Научная статья на тему 'Обнаружение сетевых атак на основе искусственных иммунных систем'

Обнаружение сетевых атак на основе искусственных иммунных систем Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
707
119
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ВРЕДОНОСНОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ / ИММУННЫЕ ДЕТЕКТОРЫ / ИСКУССТВЕННАЯ НЕЙРОННАЯ СЕТЬ / СЛОЙ КОХОНЕНА / МАШИННОЕ ОБУЧЕНИЕ / MALWARE / IMMUNE DETECTORS / ARTIFICIAL NEURAL NETWORK / KOHONEN LAYER / MACHINE LEARNING

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Сычугов Алексей Алексеевич, Токарев Вячеслав Леонидович, Анчишкин Александр Павлович

Вредоносное программное обеспечение предназначено для повреждения сети или компьютерных ресурсов. Актуальной становится не только задача развития нейтрализующего ПО, но и разработка новых способов обнаружения аномального поведения в сети. Предлагается вариант эвристического метода обнаружения вредоносных программ, основанный на использовании иммунных детекторов в виде слоя Ко-хонена. Приведены итоги работы в сравнении с другими системами обнаружения аномалий. Показано, что предлагаемый метод может служить основой для построения эффективных систем обнаружения вредоносных программ.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Сычугов Алексей Алексеевич, Токарев Вячеслав Леонидович, Анчишкин Александр Павлович

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

DETECTION OF NETWORK ATTACK ON THE BASIS OF ARTIFICIAL IMMUNE SYSTEMS

Malicious software is designed to damage the network or computer resources. The task of developing not only neutralizing software, but also the development of new ways of detecting anomalous behavior in the network, becomes urgent. The article proposes a variant of the heuristic malware detection method based on the use of immune detectors in the form of a Kohonen layer. In conclusion, the results of work in comparison with other systems for the detection of anomalies. It is shown that the proposed method can serve as a basis for building effective malware detection systems.

Текст научной работы на тему «Обнаружение сетевых атак на основе искусственных иммунных систем»

In the article the questions of creation of extensions in the system "1C: Enterprise" are considered on the example of configuration ^: Accounting. The basis for the expansion is the automation of the work of operators for collecting documents for the work of drivers and locksmiths, as well as planning production and reporting on the work of employees of the enterprise.

Key words: system, 1C: Enterprise, 1C: Accounting, automation, production, expansion, configuration.

Safronova Marina Alekseevna, candidate of technical sciences, docent, safrono-vamaarambler. ru, Russia, Tula, Tula State University,

Ovsyannikov Ivan Andreevich, student, ivan ovsyannikov l a mail. ru, Russia, Tula, Tula State University

УДК 004.023

ОБНАРУЖЕНИЕ СЕТЕВЫХ АТАК НА ОСНОВЕ ИСКУССТВЕННЫХ

ИММУННЫХ СИСТЕМ

В.Л. Токарев, А.А. Сычугов, А.П. Анчишкин

Вредоносное программное обеспечение предназначено для повреждения сети или компьютерных ресурсов. Актуальной становится не только задача развития нейтрализующего ПО, но и разработка новых способов обнаружения аномального поведения в сети. Предлагается вариант эвристического метода обнаружения вредоносных программ, основанный на использовании иммунных детекторов в виде слоя Ко-хонена. Приведены итоги работы в сравнении с другими системами обнаружения аномалий. Показано, что предлагаемый метод может служить основой для построения эффективных систем обнаружения вредоносных программ.

Ключевые слова: вредоносное программное обеспечение, иммунные детекторы, искусственная нейронная сеть, слой Кохонена, машинное обучение.

Современные сетевые ресурсы постоянно находятся под угрозой сетевых атак, что приводит к необходимости построения средств защиты. Одним из эффективных механизмов предотвращения сетевых вторжений является обнаружение атаки на ранних стадиях её развития, для чего используются системы обнаружения вторжений. Существует ряд разработок в данной области, но в промышленных системах они не получили широкого распространения, так как порождают большое количество ложных срабатываний, кроме того, одной из проблем является низкая, близкая к нулю эффективность обнаружения неизвестных атак, которая в настоящее время приобретает всё большую актуальность в связи с постоянным появлением новых разрушающих воздействий.

