CC BY
165
УДК 004.891.3
А. С. Катасёв, Д. В. Катасёва, А. П. Кирпичников
НЕЙРОСЕТЕВАЯ ДИАГНОСТИКА АНОМАЛЬНОЙ СЕТЕВОЙ АКТИВНОСТИ
Ключевые слова: нейронная сеть, аномальная сетевая активность, информационная безопасность.
В работе описывается технология применения нейронных сетей для решения задачи диагностики аномальной сетевой активности. Предлагается методика сбора данных о сетевой активности и формирования обучающей выборки. Выделяются параметры сетевых пакетов, значения которых совместно со значениями признака сетевой активности составляют выборку для обучения нейронной сети. Предлагается структура, производится обучение нейронной сети, оценивается ее адекватность и классифицирующая способность. Показывается возможность эффективного использования нейросетевой модели в составе интеллектуальной системы диагностики аномальной сетевой активности.
Keywords: neural network, anomalous network activity, information security.
This paper describes the technology of neural networks application to solve the problem of abnormal network activity diagnosis. Offers the data acquisition method about network activity and the formation of the training sample. The network packets parameters are allocated whose values together with the values of the characteristic of network activity constitute the sample for neural network training. Offered the structure of neural network, trained this neural network, estimated its value and classifies ability. Shows the possibility of the effective use of neural network model composed of intelligent system of abnormal network activity diagnosis.
В настоящее время важной задачей в области обеспечения информационной безопасности является обнаружение атак на компьютерные системы и сети. Успешно реализованная компьютерная атака может привести к потере информации, несанкционированному использованию информационных ресурсов, искажению критически важных данных. Это актуализирует необходимость разработки и использования эффективных методов и средств обнаружения сетевых атак для защиты информации в компьютерных системах и сетях.
Под системой обнаружения атак обычно понимают программное, аппаратное или программно-аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть, либо несанкционированного управления ими [8]. Системы обнаружения атак используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения. Примером сетевой атаки является сканирование портов компьютера с целью выявления уязвимостей, используемых для получения несанкционированного доступа.
Существует большое число методов реагирования на сетевую атаку. Все они требуют точности для своевременной ее идентификации. Преобладание распределенных сетевых систем и незащищенных сетей, таких как Internet, значительно актуализировали необходимость разработки и совершенствования систем обнаружения атак.
Все сетевые атаки можно свести к аномалиям и злоупотреблениям. При обнаружении аномалий идентифицируется деятельность, которая отличается от шаблонов, установленных для пользователей. При этом, как правило, создается база данных, содержащая профили контролируемой деятельности.
Обнаружение злоупотреблений включает сравнение деятельности пользователя с известными шаблонами поведения злоумышленника, пытающегося проникнуть в систему. При этом, если при обнаружении аномалий, как правило, используется мониторинг пороговой величины для определения достижения определенного установленного предела, то методы обнаружения злоупотреблений часто используют подход на основе правил, описывающих сценарии атак. Механизм обнаружения идентифицирует потенциальные атаки в случае, если действия пользователя совпадают с установленными правилами. Наличие исчерпывающих баз знаний с такими правилами является наиболее важным аспектом для систем обнаружения атак. Такие системы требуют постоянного обновления баз знаний для того, чтобы оставаться актуальными. Они часто неспособны обнаруживать сценарии атак, которые могут иметь место в течение продолжительного периода времени. Незначительные вариации в последовательности действий при атаке могут повлиять на процесс сравнения «деятельность-правило» до такой степени, что атака не обнаруживается.
Изменяющаяся природа сетевых атак требует разработки гибкой адаптивной системы защиты, которая способна анализировать большое количество сетевого трафика с постоянно меняющимися условиям сетевой активности. Альтернативой систем, основанных на правилах, являются нейронные сети [9]. В отличие от экспертных систем [1], которые могут дать пользователю определенный ответ, соответствуют или нет рассматриваемые характеристики атаки характеристикам, заложенным в базе знаний, нейронная сеть проводит анализ информации и предоставляет возможность оценить, что анализируемые данные согласуются с характеристиками, которые она научена распознавать [6].
