CC BY
3
2015.
5. UNWTO Tourism Higlights, 2016 edition / The World Tourism Organization -
2016.
УДК 681.324
Абдурахманов Р.П.
доцент ТУИТ
Россия, г. Ташкент ИСПОЛЬЗОВАНИЕ АППАРАТА НЕЙРОННЫХ СЕТЕЙ В СИСТЕМАХ СЕТЕВОЙ БЕЗОПАСНОСТИ
Аннотация
В данной работе рассмотрена возможность применения аппарата нейронных сетей для задач классификации мультимедийного трафика в телекоммуникационных сетях. Для реализации одноклассового классификатора был выбран многослойный перцептрон. При исследовании современных атак на транспортном и/или межсетевом уровне сети, были выбраны следующие признаки: тип протокола, характеристики фрагментации, TTL, ToS, количество отправленных/полученных байт, IP-опции, корректность CRC, код и тип ICMP-сообщения, TCP-сессий продолжительность, количество флагов в сессии, менялся ли размер окна и другие.
Ключевые слова: классификация IP-трафика, P2P-трафик, критерии оценки, система обнаружения вторжений, одноклассовый классификатор, многослойный перцептрон.
Abdurakhmanov R.P.
Tashkent University of Information Technologies, Tashkent USE OF THE NEURAL NETWORK DEVICE IN NETWORK SECURITY SYSTEMS
Annotation
In this paper, we consider the possibility of using the apparatus of neural networks for the tasks of classifying multimedia traffic in telecommunication networks. For the implementation of a class classifier, a multilayer perceptron was selected. When examining modern attacks at the transport and / or network level of the network, the following characteristics were selected: protocol type, fragmentation characteristics, TTL, ToS, number of sent / received bytes, whether the broadcast, IP options, correctness of the CRC, code and type of ICMP-Messages, TCP sessions-duration, number of flags in the session, whether the window size was changing and others.
Key words: classification of IP traffic, P2P traffic, evaluation criteria, intrusion detection system, one-class classifier, multi-layer perceptron.
Обнаружение сетевых атак является в данный момент одной из наиболее острых проблем сетевых технологий. Эпидемии сетевых червей, DDoS атаки, автоматизированные средства поиска уязвимостей в сетях - все это делает обеспечение безопасности локальных сетей весьма трудоемким делом. В настоящее время практически все сети снабжены такими активными средствами предупреждения атак как антивирус, брандмауэр, системы предупреждения вторжений уровня хоста и так далее. Однако одних активных средств отражения атак недостаточно. Поэтому, в дополнение к ним активно применяют пассивные средства борьбы с атаками - сетевые системы обнаружения вторжений. Сетевые системы обнаружения вторжений (Network-based IDS, NIDS) осуществляют просмотр всего сетевого трафика (или трафик определенного участка сети) и при обнаружении каких-либо отклонений в нем сигнализируют об этом. Формальные NIDS работают по принципу антивирусной программы-пакеты, попадающие на сенсоры, сравниваются с БД сигнатур и, в случае обнаружения совпадения, объявляется тревога. К сожалению, даже формальных NIDS становится недостаточно для надежной защиты сети. По данным CERT в среднем, каждый день появляется порядка 70 новых атак. Физически невозможно обновлять БД сигнатур формальных NIDS за такие промежутки времени. Кроме того, увеличение объема сигнатур отрицательно сказывается на производительности систем. Решением этой проблемы является применение систем обнаружения вторжений на основе выявления аномальной активности или эвристических NIDS. На данный момент существует достаточно большое количество эвристических NIDS, работающих на прикладном уровне OSI. В области обнаружения вторжений на сетевом/транспортном уровнях до сих пор не предложено ни одной системы, способной работать в реальном времени. В данной работе предлагается сетевая система обнаружения вторжений на сетевом/транспортном уровнях. Для решения данной задачи необходимо провести анализ архитектуры современных систем обнаружения вторжений, их классификацию, а также исследование и анализ существующих моделей, методов и систем эвристического обнаружения вторжений, выбор основных критериев оценки эвристических методов обнаружения вторжений, оценка существующих методов и систем.
Система обнаружения вторжений (Intrusion Detection System, IDS) -программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть, либо несанкционированного управления ими. Современные методы обнаружения вторжений базируются на двух принципах: сигнатурный (формальный, описывающий каждую атаку особой моделью или сигнатурой); эвристический (обнаружение аномалий, базирующийся не на моделях информационных атак, а на моделях штатного функционирования наблюдаемой информационной системы).
NIDS можно разделить на два класса систем - системы работающие на
уровне приложений модели OSI (обнаруживают вторжения на основе анализа поля данных пакета) и системы, работающие на сетевом/транспортном уровне модели OSI.
Можно выделить следующие наиболее важные критерии оценки эффективности работы эвристических IDS (HNIDS):
1. CR - количество корректно распознанных аномальных и нормальных пакетов; здесь также будет корректно предположить, что любые атаки обычно не входят в нормальный трафик сети и классифицируются как аномальные;
2. FP (False Positive, ложная тревога) - количество нормальных пакетов принятых за аномальные;
3. PPs (Packet per second, пакетооборот) - максимальное количество пакетов, которое система может обработать за 1 секунду на этапе тестирования;
4. ^ (устойчивость системы) - процент отрицательных векторов в обучающей выборке при котором система начинает работать нестабильно;
5. FN (False Negative) - количество аномальных пакетов, принятых за нормальные.
В условиях реальных современных сетей на применение HNIDS накладываются особые требования, связанные с высокими уровнями трафика. Во-первых, скорость этапа тестирования имеет наивысший приоритет. Во-вторых, при проверке большого количества пакетов в секунду, любая FP генерирует сообщение в журналах анормальностей. Если значение FP системы достаточно велико, то журналы системы очень быстро заполнятся ошибками распознавания и восприятие человеком настоящих аномалий в этом шуме будет сильно затруднено.
