CC BY
68
ФИЗИКО-МАТЕМАТИЧЕСКИЕ НАУКИ
ПРИМЕНЕНИЕ ИСКУССТВЕННЫХ НЕЙРОННЫХ СЕТЕЙ
ДЛЯ ПРОГНОЗИРОВАНИЯ DOS-АТАК
1 2 Поляница Н.С. , Беляева М.Б.
Email: Polyanitsa680@scientifictext.ru
1Поляница Наталья Сергеевна - магистрант; 2Беляева Марина Борисовна - кандидат физико-математических наук, доцент, кафедра математического моделирования,
Стерлитамакский филиал Башкирский государственный университет, г. Стерлитамак
Аннотация: использование искусственных нейронных сетей в системах обнаружения вторжений очень перспективно и заслуживает внимания, поскольку работа таких сетей более гибкая по сравнению с заранее запрограммированными алгоритмами. Сети могут обучаться в режиме реального времени во время работы, что увеличивает вероятность правильного ответа при обнаружении атаки. Обеспечение работоспособности сети и информационных систем зависит от способности сети противостоять определенным воздействиям, которые направлены на прерывание ее работы. В настоящее время активно разрабатываются и применяются несколько методов обнаружения и предотвращения вторжений.
Ключевые слова: обнаружение атаки; искусственная нейронная сеть, DDoS-атаки, сетевые атаки.
USING ARTIFICIAL NEURAL NETWORKS TO PREDICT DOS-
ATTACKS Polyanitsa N.S.1, Belyaeva M.B.2
1Polyanitsa Natalya Sergeevna - Master's Student; 2Belyaeva Marina Borisovna - Candidate of Physical and Mathematical Sciences,
Associate Professor, DEPARTMENT OF MATHEMATICAL MODELING, STERLITAMAK BRANCH BASHKORTOSTAN STATE UNIVERSITY, STERLITAMAK
Abstract: the use of artificial neural networks in intrusion detection systems is very promising and deserves attention, as the operation of such networks is more flexible than pre-programmed algorithms. Networks can be trained in real time during operation, which increases the likelihood of a correct response when an attack is detected. Ensuring the operability of the network and information systems depends on the ability of the network to withstand certain impacts that are aimed at interrupting its operation. Several intrusion detection and prevention techniques are currently being actively developed and implemented.
Keywords: detecting an attack; Artificial neural network, DDoS -ataks, network attacks.
УДК 004.056
На сегодняшний день разработаны методы противодействия атакам DDoS, но их использование требует значительных материальных и административных затрат. Обнаружение таких атак не является легкой задачей с точки зрения алгоритма,
поскольку нет простых и универсальных признаков, по которым можно было бы отличить сетевые запросы от законных пользователей к ресурсам сервера от запросов, отправленных сервер для атаки [1].
Обеспечение работоспособности сети и информационных систем, которые в ней работают, зависит не только от надежности оборудования, но также часто от способности сети противостоять определенным воздействиям, которые направлены на прерывание его работы. Актуальность выбранной темы обусловлена тем, что активно разрабатываются и применяются несколько методов обнаружения и предотвращения вторжений, но они не всегда эффективны на практике. В результате все технологии защиты постоянно изучаются и совершенствуются [2].
1. Обзор современных DDoS-атак, методов и контрмер
1.1. Ключевые определения
DDoS-атака (атака типа «отказ в обслуживании», от англ. Denial of Service) — атака на вычислительную систему с целью довести её до отказа, то существует создание условий, при которых законные (законные) пользователи системы не могут получить доступ к ресурсам, предоставляемым системой (серверами), или этот доступ затруднен.
Эффективность отдельных DDoS-атак не слишком высока. Кроме того, атака с персонального компьютера подвергает злоумышленника риску быть идентифицированным и пойманным. Гораздо больший интерес представляют распределенные атаки (DDoS).
DDoS-атака (распределенный отказ в обслуживании) - это атака, осуществляемая с нескольких компьютеров на определенном сервере или системе, чтобы привести к сбою [3]. DDoS-атака осуществляется одновременно с большого количества компьютеров, каждый из которых является частью ботнета. Как правило, это нейтральные компьютеры, которые по какой-то причине (отсутствие брандмауэра, устаревшие антивирусные базы и т.д.) Были заражены вредоносным ПО. Программы, работающие в фоновом режиме, постоянно отправляют запросы на атакованный сервер, отключая его [4].