Рассмотрим свойства нейронных сетей, определяющие их достоинства при обнаружении сетевых атак [3]:
1) гибкость нейронной сети (сеть способна анализировать данные сетевого трафика в условиях их искажения или неполноты);
2) быстрая скорость обработки информации (поскольку защита вычислительных ресурсов требует оперативной идентификации атак, скорость обработки в нейронной сети может быть достаточной для реагирования в реальном режиме времени на проводимые атаки до того, как в системе появятся непоправимые повреждения);
3) возможность прогнозирования (выходные данные нейронной сети могут интерпретироваться в форме вероятности, что предоставляет возможность прогнозирования дальнейшего развития атаки; нейросетевая система обнаружения вторжений может определять вероятность того, что отдельное событие либо серия событий указывают на атаку, и провести защитные мероприятия прежде, чем атака будет успешно реализована);
4) способность анализировать характеристики умышленных атак и идентифицировать элементы, которые не похожи на те, что наблюдались в сети при ее обучении (нейронная сеть может быть обучена распознавать известные подозрительные события с высокой степенью точности, а также может использовать эти знания для идентификации атак, которые неточно соответствуют характеристикам предыдущих вторжений).
В данной работе исследуется возможность и эффективность применения нейронной сети для диагностики аномальной сетевой активности [7]. Активность сети искусственно моделируется путем сканирования портов локального компьютера с удаленной машины. Такие атаки могут быть реализованы различными сканерами безопасности для определения уязвимостей атакуемого хоста.
Для сбора данных сетевой активности и формирования обучающей выборки для нейронной сети разработана следующая методика:
1) выделение сегмента локальной сети;
2) установка программного обеспечения;
3) мониторинг сети в условиях нормальной сетевой активности;
4) мониторинг сети в условиях аномальной сетевой активности;
5) обработка данных и формирование обучающей выборки.
На первом этапе методики выбирается сегмент локальной сети, внутри которого будет производиться сбор данных о сетевой активности. Для этого нужны два компьютера, имеющие выход в локальную сеть. Первый компьютер используется в качестве «жертвы». На нем установлен анализатор сетевого трафика. На втором компьютере установлен сканер безопасности для сканирования портов первого хоста и, таким образом, моделирующий аномальную сетевую активность.
На втором этапе методики производится установка программного обеспечения, необходимого для сбора и анализа сетевого трафика, а также для моделирования аномальной сетевой активности.
Третий этап предназначен для сбора данных нормальной сетевой активности. В этом случае ис-
пользуется только первый компьютер, на базе которого производится мониторинг сети. Данные о сетевых пакетах сохраняются в специальный лог-файл. В дальнейшем эта информация используется для формирования обучающей выборки.
На четвертом этапе применяется второй компьютер, на котором установлен сканер безопасности, моделирующий атаки для аномальной сетевой активности. Сниффер первого компьютера анализирует перехватываемые пакеты и собирает данные об аномальной сетевой активности, которые также включаются в обучающую выборку.
Пятый этап служит для обработки данных и формирования обучающей выборки. Обработка требуется для приведения данных к виду, пригодному для обучения нейронной сети.
Рассмотрим применение описанной методики для сбора данных и формирования обучающей выборки для нейронной сети. Для мониторинга сети в условиях нормальной сетевой активности требуется наличие одного компьютера, подключенного к локальной вычислительной сети (см. рис. 1).
IP-1
Iris (анализатор сетевого трафика)
Рис. 1 - Схема мониторинга сегмента локальной сети в условиях нормальной сетевой активности
Установленный на компьютере сетевой анализатор производит перехват и анализ сетевого трафика с целью определения следующих параметров: время получения пакета, его протокол (TCP-пакет, UDP--пакет, ARP-пакет и др.), порт источника и получателя пакета, а также размер данных в пакете. В результате работы сетевого анализатора формируется специальный файл, в котором представлены значения параметров пакетов следующего вида:
Timestamp, Protocol, Source port, Dest port, Size 12:29:39:312, TCP -> HTTP (....S), 4954, 80, 62 12:29:39:484, TCP -> HTTP (.A.R..), 80, 4954, 60 12:29:39:953, TCP -> HTTP (....S), 4954, 80, 62 12:29:40:125, TCP -> HTTP (.A.R..), 80, 4954, 60 12:29:40:515, ARP -> Request,---,---,42 12:29:40:515, ARP -> Reply,---,---,60
Полученные данные формируют статистику нормальной сетевой активности, которая в дальнейшем войдет в обучающую выборку.
Для сбора данных аномальной сетевой активности требуется наличие двух компьютеров, подключенных к сети, как показано на рисунке 2.
