CC BY
25
РАЗРАБОТКА АЛГОРИТМА ДЛЯ СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ НА ОСНОВЕ ИСКУССТВЕННЫХ ИММУННЫХ СИСТЕМ
А.Г. Коробейников1, д-р техн. наук, профессор, зам. директора по науке И.Б. Бондаренко2, канд. техн. наук, доцент
1Санкт-Петербургский филиал Федерального государственного бюджетного учреждения науки Института земного магнетизма, ионосферы и распространения радиоволн им. Н.В. Пушкова Российской академии наук (СПбФ ИЗМИРАН) 2Санкт-Петербургский государственный университет телекоммуникаций им. проф. М. А. Бонч-Бруевича (Россия, г. Санкт-Петербург)
DOI:10.24412/2500-1000-2021-11-3-21-25
Аннотация. Быстрое развитие систем передачи данных, появление новейших технологий доступа и продвинутых мобильных устройств требуют адекватного роста компьютерной и сетевой безопасности. Традиционные алгоритмы теряют свою эффективность с ростом сложности защищаемых систем, поэтому исследования в области био-инспирированных методов, позволяющих повысить эффективность систем обнаружения вторжений, является актуальными. Использование методов, основанных на искусственных иммунных системах, сопряжено с поиском компромисса между точностью и скоростью обнаружения вторжений. Данная статья посвящена разработке алгоритма, содержащего несколько процедур: фильтрации входного множества данных, отбора параметров сетевой активности с применением теории приближенных множеств и генетического программирования, генерации детекторов с использованием отрицательного отбора. Имитационные эксперименты заключались в обнаружении аномалий по методу приближенных множеств и с использованием генетического алгоритма и сравнения данных по сетевой активности со строками, содержащимися в детекторе. Полученные результаты свидетельствуют, что у метода приближенных множеств худший результат по детектированию атак, но лучший по отсеиванию ложных атак, а у линейного генетического картина обратная, что указывает на необходимость проведения дальнейших исследований.
Ключевые слова: сетевая безопасность, искусственные иммунные системы, система обнаружения вторжений, биоинспирированный алгоритм, атака.
Система обнаружения вторжений (СОВ) - совокупность программного и аппаратного обеспечения, позволяющая осуществлять мониторинг сетевой активности для предотвращения атак извне. Использование СОВ позволяет получать отчеты в реальном времени о взломах сети, а также идентифицировать злоумышленников по следам вторжений.
Определение несанкционированных пользователей осуществляется в СОВ сравнением поведенческой модели - профиля пользователя с его действиями в текущем сеансе работы. Такие системы используют два подхода. Если детектируется такое поведение пользователя, которое
совпадает с любой из сигнатур, обозначающих вторжение, то фиксируется факт злоупотребления. Известные системные уязвимости составляют основу базы данных шаблонов сигналов тревоги. Полнота и актуальность правил в этом случае имеют решающее значение. Новые типы атак такой механизм детектировать не сможет.
Если поведение пользователя не соответствует установленному нормальному, то при этом СОВ детектирует атаку. При этом сразу возникает множество проблем: создание полного множества профилей нормального поведения затруднителен, за короткий промежуток времени сложно принять решение о поведении, а использо-
вание средств маскировки затрудняет выявление злоумышленников. Но такой механизм легко настроить и детектировать неизвестные системе типы вторжений.
В СОВ используются различные методы и технологии, например, такие как Support Vector Machines (SVM), Multivariative Adaptive Regression Splines (MARS), и другие. Все они обладают определенными достоинствами: одни позволяют работать в режиме реального времени, другие - обладают большей точностью. Но в связи с ростом сложности объектов защиты, традиционные методы обнаружения вторжений теряют свою эффективность.
Применение алгоритмов на основе био-инспирированных подходов, - генетического программирования и искусственных иммунных систем (ИИС) позволяет снизить затраты и повысить эффективность анализа и обнаружения сетевых вторжений злоумышленников.
Первые работы, посвященные ИИС, появились достаточно давно, в 80-х годах [1, 2], но, как и многие теории, лишь относительно недавно эта концепция стала стремительно развиваться и обрела прикладной характер. Уже в 2005 году была предложена многоуровневая СОВ с использованием теории ИИС для защиты сетевых ресурсов [3].
