CC BY
231
УДК 004.056
О ПРИМЕНЕНИИ АЛГОРИТМОВ ИСКУССТВЕННОГО ИНТЕЛЛЕКТА В СИСТЕМАХ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ
Т. А. Саламатова Научный руководитель - В. Г. Жуков
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева
Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31 E-mail: zhukov.sibsau@gmail.com, Shiracom@mail.ru
В последнее время для обнаружения вторжений и предотвращения несанкционированного доступа к данным научные исследования многих научных школ и отдельных авторов были сосредоточены на поиске новых подходов. Представлен краткий обзор совместного применения алгоритмов искусственных иммунных систем с эволюционными или коэволюционными алгоритмами для обнаружения вторжений.
Ключевые слова: искусственные иммунные системы, эволюционные алгоритмы, коэволюцион-ные алгоритмы, системы обнаружения вторжений.
THE APPLICATION OF ARTIFICIAL INTELLIGENCE ALGORITHMS IN INTRUSION DETECTION SYSTEMS
T. A. Salamatova Scientific supervisor - V. G. Zhukov
Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: zhukov.sibsau@gmail.com, Shiracom@mail.ru
Recently, scientific research of many scientific schools and individual authors have been focused on finding new approaches for detecting intrusions and preventing unauthorized access to data.. This article is devoted to a brief review of the using a combination of algorithms of artificial immune systems, evolutionary or co-evolutionary algorithms for detecting intrusions.
Keywords: artificial immune systems, evolutionary algorithms, coevolutionary algorithms, intrusion detection systems.
В настоящее время возрастает тенденция применения, для решения задач обнаружения вторжений (атак), алгоритмов искусственного интеллекта, например, таких как: эволюционные алгоритмы, искусственные иммунные системы (ИИС), коэволюционные подходы и другие биологически инспирированные подходы, что связано, в первую очередь, с различными аспектами динамики развития и исследования алгоритмов искусственного интеллекта.
Эволюционные алгоритмы представляют собой направление в искусственном интеллекте, в основе которого лежат принципы и понятийный аппарат, заимствованные из эволюционной биологии и популяционной генетики. Данные алгоритмы широко известны и, в частности, применяются индивидуально для обнаружения вторжений. При всех своих достоинствах, эволюционные алгоритмы применяются в основном в качестве статистического метода анализа собранных данных, так, например, авторы работ [1; 2] предлагают использовать генетический алгоритм (ГА) для сетевых систем обнаружения вторжений (СОВ) в целях создания классификационных правил, позволяющих обнаружить аномальное поведения системы (алгоритм GAIDS). Исследование эффективности работы алгоритма [1] происходило на данных, собранных Калифорнийским университетом в общедоступной базе образцов сетевого трафика KDD Cup1999 [3] (KDD'99). При тестировании алгоритм GAIDS показал следующие результаты: уровень выявления атак (Detection Rate, DR) составил 99,87 %, а уровень пропуска атак (False Acceptence Rate, FAR) - 0,003 %.
Актуальные проблемы авиации и космонавтики - 2015. Том 1
Концепция коэволюции впервые была предложена в 1960-х годах для описания феномена совместной эволюции биологических видов, взаимодействующих в экосистеме. Основная идея коэво-люционного алгоритма состоит в следующем: одновременно эволюционируют несколько популяций, каждая из которых обладает своей стратегией поиска (моделирования). При этом популяции борются за общий вычислительный ресурс, который в течение работы алгоритма перераспределяется в пользу более эффективной из них. Как показывает практика [4], обычно коэволюционный алгоритм применяется в совокупности с другими алгоритмами для конкретной области его функционирования.
Биологическим прототипом ИИС является иммунная система живого организма. ИИС представляет собой сложную адаптивную структуру, которая отражает некоторые аспекты функционирования иммунной системы в процессе защиты организма от внешних микроорганизмов (антигенов) с помощью защитных клеток иммунной системы (детекторов). В настоящее время в сфере ИБ используются следующие вычислительные модели иммунных систем: алгоритмы клональной селекции, отрицательного отбора. В работе [5] указывается большое число исследований по применению указанных вычислительных моделей для обнаружения атак (алгоритмы CSA, CLONALG, MILA, DADAI и др.). Однако, несмотря на их количество, каждый из рассмотренных алгоритмов характеризуется наличием ошибок первого (ложные срабатывания) и (или) второго рода (пропуск атаки).