Другой важный момент заключается в том, что мы изначально не сможем разделить тренировочные данные на нормальные и аномальные . То есть, тренировочная выборка либо может состоять целиком из данных, которые мы считаем положительными (или отрицательными), либо считается, что тренировочная выборка - смешанная.
На основании проведенного обзора, можно сделать следующие выводы:
- ни одна из рассмотренных систем или моделей не способна работать в сетях с высоким уровнем трафика из-за больших значений FP;
- рассмотренные методы не предназначены для работы с большими объемами обучающих выборок;
- время обучения является слишком большим и не подходит для реальных условий;
- большинство моделей рассчитаны на обнаружение только узкого класса атак и не способны к обнаружению других аномалий.
В результате анализа способов вторжений, а также исследования современных атак на транспортном и/или межсетевом уровне сети, были выбраны следующие признаки, которые будут извлекаться из трафика для
пакетов или сессий:
- Общие: протокол, характеристики фрагментации, TTL, ToS, количество отправленных/полученных байт, является ли широковещательным, IP-опции, корректность CRC и др;
- ICMP-пакетов: код и тип ICMP-сообщения;
- UDP-пакетов и TCP-сессий: сервис, land (равен ли порт клиента порту серверу);
- TCP-сессий: продолжительность, количество флагов в сессии, менялся ли размер окна, встречался ли нулевой sequence, количество пакетов, количество сессий у того же сервиса, отношения отправленных/полученных к общему количеству байт сессии, количество байт под опции TCP, тип и версия ОС инициатора сессии, MSS и др.
Всего было выделено 45 признаков вторжений, которые составили вектор признаков для эвристического обнаружения вредоносной или аномальной активности. Для выработки закономерностей признаков вторжений необходимо применять методы кластеризации или классификации с обучением на одном классе. Для реализации одноклассового классификатора был выбран многослойный перцептрон (искусственная нейронная сеть прямого распространения ,ИНС) с ш входными нейронами, h нейронами скрытого слоя и т выходными нейронами, при этом скрытый слой имеет сигмоидальную функцию активации, выходной - линейную. Для его обучения по методу обратного распространения была использована обучающая выборка Хп вида ..., (хп, хп).
Три основных параметра, которые напрямую влияют на эффективность работы такого одноклассового классификатора, это:
- h - количество нейронов скрытого слоя напрямую влияет на объем т.н. «памяти» нейросети;
- ^ - коэффициент скорости обучения (LR, learning rate), влияет как на скорость обучения, так и на эффективность «запоминания»;
- ^ - коэффициент инерционности (LM, Learning Momentum), влияющий как на скорость обучения, так и на качество обучения.
Результаты проведенных экспериментальных исследований показали, что предложенная модель сетевой системы обнаружения вторжений с использованием одноклассового классификатора на базе искусственной нейронный сети является весьма конкурентоспособной не только на положительном, так и на смешанном трафике и после обучения, способна обнаруживать вторжения и нехарактерные явления в трафике сети.
Использованные источники:
1. Шыхалиев Р.Г. Институт Информационных Технологий НАНА, Баку, Азербайджан
2. И. В. Заенцев. Нейронные сети: основные модели Описание возможностей DPI систем. http://nag.ru/articles/article/ 22432/dpi.html
3. Didelet E., Dubuisson B., Stern D. "A Neural Technique Approach to Network
Traffic Management", ITC 14, pp.1321-1330.
УДК 681.324
Абдурахманов Р.П.
доцент ТУИТ
Россия, г. Ташкент КОНТРОЛЬ СЕТЕВОГО ТРАФИКА С ПОМОЩЬЮ ГЛУБОКОГО
АНАЛИЗА ПАКЕТА
Аннотация
В работе рассмотрены вопросы контроля трафика и проблемы сетевых операторов, возникающие с особенностями мультимедийного трафика.
Показано, что одним из решений данной задачи является управление трафиком клиентов на уровне приложений с использование технологии глубокой инспекции пакетов DPI, которая позволяет с помощью эвристического или сигнатурного анализа определять трафик различных приложения.
Ключевые слова : глубокий анализ пакета , классификация трафика, контроль трафика, защита трафика, сетевая безопасность.
Abdurakhmanov R.P.
Tashkent University of Information Technologies, Tashkent MONITORING NETWORK TRAFFIC USING DEEP PACKET
ANALYSIS Annotation
In this paper, the issues of traffic control and the problems of network operators that arise with the peculiarities of multimedia traffic are considered.
It is shown that one of the solutions of this task is the management of client traffic at the application level using the technology of deep inspection of DPI packets, which allows using heuristic or signature analysis to determine the traffic of various applications.
Keywords: deep packet analysis, traffic classification, traffic control, traffic protection, network security.
Телекоммуникационная отрасль по всему миру стремительно развивается и находится в процессе постоянной конвергенции наследованных и новых сетевых услуг к общей IP-инфраструктуре. И хотя глобальные IP-сети создали огромные возможности для пользователей, для роста и трансформации бизнеса, они также привели к возникновению новых проблем для поставщиков услуг, работающих с этими сетями. Одна из таких насущных проблем для поставщиков инфокоммуникационных услуг — умение контролировать трафик в своей сети.
Так, например, по прогнозам Cisco темпы роста сетевого трафика
