Рис. 4. Результат проверки ANFIS сети
Дальнейшее исследование данной темы предполагает разработку системы повышения энергоэффективности ВЭУ, где прогноз выработки ВЭУ с помощью гибридных сетей ЛЫИБ будет использован в качестве входной переменной для алгоритмов на основе нечеткой логики, заложенных в контроллеры системы управления.
Данное исследование поддержано Российским фондом фундаментальных исследований, проект N0.16-38-60080 «Нейро-нечеткие модели и алгоритмы управления ветроэнергетической установкой для повышения её энергоэффективности».
Литература
1. Леоненков А. В. Нечеткое моделирование в среде MATLAB и fuzzyTECH. СПб.: БХВ-Петербург, 2005. 736 с.: ил.
2. Штовба С. Д. Введение в теорию нечетких множеств и нечеткую логику. [Электронный ресурс]. Режим доступа: http://matlab.exponenta.ru/fuzzylogic/book1/index.php/ (дата обращения: 04.10.2016).
3. Nauck D., Klawonn F., Kruse R. Foundations of Neuro-Fuzzy Systems / John Wiley & Sons, 1997. 305 p.
4. Зубова Н. В. Повышение режимной управляемости ветроэнергетических установок с изменяемой геометрией лопастей регуляторами на нечеткой логике: дис. ... канд. техн. наук: 05.14.02. Новосибирск, 2014. 190 с.
Application of attack detection methods for detecting port scanning Kozhevnikova I.1, Ananin E.2, Lysenko A.3, Pasyuk A.4 Применение методов обнаружения атак при детектировании сканирования портов Кожевникова И. С.1, Ананьин Е. В.2, Лысенко А. В.3, Пасюк А. О.4
'Кожевникова Ирина Сергеевна /Kozhevnikova Irina — магистрант, кафедра телекоммуникационных систем; 2Ананьин Евгений Викторович /Ananin Evgeny — студент; 3Лысенко Александр Вячеславович /Lysenko Alexander — студент, кафедра информационной безопасности; 4Пасюк Алексей Олегович /PasyukAlexey — ассистент, кафедра телекоммуникационных систем, Волгоградский государственный университет, г. Волгоград
Аннотация: дано определение сканирования портов и выделены основные типы сканирования. Рассмотрены системы обнаружения атак, такие как обнаружение аномалий и злоупотреблений. Выделены системы обнаружения аномалий, как наиболее подходящие для обнаружения сканирования сетевых портов.
Abstract: a definition of a port scanning and the main types of scanning were made. Considered intrusion detection systems, such as the detection of anomalies and misuses. Marked anomaly detection system, as the most appropriate for the detection of scanning network ports.
Ключевые слова: сканирование портов, атака, система обнаружения, аномалия, злоупотребление.
Keywords: port scanning, attack detection system, an anomaly, misuse.
Стремительное развитие компьютерных сетей и информационных технологий вызывает ряд проблем, связанных с безопасностью сетевых ресурсов, которые требуют новых подходов. Сканирование предваряет атаку, позволяя злоумышленнику выяснить, какие сервисы работают в целевой системе, а значит, подготовить и провести целенаправленную атаку против выявленных сервисов и их уязвимостей. Чтобы не допустить реализацию атаки, следует бороться с разведкой, предшествующей ей. Различают следующие типы сканирования:
• Сетевое сканирование - определение находящихся в сети узлов;
• Сканирование портов - выявление открытых и функционирующих сервисов;
• Сканирование безопасности системы - выявление известных уязвимостей системы.
Не существует отдельного класса методов по обнаружению сканирования портов, обычно данная функция включена в системы обнаружения атак. Общепринятая классификация систем обнаружения атак включает системы обнаружения аномалий и системы обнаружения злоупотреблений [1]. На рисунке 1 представлена схема обнаружения сетевых аномалий [2] на основе показателей трафика сети.
Общий алгоритм выявления сетевых аномалий может быть описан следующим образом. Исходными данными для анализа является сетевой трафик, представленный набором сетевых пакетов. Собранные данные служат источником необходимой информации для последующего анализа. С помощью полученных данных строится текущий профиль активности сети или системный профиль. Созданный набор признаков сравнивается с набором характеристик нормальной деятельности системы — шаблоном нормального поведения.
