/ TECHNICAL SCIENCE_36
УДК: 004
Кусакина Н.М.
Самарский Государственный Технический Университет
ПРИМЕНЕНИЕ МЕТОДОВ НЕЙРОННЫХ СЕТЕЙ ДЛЯ ПОСТРОЕНИЯ СИСТЕМ ВЫЯВЛЕНИЯ АНОМАЛИЙ СЕТЕВОГО ТРАФИКА
Kusakina N.M.
Samarsky State Technical University
APPLICATION OF NEURAL NETWORK METHODS TO DESIGNING THE INTRUSION
DETECTION SYSTEM
Аннотация
В данной статье приводится краткое обоснование возможностей использования методов нейронных сетей для анализа сетевого трафика на предмет обнаружения аномалий и построения систем обнаружения вторжений, в частности. Подобные системы имеют существенные различия в зависимости от используемого метода обнаружения аномалий: зависимость скорости работы от количества нейронных связей и правильно подобранных весов.
Abstract
The article is providing a brief justification of the possibilities of using the methods of neural networks to analyze traffic for detecting anomalies and building intrusion detection systems, in particular. Depending on the number of detected neural connections and correctly selected weights.
Ключевые слова: компьютерные сети, сетевой трафик, нейронные сети, аномалии сетевого трафика, классификация аномалий сетевого трафика, машинное обучение.
Keywords: computer networks, network traffic, neural networks, network traffic anomalies, classification of network traffic anomalies, machine learning.
Динамические изменения состава вычислительных сетей, их глобальное развитие в совокупности с тенденцией к увеличению количества атак на сети обуславливают актуальность задачи поиска и внедрения новых методов обеспечения защиты информации в вычислительных сетях. Так процесс мониторинга событий информационной безопасности, возникающих в компьютерной сети с последующими корреляцией и анализом на выявление признаков нарушения конфиденциальности, доступности или целостности системы становится средой проведения многочисленных исследований и экспериментов.
Существующие средства защиты информации не дают возможности полностью нивелировать наличие паразитного либо злонамеренного сетевого трафика внутри компьютерной сети. Системы обнаружения вторжений производят захват трафика и, используя представление его в виде потока данных, применяют определенные правила к входящим потокам. При обнаружении аномалий оповещают об этом администратора системы. Его последующие действия могут носить как активный, так и пассивный характер. В первом случае предпринимается некоторый набор действий, например, снятие дампа сетевого трафика для последующего анализа, блокирование Ш-адресов, доработка правил срабатывания; во-втором - событие фиксируется в журнале аудита, действия ограничиваются сбором статистики.
Многочисленные работы [4-6] по оптимизации состава программно-аппаратных комплексов обнаружения/предотвращения вторжений показывают, что достижение приемлемого уровня защиты внутренних ресурсов компаний от таргетированных атак невозможно на основе стандартных алгоритмических решений. В настоящее время подобные системы начинают включать в свой состав интеллектуальные подсистемы, способные к адаптации к изменениям поведения вычислительной сети.
Интеллектуальные системы, построенные на основе использования аппарата искусственных нейронных сетей, находят широкое применение в области проектирования новых средств защиты. Искусственная нейронная сеть относится к подходам технологии создания интеллектуальных систем, основанных на имитации поведения человеческого мозга. Известны их разнообразные конфигурации с различными принципами функционирования.
В представленной работе для исследования возможности обнаружения аномалий сетевого трафика методами нейронных сетей был использован многослойный персептрон. Он представляет собой многослойную полносвязанную нейронную сеть, в которой каждый нейрон следующего слоя связан со всеми нейронами предыдущего слоя. Подобные сети обеспечивают хорошую обобщающую способность при оптимальной размерности слоев и разбивке входного датасета.