Тем не менее, за время развития подходов обнаружения вторжений, различные сочетания алгоритмов искусственной иммунной системы (ИИС) с другими алгоритмами искусственного интеллекта так и не были широко исследованы. За последние несколько лет выделяется небольшой ряд научно-исследовательских работ, посвященных совместному (коллективному) применению вышеперечисленных биоинспированных алгоритмов, так например, в работах [6; 7] авторами представлен алгоритм обнаружения и классификации атак на основе комбинации алгоритма отрицательного отбора ИИС, ГА и коэволюционного алгоритма. Особенностью алгоритма [6; 7] является использование детекторов переменной длины (V-detectors). Для обучения и тестирования алгоритма [6] использовались данные базы KDD'99. Тип представления данных - вектора данных. Для оценки эффективности работы алгоритма [6] рассматривалось сравнение с двумя статистическими подходами: окно Парзена (Parzen-window) и метод опорных векторов (one-class support vector machine) (см. таблицу). В ходе тестирования алгоритма [6] авторами было доказано, что коэволюционный алгоритм позволяет улучшить «качество» генерируемых детекторов, тем самым повышая эффективность обнаружения представленных шаблонов атак.
Усредненные результаты сравнения работы алгоритма [6]
Характеристики Parzen-window, % One-class support vector machine, % V-detectors, %
Средний уровень выявления атак (DR) 99,93 99,82 99,99
Средний уровень пропуска атак (FAR) 0,02 1,97 0
В работе [8] для обнаружения и классификации сетевых вторжений используется синтез ИИС и коэволюционного генетического алгоритма. Алгоритм клональной селекции ИИС в работе [8] применяется для выработки детекторов (сигнатур), а коэволюционный ГА отбирает впоследствии лучшие экземпляры в итоговую базу данных. Функция аффинности представлена в виде метрики «процент согласования». Особенностью данного алгоритма является его масштабируемость: осуществляется поддержка обработки больших объемов данных. Работа алгоритма исследована на платформе, использующей распределённые вычисления (Jini Grid platform). Результаты работы алгоритма сравнивались с результатами работы СОВ Snort, которые были получены при тестировании на данных базы KDD'99. Для приведения данных базы KDD'99 к унифицированному виду использовалось преобразование в двоичный вид. По результатам исследований, среднее количество детекторов (сигнатур), необходимых для обнаружения атаки, для авторского алгоритма составило 15.0, а для Snort -22.8. Показатель DR в среднем для алгоритма авторов [8] составил 89,25 %, а для СОВ Snort - 60,5 %.
В работе [9] авторы используют синтез алгоритма отрицательного отбора ИИС и ГА для обнаружения аномалий в локальной вычислительной сети. Функция пригодности ГА - Евклидово расстояние и расстояние Минковского (параметр p = 0,5). Для обучения и тестирования алгоритма использовались данные базы NSL-KDD Data Set 2009 [10] (NSL-KDD'09), которая является дополнени-
ем базы KDD'99. Для приведения данных базы NSL-KDD'09 к унифицированному виду использовалось преобразование в двоичный вид. В среднем показатель DR с использованием расстояния Мин-ковского составил 90,21 %, с расстоянием Евклида - 89,7 %.
Обзор выполнен как подготовительный этап разработки эвристического алгоритма обнаружения вторжений, построенного на принципах совместного применения ИИС с другими биоинспириро-ванными алгоритмами для повышения эффективности решения задач обнаружения вторжений (атак).
Библиографические ссылки
1. Abdullah B., Abd-algafar I. et al, Performance evaluation of a genetic algorithm based approach to network intrusion detection system, in proceedings of 13th International conference on aerospace sciences and aviation technology (ASAT-13), Military technical college, Cairo, Egypt, 2009.
2. Ojugo A. A., Eboka A. O. et al, Genetic algorithm rule-based intrusion detection system (GAIDS), Journal of emerging trends in computing and information sciences. 2012. Vol. 3, no. 8, pp. 1182-1194.
3. KDD cup 99 Intrusion detection data set [Электронный ресурс]. URL: http://kdd.ics.uci.edu/ (дата обращения: 10.03.2015).
4. Dasgupta D., Yu S. et al, Recent advances in artificial immune systems: models and applications. Applied soft computing. 2011. Vol. 11, pp. 1574-1587.
5. Yang H., Li T. et al, A survey of artificial immune system based intrusion detection. Hindawi Publishing Corporation: scientific world journal. 2014, p. 1-11.
6. Stibor T., Timmis J. et al, A comparative study of real-valued negative selection to statistical anomaly detection techniques. Proceedings of the 4th international conference on artificial immune systems. 2005.
7. Ostaszewski M., Seredynski F. et al, Coevolutionary-based mechanisms for network anomaly detection. Journal of Mathematical Modelling and Algorithms. 2007. Vol. 6, pp. 411-431.
8. Ahmadi M. A., Maleki D., A Co-evolutionary immune system framework in a grid environment for enterprise network security [Электронный ресурс]. URL: http://www.fisiocomp.ufjf.br/hpclife/ papers/paper3.pdf (дата обращения: 01.03.2015).
9. Aziz A. S. A., Salama M. A. et al, Genetic algorithm with different feature selection techniques for anomaly detectors generation. Proceedings of the 2013 Federated Conference on Computer Science and Information Systems. 2013. pp. 769-774.
10. NSL-KDD Intrusion Detection data set [Электронный ресурс]. URL: http://iscx.ca/NSL-KDD/ (дата обращения: 12.03.2015).
© Саламатова Т. А., 2015