В настоящее время существуют два основных метода обнаружения атак - сигнатурный и эвристический.

Первый основан на сравнении выявленного воздействия на систему с уже зарегистрированным сценарием атаки, который называется сигнатурой. Стандартная современная база данных любой системы обнаружения атак (СОА) должна содержать не менее 15000 широко используемых на практике сигнатур компьютерных атак для различных модификаций сетевого трафика.

Эвристический метод позволяет выявить компьютерные атаки, сигнатур которых нет в базе данных СОА. В реальности для использования эвристического метода выявления компьютерных атак необходимо организовать эффективный сбор и анализ огромного количества информации, описывающей состояние компонентов защищаемой системы. На деле все сводится к сравнению выявленного воздействия с какими-либо правилами, описывающими сетевой трафик, или сравнением текущего состояния эксплуатируемой РИС с зафиксированным безопасным состоянием, которое считается нормальным.

Одним из перспективных современных решений задачи оперативного обнаружения компьютерных атак можно считать построение СОА на основе искусственных иммунных систем, идея создания которых появилась в результате изучения процессов биологического иммунитета, который защищает организм от болезнетворных бактерий и вирусов, обнаруживая и уничтожая их. Иммунная реакция заключается в стимуляции различных механизмов при обнаружении вредоносных бактерий, направленных на их уничтожение. Следует отметить, что иммунная система способна распознавать не только уже известные ей бактерии и вирусы, но и также не известные, ранее не встречающиеся [1].

Благодаря своим особенностям и характеристикам, иммунная система представляет большой интерес в области защиты информации.

Предлагаемая система обнаружения основана на создании и обучении иммунных детекторов, построенных на основе самонастраивающихся нейронных сетей. В построении такой системы использованы базовые принципы и механизмы биологической иммунной системы [1], а именно генерация и обучение иммунных детекторов, отбор детекторов, которые по каким-либо причинам генерируют ложные решения, функционирование детекторов (рис. 1).

Рис. 1. Последовательность выполнения операций СОА на основе иммунных детекторов

На начальном этапе иммунные детекторы генерируются со случайными значениями параметров, что дает возможность создания большого количества разнообразных по своей структуре детекторов, которые способны реагировать на любую аномалию.

Далее детекторы проходят стадию обучения, на которой приобретают способность корректно реагировать на чужеродные объекты или явления.

Для того чтобы детекторы не генерировали ложные срабатывания, они тщательно отбираются. Те из них, которые не обучились корректно классифицировать объекты, удаляются. Отобранные детекторы допускаются к выполнению функций по классификации объектов.

Каждому детектору выделяется некоторое лимитированное количество времени (время жизни), на протяжении которого он может существовать. Если на протяжении этого времени детектор не обнаруживает аномалий, то он удаляется, а на его место приходит новый, структурно отличный. Если детектор обнаружил аномалию, происходит так называемая стадия активации, на которой происходит информирование об обнаруженной аномалии и ее уничтожение. Детектор, обнаруживший аномалию, трансформируется в детектор иммунной памяти, которые характеризуются большим временем жизни и уровнем доверия.

В предлагаемом варианте построения СОА в качестве иммунного детектора выбрана самоорганизующая нейронная сеть (слой Кохонена) с неупорядоченными нейронами (рис.2).

Рис. 2. Архитектура слоя Кохонена

Здесь используется кокурирующая функция активации, которая анализирует значения элементов входного вектора р и формирует выходы нейронов а, равные нулю для всех нейронов, кроме одного - победителя, имеющего на входе максимальное значение (1):

ai =

1, i = i*, i* = arg max n¡;

0, i Ф i*. '

nieN l' (1)

Номер активного нейрона 1* определяет ту группу (кластер), к которой наиболее близок входной вектор р. Блок пё^ вычисляет евклидово расстояние между вектором входа р и строками матрицы весов W. Выход функции активации п - это результат суммирования вычисленного расстояния с вектором смещения Ь.