«C@yL@qyiym-J©yrMaL»#2i26),2@19 / TECHNICAL SCQEMCl
37
Рисунок 1. Персептрон
Многослойный персептрон строится на трех слоях: входной, скрытый и выходной (рис. 1), в каждом из которых нейроны имеют определенную гладкую нелинейную функцию активации. Доказано, что трехслойная нейронная сеть с одним скрытым слоем может быть обучена аппроксимировать с произвольной точностью любую непрерывную функцию [7].
В рамках изучения необходимо определить меру Вапника-Червоненкиса для данной топологии нейронной сети.
2
N < VCdim < (1 + lgNn
Таким образом, мы получили нейронную сеть, состоящую их входного слоя, одного скрытого и одного выходного слоев. Пусть входной слой имеет 10 нейронов, выходной слой имеет два нейрона, соответствующие нормальной работе и ситуации наличия атаки на сеть. Входной вектор, предоставленный модулем сбора трафика, нужно будет подать на вход детектора из рабочей группы нейронов. Аномалия будет обнаружена, если хотя бы один из детекторов признает этот вектор отличным от нормального.
На этапе проектирования обучения произведены следующие действия:
Для составления шаблона штатного функционирования компьютерной сети был снят дамп сетевого трафика с 4 интерфейсов пограничного межсетевого экрана при работе сети организации в будний день.
Определены наиболее актуальные атаки:
DoS/DDoS;
IP Spoofing;
SYN flood;
ARP cache poison;
DNS-туннелинг;
SSL stripping;
SQL injection;
PHP injection;
XSS и CSRF.
Последние могут использоваться для получения учётных данных, либо для выполнения неавторизованных запросов. Также, могут быть использованы эксплоиты для устаревших версий ПО (HeartBleed), от чего может помочь сканирование сети.
Набор входных данных был разделен на три группы: для обучения, для тестирования и для подбора оптимального состояния системы.
В случае, когда для обучения использовался алгоритм обратного распространения ошибки (с вычислением ошибки выходного слоя персептрона и каждого нейрона в частности), производилась коррекция весов нейронов сети по соответствию определенным значениям. Первоначально веса нейронных связей определялись либо как 0, либо 1. После инициации весов производились прямое распространение сигнала, вычисление ошибки нейронов последнего слоя и обратное распространение ошибки. В результате первого шага был получен вектор входных значений сети, далее производилась оптимизация величины ошибки сети через коррекцию весов нейронных связей. В ходе проведения экспериментов были получены данные, на основе которых можно сделать вывод о возможности применения нейронных сетей для решения задачи обнаружения аномалий и компьютерных атак.
Мы знаем, что известны несколько типов систем обнаружения вторжения в зависимости от типа используемого сенсора, его расположения и методов подсистемы анализа (характеристики анализатора). Так получают распространение системы обнаружения вторжений, разработанные на основе анализа соединений удаленных хостов [8] или на основе искусственных нейронных сетей. Одним из определяющих преимуществ нейронных моделей является возможность анализа неполных входных данных или сигнала с какими-либо помехами, а также проведение нелинейного анализа произошедших событий (в случае распределённого внешнего воздействия на сеть). В этом случае каждое событие в сети будет иметь собственный вес, что важно так как, в реальном сетевом трафике пакет может искажаться как умышленно, так и в результате непреднамеренного сбоя работы системы.
Также привлекающей внимание особенностью таких систем будет способность прогнозировать дальнейшие события и/или поведение системы. Самообучающиеся системы обнаружения вторжения на основе искусственных нейронных сетей улучшают свои способности по выявлению закономерностей между отдельными событиями. Все перечисленные возможности подобных систем позволяют минимизировать время реакции на аномалию
«C@yL@qyiym-J©yrMaL»#2î2â),2@19 / TECHNICAL SCOEMCt
сетевого трафика, а также увеличить объемы пропускаемого трафика, что является актуальной задачей в условиях увеличения объема и широты географии распределения компьютерных сетей.