Iris XSpider
(анализатор (сканер
сетевого безопасности)
трафика)
Рис. 2 - Схема мониторинга сегмента локальной сети в условиях аномальной сетевой активности
Установленный на первом компьютере сетевой анализатор Iris решает те же задачи, что и в случае его использования при сборе данных о нормальной сетевой активности. Сканер безопасности XSpider производит сканирование портов первого компьютера. При этом анализатор Iris обнаруживает каждый факт выполнения сканирования, сигнализирует об этом и сохраняет факты реализации атаки в журнал тревог в следующем виде:
13:39:01:109 > IP-1 was probed by IP-2 on port 6600 13:39:01:109 > IP-1 was probed by IP-2 on port 6601 13:39:01:140 > IP-1 was probed by IP-2 on port 6969 13:39:01:156 > IP-1 was probed by IP-2 on port 7000 13:39:29:859 > IP-1 was probed by IP-2 on port 80 13:39:31:906 > IP-1 was probed by IP-2 on port 80 13:39:33:953 > IP-1 was probed by IP-2 on port 80
В данном журнале данные представлены в формате «время» - «сканируемый адрес» - «адрес, с которого проводилось сканирование» - «порт сканирования». Эти данные позволяют идентифицировать с точностью до 10-3 секунды те пакеты, которые представляют опасность для компьютера и характеризуют аномальную сетевую активность.
Для формирования обучающей выборки необходимо привести полученные данные о сетевой активности к форме, пригодной для обучения нейронной сети. Входами сети являются следующие параметры сетевого трафика:
- тип протокола PType (TCP, UDP и др.);
- порт источника Portl;
- порт назначения Port2;
- размер пакета Size.
Выходом сети является единственный параметр Activity (признак сетевой активности).
Поскольку нейронные сети способны обрабатывать информацию числового вида, следовательно, значения входных и выходного параметров сети необходимо закодировать целыми числами. Для кодирования типа протокола используются значения TCP=0, UDP=1, ICMP=2 и Unknown=3. Значения параметров «Порт источника», «Порт назначения» и «Размер пакета» можно оставить без изменения. Значения выходного параметра «Признак аномальной сетевой активности» кодируются как 0 -нормальная активность, 1 - аномальная активность.
В результате данные о сетевой активности можно представить в следующем виде (см. табл. 1).
Таблица 1 - Данные о сетевой активности
Входные параметры Выходной параметр
PType Porti Port2 Size Activity
1 53 3943 164 0
0 1609 352 62 1
Полученные данные представляют собой выборку для обучения нейронной сети и определяют условия протекания нормальной и возникновения аномальной сетевой активности. Исходя из условия поставленной задачи, нейронная сеть должна классифицировать входное пространство признаков на два класса: нормальная (0) и аномальная (1) сетевая активность. В качестве модели сети выбрана многослойная нейронная сеть прямого распространения [2,4]. На рисунке 5 представлена архитектура нейросетевой модели диагностики аномальной сетевой активности.
Рис. 3 - Архитектура нейросетевой модели
Как видно из данного рисунка, сеть состоит из четырех входных нейронов, задаваемых вектором входных признаков X = {x1, x2, x3, x4}, и одного выходного нейрона, значениями которого являются числа «0» или «1». Нейронная сеть имеет один скрытый слой, состоящий из десяти обрабатывающих нейронов. Вектор W задает множество весовых коэффициентов нейронов скрытого слоя.
Для построения нейросетевой модели использовался нейроэмулятор, входящий в состав аналитической платформы Deductor Studio 5.3 [5,10]. Для оценки точности модели диагностики аномальной сетевой активности проведены эксперименты на тестовой выборке данных, по результатам которых вычислялись ошибки двух типов:
- ошибка первого рода, когда сетевая активность является аномальной, но не диагностируется нейронной сетью как аномалия;
- ошибка второго рода, когда сетевая активность не является аномальной, но ошибочно диагностируется нейронной сетью как аномалия.
Для расчета ошибок первого рода использовалась следующая формула:
Е =
1 N
где п1 - число примеров аномальной сетевой активности, классифицированных как норма; N - общее число примеров в тестовой выборке, определяющих аномальную сетевую активность.
Для расчета ошибок второго рода использовалась формула:
Е2 =
2 N2
где п2 - число примеров нормальной сетевой активности, классифицированных как аномалия; Ы2 -
общее число примеров в тестовой выборке, определяющих нормальную сетевую активность.
Результаты экспериментов по оценке точности нейросетевой модели диагностики аномальной сетевой активности заносились в таблицы 2 и 3.
Таблица 2 - Результаты диагностикидля расчета ошибки I рода
№ Эталонное значение выхода Рассчитанное значение выхода Результат
п/п диагностики
1 1 0,99 Верно
2 1 0,06 Ошибка I рода
Таблица 3 - Результаты диагностики для расчета ошибки II рода
№ Эталонное значение выхода Рассчитанное значение выхода Результат
п/п диагностики
1 0 2,1 х10-6 Верно
2 0 0,86 Ошибка II рода
Ошибки первого и второго рода составили соответственно 0.04 и 0.06, что доказывает эффективность применения нейронной сети для решения задачи диагностики аномальной сетевой активности.