Таким образом, создается набор детекторов для анализа сетевого трафика с целью обнаружения компьютерных атак. Однако перед тем, как выполнять анализ сетевого трафика, обученные детекторы необходимо проверить на корректность классификации с целью предотвращения возникновения ложных срабатываний. Для этого все обученные детекторы проходят стадию отбора.

Функционирование иммунных детекторов. Детекторы, которые допущены к анализу сетевого трафика, образуют систему обнаружения компьютерных атак. Весь трафик, получаемый компьютером, сначала анализируется совокупностью иммунных детекторов, и, если ни один из детекторов не обнаруживает аномалию, то трафик обрабатывается операционной системой и соответствующим программным обеспечением. Описанная система анализа сетевого трафика, состоящая из совокупности иммунных детекторов, изображена на рис. 3.

Каждый детектор наделяется временем жизни, на протяжении которого он анализирует сетевой трафик. Если по окончании выделенного времени детектор не обнаружил аномалию, он уничтожается, а на его место приходит новый детектор. Механизм наделения детекторов временем жизни позволяет избавляться от детекторов, которые хоть и прошли успешно стадии обучения и отбора, однако из-за своей структурной особенности (набор весовых коэффициентов) являются малопригодными.

FIFO - буфер

т

V1

Трафик

т

Решение

Рис. 3. Рабочий режим иммунной системы

Активация иммунных детекторов. Активация детекторов подразумевает обнаружение детектором сетевой атаки. В случае, когда сетевое соединения классифицируется одним или несколькими детекторами как компьютерная атака, происходит его блокировка, т. е. оно не допускается к обработке операционной системой и специализированным программным обеспечением. Также выдается сообщение пользователю о попытке атаки компьютерной системы.

Формирование иммунной памяти. При обнаружении и блокировании сетевой атаки целесообразно сохранять ее параметры с целью изучения и детального анализа. Дело в том, что иммунные нейросетевые детекторы обучаются на ограниченном наборе данных, которые не могут включать в себя все вероятные компьютерные атаки. Для того, чтобы повысить качество обнаружения, а также наделить СОА гибкостью и позволить ей адаптироваться под современные реалии, параметры сетевого соединения, классифицированного как атака, сохраняются и заносятся в обучающую выборку, тем самым пополняя ее актуальными данными. Детекторы, которые будут создаваться с целью заменить «устаревшие» иммунные детекторы, будут уже обучаться также и на новых данных, что позволит значительно увеличить качество обнаружения. Кроме этого, создается новая нейронная сеть, которая обучается исключительно на данных, выделенных из обнаруженной сетевой атаки, и которая вводится в систему анализа сетевого трафика. Это позволит более точно выделить данную атаку при повторной подобной атаке на защищаемую компьютерную систему со стороны злоумышленника. Совокупность детекторов иммунной памяти будет хранить в себе информацию обо всех сетевых атаках, направленных в прошлом на защищаемую автоматизированную систему, и обеспечивать высокий уровень реагирования на повторные попытки атак.

Общий алгоритм функционирования СОА на базе искусственных иммунных систем можно представить в следующем виде.

1. Создание иммунного детектора на базе многослойной нейронной сети с одним скрытым слоем Кохонена и начальная инициализация весовых коэффициентов.

2. Формирование обучающей выборки для созданного детектора, п выбранных случайным образом соединений, относящихся к определенному классу сетевой атаки, m выбранных случайным образом соединений? относящихся к нормальному трафику.

3. Обучение нейронной сети по правилу «победитель берет все» путем последовательного ввода данных из обучающей выборки.

4. Проверка обученного детектора на тестовой выборке. Если детектор корректно классифицирует предоставленные данные, то он «допускается» к анализу сетевого трафика в реальном режиме. Если же детектор классифицирует предоставляемые тестовые данные как сетевую атаку, то он уничтожается.