Система обнаружения атак (SOA) - это программная или аппаратная система, предназначенная для обнаружения и, по возможности, предотвращения действий, угрожающих безопасности информационной системы.
Система обнаружения вторжений (СОВ) (англ. Intrusion Detection System (IDS)) -это программный или аппаратный инструмент, предназначенный для обнаружения несанкционированных доступов (вторжений или сетевых атак) в компьютерной системе или сети [2].
Разрабатываются методы и механизмы защиты для успешного противодействия сетевым атакам. Почти все современные программные и аппаратные средства защиты программного обеспечения используют ряд методов. Из-за высокой стоимости функций безопасности многие компании отказываются покупать и эксплуатировать их, что приводит к значительному увеличению финансовых и клиентских потерь от сетевых атак.
1.2. Виды DDoS-атак
Все DDoS-атаки можно разделить на три большие группы:
- атаки по насыщению полосы пропускания;
- атаки на уровне протокола;
- атаки на уровне приложений [2].
К первой группе относятся атаки, направленные на затопление канала связи, т.е. различные типы наводнений. Цель состоит в том, чтобы создать мощный поток запросов, который занимает всю выделенную полосу пропускания трафика, не пропускает пользовательские пакеты и вынужден отказываться от обслуживания (UDP, ICMP и другие потоки поддельных пакетов) [6].
Вторая группа - это атаки, использующие уязвимости в стеке сетевых протоколов. В случае атак через ошибки протокола TCP / IP могут использоваться пакеты SYN (запросы на открытие соединения), что означает, что количество доступных сокетов на атакованном компьютере исчерпано, и сервер перестает отвечать (так называемый поток SYN).
Третья группа включает атаки на уязвимости в приложениях и операционных системах (Apache, Windows, OpenBSD и т. Д.). Этот тип атаки использует не канал связи, а саму систему. Они приводят к неработоспособности приложения или операционной системы в целом [6].
1.3. Методы обнаружения атак
Все методы обнаружения атак можно разделить на два класса: методы обнаружения аномалий и методы обнаружения злоупотреблений.
Деятельность систем обнаружения злоупотреблений основана на создании шаблонов и состоит в поиске признаков известных атак. Преимущество метода в том, что он практически не подвержен ложным срабатываниям. Недостатком является невозможность обнаружения атак, которые не встроены в систему. Поэтому вам необходимо поддерживать большую базу данных, которая содержит каждую атаку и ее варианты [7].
Более гибкий способ обнаружения аномальной активности обнаруживает неизвестные атаки, но склонен к ложным срабатываниям.
Обнаружение атаки основано на сравнении текущих значений параметров активности с нормальными значениями, и любое отклонение от нормального поведения считается ненормальным (нарушение). Такими параметрами могут служить количественные показатели использования системных ресурсов, интенсивность доступа к ресурсам. Текущие значения параметров активности обычно означают средние значения за короткий период (от нескольких минут до нескольких часов) до момента наблюдения. Нормальными являются средние значения этих параметров, которые рассчитываются за достаточно большой период (от одного дня до нескольких месяцев) [7].
Для того чтобы иметь представление, приведем пример ненормального поведения: большое количество подключений за короткое время, высокая загрузка процессора. В то же время ненормальное поведение не всегда является атакой. Таким образом, атака не состоит из большого количества ответов на запрос активности станции от системы управления сетью.
Довольно редкое обновление базы данных нормальными параметрами поведения позволяет нарушителям адаптировать свое поведение к требованиям системы обнаружения аномальной активности, которая воспринимает ее как легального пользователя [7].
Основные механизмы предотвращения DDoS-атак приведены в таблице 1.
1.4. Методы защиты от DDoS-атак. Обзор современных решений
Методы защиты от DDoS-атак можно разделить на две группы: это методы, предшествующие началу атаки, которые направлены на предотвращение самого факта атаки и методы.
Это методы активного противодействия и ослабления результатов атаки, которые используются после начала атаки [4].
Методы предотвращения атак включают организационные и правовые меры. Например, предотвращение, то есть предотвращение причин, побуждающих человека организовывать и проводить DDoS-атаки.
Уязвимости также устраняются на этом этапе, и уязвимый аппаратно-программный комплекс остается в актуальном состоянии. Некоторые типы сетевых атак направлены конкретно на использование различных типов уязвимостей.