Список литературы/ References
1. Willinger W., Taqqu M.S., Errimilli A. A bibliographical guide to self-similar traffic and performance modeling for modern high-speed networks. [Электронный ресурс], 2001. - URL Режим доступа: http://linkage.rockefeller.edu/wli/reading/taqqu96.pdf (дата обращения 25.12.2018).
2. Aghdam, J.Y., Feature selection for intrusion detection system using ant colony optimization. [Текст] / J.Y. Aghdam, P. Kabiri // International Journal of Network Security. - 2016. vol. 18, no. 3. - pp. 420-432.
3. Репин Д. С. Анализ и моделирование трафика в корпоративных компьютерных сетях [Текст]: Дис. канд. техн. наук: 05.13.01/ Репин Д. С. - М., 2008. - 143 с. Библиогр. С. 136-143.
4. Гончаров В.А., Пржегорлинский В.Н. Метод обнаружения сетевых атак, основанный на кластерном анализе взаимодействия узлов вычисли-
38
тельной сети // Вестник Рязанского государственного радиотехнического университета. 2011. № 36. C. 3-10.
5. Hofmann A., Sick B. Evolutionary Optimization of Radial Basis Function Networks for Intrusion Detection. Proceedings, International Joint Conference on Neural Networks (Volume 1), 2003. p. 415-420.
6. Middlemiss M., Dick G. Feature Selection of Intrusion detection data using a hybrid genetic of hybrid Intelligent systems. IOS Press Amsterdam, 2003. pp. 519-527.
7. Осовский С.О. Нейронные сети для обработки информации. М.: Финансы и статистика, 2002. 344 с.
8. Явтуховский Е. Ю. Анализ систем обнаружения вторжений на основе интеллектуальных технологий [Текст] // Технические науки: теория и практика: материалы III Междунар. науч. конф. (г. Чита, апрель 2016 г.). — Чита: Издательство Молодой ученый, 2016. — С. 27-30. — URL https://moluch.ru/conf/tech/archive/165/10049/ (дата обращения: 17.01.2019).
УДК: 502/504:627.8
Науменко Н. О.
Всероссийский научно-исследовательский институт гидротехники и мелиорации
имени А.Н. Костякова Новиков А. В.
Российский государственный аграрный университет - МСХА имени К. А. Тимирязева
Сумарукова О. В.
Российский государственный аграрный университет - МСХА имени К. А. Тимирязева
ВЕБ-СИСТЕМА АВТОМАТИЗИРОВАННОГО МОНИТОРИНГА БЕЗОПАСНОСТИ ГИДРОТЕХНИЧЕСКИХ СООРУЖЕНИЙ
Naumenko N. O.
All-Russian Research Institute for Hydraulic Engineering and Land Reclamation
named after A. N. Kostyakova Novikov A. V.
Russian State Agrarian University-Moscow Agricultural Academy named after K.A. Timiryazev
Sumarukova O. V.
Russian State Agrarian University-Moscow Agricultural Academy named after K.A. Timiryazev
THE WEB-BASED SYSTEM FOR AUTOMATED MONITORING OF SAFETY OF HYDRAULIC
STRUCTURES
Аннотация
В России насчитывается более 20 тысяч различных гидротехнических сооружений. Каждая из них минимум один раз в пять лет проходит комплексную проверку, после чего составляется декларация безопасности гидротехнического сооружения. Как показала практика, данный вид мониторинга является крайне неэффективным.
Рассмотренная в работе автоматизированная веб-система могла бы обеспечить мониторинг всего перечня гидротехнических сооружений в режиме реального времени, что позволило бы существенно повысить безопасность гидротехнических сооружений в целом.
Abstract
In Russia there are more than 20 thousand different hydraulic structures. Each of them at least once in five years passes complex check then the Declaration of safety of the hydraulic engineering construction is made. As practice has shown, this type of monitoring is not very effective.
The automated web system considered in the work could provide real-time monitoring of the entire list of hydraulic structures, which would significantly improve the safety of hydraulic structures in General.