5. Внедрение обученного и отобранного детектора в подсистему анализа сетевого трафика.

6. В случае окончания отведенного время жизни детектора и отсутствия обнаруженных аномалий в сетевом трафике, уничтожение данного детектора и переход на шаг 1.

7. Если детектор обнаружил аномалию, то происходит его активация. Сетевое соединение, классифицируемое как атака, блокируется, а пользователю выдается сообщение.

8. Выделение и анализ параметров сетевого соединения, классифицированного как атака и занесение выделенных параметров в базу для обучения новых иммунных детекторов.

Общая структура предлагаемой СОА представлена на рис. 4.

Обучающая выборка

Тестовая выборка

Модуль реакции на атаку

FIFO - буфер трафика

Модуль клонирования и мутации детекторов

Модуль формирования иммунной памяти

Рис. 4. Архитектура системы обнаружения вторжений

В рамках исследования эффективности предлагаемой COA было разработано ПО, определяющее по сетевому трафику наличие атаки. Результаты данной системы сравнивались с результатами других COA. Проверка качества системы проводилась на задаче KDD Сир 99. [2]

Входными данными являются 41 параметр сетевого запроса, содержащиий 4 ординарных и 37 числовые параметра.

Со всеми параметрами была проведена предварительная образотка, в ходе которой числовые параметры отнормированы:

_ х~ xmin

Хп —

(2)

Хтах хтш

Ординарные параметры были проранжированы исходя из данных обучающей выборки.

Единичным детектором разработанной системы является нейронная сеть Кохо-нена, представляющая собой искусственную нейронную сеть с 3 слоями: входной, скрытый и выходной.

Входной слой содержит 41 нейрон (по количеству входных параметров трафика).

Скрытый слой содержит к нейронов: т нейронов, выявляющих атаку на сеть и п нейронов, сигнализирующих о нормальном трафике:

к = т + п (3)

Значения к, т, п выбираются эмпирическим путём, исходя из следующего соображения: скрытый слой характеризует «память» детектора и, как следствие, если число нейронов скрытого слоя будет слишком маленьким, нейронная сеть не сможет

правильно обучиться, в пртивном случае, если количество нейронов будет слишком большим, сеть «переобучится», то есть сможет правильно определять аномалии только на выборке, на которой она обучалась.

В данном случае выбраны следующие параметры: к =10, т = 8, п = 2. Схематическое изображение предлагаемой СОА имеет вид (рис. 5)

Рис. 5. Структура сети Кохонена

Каждый нейрон входного слоя связан с каждым нейроном скрытого слоя рёбрами с определёнными весовыми коэффициентами. На данном этапе при подаче входного вектора вычисляется значение каждого нейрона скрытого слоя,а затем результат вычисляется по правилу «Победитель получает всё». Таким образом, если наибольше значение будет у одного из 8 нейронов, отвечающих за атаку, следовательно, входной трафик - аномальный. В противном случае, нет.

Обучение СОА выполнялось методом клонального отбора детекторов.

После начальной инициализации СОА происходил отбор детекторов с целью повышения их аффинности под которой, в данном случае, понимается количество верных ответов из обучающей выборки:

1. вычисление аффинности каждого детектора к данной выборке.

2. выбор 5 наилучших детекторов;

3. клонирование каждого из выбранных детекторов в зависимости от значения аффинности: чем детектор лучше, тем больше клонов;

4. повтор шагов 1-3 до тех пор, пока не останутся 5 детекторов с необходимой аффинностью.[4]

Для обучения иммунной системы было сформировано несколько вариантов укороченной обучающей выборки на различное количество запросов. При этом 20% -нормальные запросы, 80% - атаки.

Для отображения результатов анализа принята следующая система обозначений:

TP (True Positive) - Система правильно определила атаку;

TN (True Negative) - Система правильно определила нормальный запрос;

FP (False Positive) - Система приняла за атаку обычный запрос;

FN (False Negative) - Система приняла атаку за обычный запрос [5].