Критерий/метод Анализ состояний Нейронные сети Экспертные системы Сигнатурные методы Статистические методы
Уровень наблюдения Сеть, ОС, приложение Сеть, ОС Сеть, ОС Сеть, ОС, приложение Сеть, ОС
Аномалии - + + - +
Злоупотребления + + + + -
Верифицируемость + - + + -
Адаптивность - + + - +
Устойчивость + - + + -
Вычислительная сложность Низкая Средняя Высокая Низкая Средняя
«+» - критерий выполняется; «-» - критерий не выполняется.
После начала атаки предпринимаются активные меры по противодействию атаке. Наиболее важными из этих мер являются увеличение ресурсов и фильтрация трафика.
Росту ресурсов предшествует подробный анализ использования сервера и сегмента сети с целью выявления узких мест. Если, например, сервер занимает значительную часть канала связи во время нормальной работы, можно предположить, что злоумышленник может полностью заполнить канал вредоносными запросами в случае атаки. В этом случае целесообразно заранее увеличить пропускную способность канала связи [4].
Такой подход к увеличению ресурсов не является панацеей от сетевых атак. Кроме того, у него есть несколько недостатков:
- Накопление ресурсов связано с изменением аппаратного комплекса и не может быть выполнено быстро во время атаки.
- Сохранение избыточных ресурсов экономически нецелесообразно в ожидании атаки.
2. Использование нейронных сетей для прогнозирования DDoS-атак.
Поскольку DDoS-атака выполняется одновременно большим количеством компьютеров, ее существование нельзя упускать из виду, и поэтому не требуется никаких специальных инструментов для обнаружения DDoS-атак. Это правильное место. Тем не менее, вы можете сделать успешную атаку, которая остается незамеченной в течение нескольких дней и наносит серьезный ущерб как финансово, так и другими способами.
Современные системы обнаружения атак ^ОА) обеспечивают прямое обнаружение путем управления профилями поведения или путем поиска определенных строковых сигнатур. С этими методами практически невозможно создать полную базу данных с сигнатурами большинства атак. Ю.. В. Тарасов [8] указывает на три основные причины этого результата:
1) Новые подписи должны быть созданы вручную. Подписи известных атак, которые уже находятся в базе данных, не могут гарантировать надежную защиту без постоянных обновлений.
2) В теории существует бесконечное количество методов и вариантов атаки. Чтобы распознать это, вам нужна база данных с бесконечными размерами. Таким образом, можно провести атаку, которой нет в базе данных.
3) Современные методы обнаружения генерируют большое количество ложных срабатываний. Это может поставить под угрозу законные сетевые события [8].
Основным преимуществом нейронной сети является то, что она не ограничивается знаниями, которые программисты изначально вкладывают в неё, но может извлечь уроки из прошлых событий. Вот именно поэтому данные сети очень эффективны.
Список литературы /References
1. Обнаружение DDos-атак нечеткой нейронной сетью / И.И. Слеповичев // Известия Саратовского университета. Сер. Математика. Механика. Информатика, 2009. № 3. С. 84-89.
2. Кайлачакова Д.И. Разработка системы анализа сетевого трафика: (магистерская диссертация). Красноярск, 2016. 56 с.
3. Мочалов В.А. Защита информационных процессов в компьютерных системах. [Электронный ресурс]. Режим доступа: http://uchebana5.ru/cont/3667286.html/ (дата обращения 29.11.19).
4. Терновой О.С. Методика и средства раннего выявления и противодействия угрозам нарушения информационной безопасности при DDOS -атаках: (диссертация на соискание ученой степени кандидата технических наук). Барнаул, 2016. 130 с.
5. Хайкин С. Нейронные сети: полный курс/ 2-e издание: пер. с англ. М.: Издательский дом «Вильямс», 2006. 1105 с.
6. Классификация DDOS-атак: краткий обзор современных подходов. [Электронный ресурс]. Режим доступа: https://ddos-guard.net/ru/info/blogdetail/classification-of-ddos attacks-a-short-overview-of-modern-approaches/ (дата обращения 23.12.2019).
7. Лукацкий А.В. Обнаружение атак / А.В. Лукацкий. СПб: БХВПетербург, 2003. 561 с.
8. Тарасов Я.В. Метод обнаружения низкоинтенсивных DDOS-атак на основе гибридной нейронной сети, инфраструктуру // Известия ЮФУ. Технические науки, 2014. № 8. С. 47-87.