Практическая ценность предложенного подхода заключается в возможности построения на базе нейросетевых моделей эффективных систем обнаружения вторжений. На рисунке 4 представлена принципиальная схема использования нейронной сети в составе интеллектуальной системы диагностики аномальной сетевой активности.
Как видно из рисунка 4, значения параметров сетевых пакетов, составляющих трафик локальной вычислительной сети, поступают на вход интеллектуальной системы, ядром которой выступает обученная нейронная сеть. Модуль принятия решений анализирует входные значения и формирует ответ системы о виде сетевой активности. В рамках данного алгоритма решается задача нейросетевой диагностики аномальной сетевой активности.
Следует отметить, что построенная на базе нейронной сети интеллектуальная система диагно-
стики аномальной сетевой активности является адаптивной. В случае неверного определения активности в локальной вычислительной сети информация об ошибках может накапливаться в специальной базе данных. Система с определенной периодичностью может переобучать нейронную сеть с учетом данных ошибочной классификации сетевых пакетов.
Интеллектуальная система диагностики аномальной сетевой активности
1 1 Модуль принятия
1 решений
Параметр^ ------ Решение
сетевого задачи
трафика
Рис. 4 - Схема использования нейронной сети в составе системы диагностики аномальной сетевой активности
Таким образом, полученная модель представляет собой адаптивную систему искусственного интеллекта, позволяющую с высокой степенью точности решать задачу диагностики аномальной сетевой активности.
Литература
1. Абдулхаков А.Р., Катасёв А.С., Кирпичников А.П. Методы редукции нечетких правил в базах знаний интеллектуальных систем // Вестник Казан. технол. ун-та. - 2014. -Т. 17. - № 23. - С. 389-392.
2. Глова В.И., Аникин И.В., Катасёв А.С., Кривилёв М.А., Насыров Р.И. Мягкие вычисления: учебное пособие. Казань: Изд-во Каз. гос. технич. университета им. А.Н. Туполева, 2010. - 206 с.
3. Джеймс Кеннеди. Нейросетевые технологии в диагностике аномальной сетевой активности // Fort Lauderdale, FL 33314.
4. Емалетдинова Л.Ю., Катасёв А.С., Кирпичников А.П. Нейронечеткая модель аппроксимации сложных объектов с дискретным выходом // Вестник Казан. технол. ун-та. -2014. - Т. 17, № 1. - С. 295-299.
5. Катасёв А.С., Катасёва Д.В., Кирпичников А.П. Нейросе-тевая технология классификации электронных почтовых сообщений // Вестник технол. ун-та. - 2015. - Т. 18, № 5. - С. 180-183.
6. Кирпичников А.П., Осипова А.Л., Ризаев И.С. Повышение аналитических возможностей баз данных // Вестник Казан. технол. ун-та. - 2012. - № 3. - С. 157-160.
7. Крыжановский А.В. Применение искусственных нейронных сетей в системах обнаружения атак // Доклады Томского государственного университета систем управления и радиоэлектроники. - 2008. - Т. 2. - № 1. - С. 104-105.
8. Кудряшов И.С. Регистрация событий в системах обнаружения компьютерных атак // Информационное противодействие угрозам терроризма. - 2005. - № 5. - С. 106-109.
9. Марченко А.А., Матвиенко С.В., Нестерук Ф.Г. К обнаружению атак в компьютерных системах нейросетевыми средствами // Научно-технический вестник информаци-
онных технологий, механики и оптики. - 2007. - № 39. -С. 83-93.
10. Паклин Н.Б., Орешков В.И. Бизнес-аналитика: от данных к знаниям: учебное пособие. - 2-е изд., испр. - СПб.: Питер, 2013. - 704 с.: ил.
© А. С. Катасёв - д-р техн. наук, доц. кафедры систем информационной безопасности КНИТУ-КАИ, kat_726@mail.ru; Д. В. Катасёва - асп. каф. систем информационной безопасности КНИТУ-КАИ, 415pisarevadv@mail.ru; А. П. Кирпичников - д-р физ.-мат. наук, проф., зав. кафедрой интеллектуальных систем и управления информационными ресурсами КНИТУ, kirpichnikov@kstu.ru.
© A. S. Katasev - Dr. Sci, Associate Professor the Information Security Systems Department, KNRTU named after A.N. Tupolev, kat_726@mail.ru; D. V. Kataseva - Postgraduate Student the Information Security Systems Department, KNRTU named after A.N. Tupolev, 415pisarevadv@mail.ru; À. P. Kirpichnikov - Dr. Sci, Prof, Head of the Department of Intelligent Systems & Information Systems Control, KNRTU, kirpichnikov@kstu.ru.
