА, Баку, Азербайджан
УДК 681.324
Кувшинов Н.Е.
инженер научно-исслед. лаборатории «ФХПЭ» Казанский государственный энергетический университет
Галяутдинов А.А. студент ИКТЗИ
Казанский национальный исследовательский технический
университет имени А.Н. Туполева - КАИ
Россия, г. Казань
КОНТРОЛЬ СЕТЕВОГО ТРАФИКА С ПОМОЩЬЮ ГЛУБОКОГО
АНАЛИЗА ПАКЕТА
Аннотация. В работе рассмотрены вопросы контроля трафика и проблемы сетевых операторов, возникающие с особенностями мультимедийного трафика. Показано, что одним из решений данной задачи является управление трафиком клиентов на уровне приложений с использование технологии глубокой инспекции пакетов DPI, которая позволяет с помощью эвристического или сигнатурного анализа определять трафик различных приложения.
Ключевые слова : глубокий анализ пакета, классификация трафика, контроль трафика, защита трафика, сетевая безопасность.
Kuvshinov N.E., engineer laboratory "FHPE" Kazan State Power Engineering University
Russia, Kazan