Рис. 1. Схема обнаружения сетевых аномалий
Если наблюдается существенное расхождение сравниваемых параметров, то фиксируется сетевая аномалия. В противном случае происходит уточнение шаблона нормального поведения посредством изменения параметров его настройки с учетом текущего наблюдаемого профиля сетевой активности. Результативность данного метода будет зависеть от корректности шаблона нормального поведения. Данная задача является трудоемкой и не всегда выполнимой. Так, на практике оказывается, что не каждое аномальное поведение является атакой [3]. К примеру, администратор сети может применять отладочные утилиты для диагностики сетевого окружения. Действия подобного рода не являются вредоносными, однако системы обнаружения аномалий считают эту деятельность аномальной.
Изучение обнаружения злоупотреблений началось с доклада Андерсона в 1980 году. Данный метод производит обнаружения атаки путем сопоставления фактического поведения, записанного в журнале аудита с известным поведением атаки. Метод обнаружения злоупотреблений эффективен в выявлении известных атак, но бесполезен при столкновении с неизвестными или новыми формами атак. Любые ошибки при определении совпадений записей приводят к различным ошибкам I и II рода [4], которые увеличивают частоту ложных тревог и снижают эффективность обнаружения.
На рисунке 2 показана схема обнаружения злоупотреблений [5] в сетевом трафике.
Рис. 2. Схема обнаружения злоупотреблений
При обнаружении злоупотреблений первичными данными для анализа является сетевой трафик. Выделенные атрибуты и поля сетевых пакетов передаются в модуль, который выполняет поиск и проверку на соответствие входных данных правилам и оповещает о наличии угрозы в случае положительного срабатывания одного из правил.
Ключевой проблемой при создании любой системы обнаружения злоупотреблений является вопрос об эффективном проектировании механизма задания правил [6]. Создание исчерпывающей базы правил для выявления всевозможных атак является невозможным в силу той), что описание различных вариаций атакующих действий негативно сказывается на производительности системы.
Рассматривая данную классификацию с тоски зрения обнаружения сканирования сетевых портов, можно отметить, что системы обнаружения аномалий являются более эффективными для задачи обнаружения сканирования, так как они работают на основании статистики определенной сети, учитывающей все ее особенности. Системы обнаружения злоупотреблений также являются эффективными, но в меньшей степени, это обуславливается тем, данные системы являются эффективным инструментом для выявления известных типов сканирования портов, но их применимость по отношению к новым типам сканирования, а также к модификациям известных типов является безрезультативной.
Обобщая рассмотренные выше методы обнаружения атак, можно представить следующую схему методов обнаружения атак [7]:
Рис. 3. Классификация методов обнаружения атак
Поскольку методы обнаружения аномалий более эффективны при обнаружении сканирования сетевых портов, то согласно схеме, в ходе дальнейшего исследования будут рассмотрены такие методы как:
• Поведенческие;
• Машинного интеллекта;
• Вычислительного интеллекта.
Литература
1. Лукацкий А. В. Обнаружение атак. 2. СПб.: Мастер систем, 2003. 563 с.
2. Ghorbani A. A., Lu W., Tavallaee M. Network Intrusion Detection and Prevention: Concepts and Techniques. Springer Science & Business Media, 2009. 212 с.
3. Шаньгин В. Ф. Информационная безопасность компьютерных систем и сетей. М.: ИД «ФОРУМ». ИНФРА-М, 2011. 416 с.
4. Аткина В. С. Оценка эффективности катастрофоустойчивых решений // Вестник Волгоградского государственного университета. Серия 10. Инновационная деятельность, 2012. № 6. С. 45-48.
5. Kumar S., Spafford E. H. A Pattern Matching Model for Misuse Intrusion Detection. Proceedings of the 17th National Computer Security Conference, 1994. С. 11-21.
6. Никишова А. В. Интеллектуальная система обнаружения атак на основе многоагентного подхода // Вестник Волгоградского государственного университета. Серия 10. Инновационная деятельность, 2011. № 5. С. 35-37.
7. Браницкий А. А., Котенко И. В. Анализ и классификация методов обнаружения сетевых атак // Труды СПИИРАН, 2016. № 2. С. 207-244.