В табл. 1 представлены результаты работы СОА на основе сети Кохонена.

В табл. 2 представлены результаты работы СОА на основе искусственной иммунной системы.

Отсюда следует, что иммунная система показала себя значительно лучшей нейронной сети.

На рис. 6 приведены результаты эксперимента при различных объёмах обучающей выборки.

Таблица 1

Результаты работы СОА на основе сети Кохонена

Тип Верный ответ (T) Неверный ответ (F) Итог

Атака (P) 393526 3217 396743

Обычный запрос (N) 81018 16239 97257

Итог 474544 19456 96.06%

Таблица 2

Результаты работы СОА на основе искусственной иммунной системы

Тип Верный ответ (T) Неверный ответ (F) Итог

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Атака (P) 394961 1782 396743

Обычный запрос (N) 95795 1462 97257

Итог 490756 3244 99.30%

120.00% 100.00%

80.00% 60.00% 40.00% 20.00% 0.00%

0 100000 200000 300000 400000 500000 600000

—•— Сеть Кохонена —•— Иммунная система

Рис. 6. Сравнение иммунной системы с сетью Кохонена

Таким образом, система обнаружения сетевых атак на основе иммунных детекторов показала себя эффективным средством обнаружения вторжений.

Список литературы

1. Ройт А, Бростофф Дж., Мейл Д. Иммунология.- М.: Мир, 2007.

2. KDD Cup 1999 Data. [Электронный ресурс] URL: www.kdd.ics.uci.edu/ data-bases/kddcup99/ kddcup99.html (дата обращения: 10.09.2018).

3. Милославская Н.Г., Толстой А.И. Интрасети: обнаружение вторжений. М.: ЮНИТИ-ДАНА, 2001.

4. Безобразов С.В., Головко В.А. Применение нейросетевых детекторов в искусственных иммунных системах для обнаружения и классификации компьютерных вирусов // Нейрокомпьютеры, 2010. № 5. С. 17-31.

5. Cannady J. Artificial Neural Networks for Misuse Detection. [Электронный ресурс] URL: http://csrc.nist.gov/nissc/1998/proceedings/paperF13.pdf (дата обращения: 10.09.2018).

Точность определения угрозы в зависимости от объёма обучающей выборки

Сычугов Алексей Алексеевич, канд. техн. наук, доцент, директор института прикладной математики и компьютерных наук, [email protected], Россия, Тула, Тульский государственный университет,

Токарев Вячеслав Леонидович, д-р техн. наук, профессор, tokarev22@yandex. ru, Россия, Тула, Тульский государственный университет,

Анчишкин Александр Павлович, студент, [email protected], Россия, Тула, Тульский государственный университет

DETECTION OF NETWORK A TTACK ON THE BASIS OF ARTIFICIAL IMMUNE

SYSTEMS

A.A. Sychugov, V.L. Tokarev, A.P. Anchishkin

Malicious software is designed to damage the network or computer resources. The task of developing not only neutralizing software, but also the development of new ways of detecting anomalous behavior in the network, becomes urgent. The article proposes a variant of the heuristic malware detection method based on the use of immune detectors in the form of a Kohonen layer. In conclusion, the results of work in comparison with other systems for the detection of anomalies. It is shown that the proposed method can serve as a basis for building effective malware detection systems.

Key words: malware, immune detectors, artificial neural network, Kohonen layer, machine learning.

Sychugov Alexey Alexeevich, candidate of technical science, head of chair, [email protected], Russia, Tula, Tula State University,

Tokarev Vjacheslav Leonydovich, doctor of technical science, professor, to-karev22@yandex. ru, Russia, Tula, Tula State University,

Anchishkin Aleksandr Pavlovich, student, alexan999@yandex. ru. Russia, Tula, Tula State University

i Надоели баннеры? Вы всегда можете отключить рекламу.