Исследования показали, что, несмотря на хорошие результаты использования ИИС в составе СОВ, вычислительная сложность иммунных алгоритмов достаточно высока, поэтому для сложных сетевых систем необходим поиск компромисса между точностью обнаружения вторжений и быстродействием СОВ.
Отметим, что быстродействие при обнаружении вторжений определяется количеством параметров, анализируемых СОВ. Поэтому разработка механизма отбора параметров также является важной задачей, затрагиваемой в данном исследовании.
Следовательно, задача данного исследования: разработка алгоритмов работы СОВ на основе ИИС является актуальной.
Постановка задачи
Известны шесть типов сетевых вторжений: злоупотребление - несанкционированные действия, которые совершают авторизованные пользователи, разведка -поиск уязвимости сети, попытка проникновения - попытка получить доступ к вычислительным ресурсам, проникновение -получение доступа к ресурсам компьютера, троянизация - внедрение несанкционированных процессов в атакуемую систему, отказ в обслуживании: атака на систему с целью ее перегрузки.
Эффективность работы СОВ оценим с помощью терминологии, используемой в методологии прогнозирования событий:
- TruePositive (ТР) - срабатывание механизма тревоги при наличии атаки;
- FalsePositive (FP) - событие, сигнализирующее СОВ о возникновении тревоги при отсутствии атаки;
- FalseNegative ^^ - отказ СОВ обнаружить фактическую атаку.
- TrueNegative (Т^ - нападение не произошло, и тревога не поднимается.
Качество работы СОВ можно оценить по показателям эффективности, адаптивности и масштабируемости. СОВ должна иметь максимум по обнаружению атак ТrueРositive и минимум по FalseРositive.
Биологическая иммунная система имеет сложную многоуровневую структуру с горизонтальными и вертикальными связями распределенного типа и использует различные механизмы ответа на воздействия на организм возбудителя: либо уничтожение патогенного эффекта, либо инфицированных клеток [4].
При попадании неизвестного антигена в организм небольшое количество клеток способно его распознать, но, стимулируя процессы размножения и дифференциров-ки лимфоцитов, иммунная система формирует множество клонов идентичных клеток - антител. Популяция антителопроду-цирующих клеток способна разрушить или нейтрализовать антиген. Причем часть таких образованных клеток сохраняется, что позволяет быстро реагировать механизму защиты при повторной атаке.
Несмотря на то, что биологическая иммунная система до конца не изучена, ее
механизмы легли в основу работы СОВ. Моделирование процесса иммунного ответа на воздействия представляют собой сложную, но интересную задачу теории динамических систем.
Результаты исследования
Исследования по ИИС для СОВ проводятся по нескольким направлениям: моделирование естественной иммунной системы, обнаружение аномалий и имитационные эксперименты.
По аналогии с работой биологической иммунной системы по уничтожению вредных антител исследователями был разработан алгоритм отрицательного отбора для обнаружения аномалий. Биоинспириро-ванный алгоритм позволяет генерировать детекторы, которые и участвуют для обнаружения аномалий.
Алгоритм, осуществляющий отрицательный отбор состоит из следующих шагов:
1. Создание массива собственных строк
2. Генерация случайным образом множества строк Я.
3. Для строки г у □ Я,, 7=0, ...,т, у'=0,... ,т при наличии алгоритмов поиска совпадений, если 5г/ Ф Гц, то строка Я, сохраняется в набор детектора Б. В противном случае строка Я] отбрасывается.
Алгоритм был реализован в среде MATLAB [5,6].
Таким образом, алгоритм отрицательного отбора определяет факт совпадения между случайной строкой множества Я и строкой из множества 5, а аффинность между Я и 5 определяется с помощью расчета расстояния по Евклиду, по Хэммингу или г-смежного алгоритма битовых правил. Тогда, если сумма расстояний между Я и 5 будет меньше некоторого порогового значения, то Я сохраняется в Б.
Приведенный алгоритм отрицательного отбора выгодно отличается от алгоритмов клонального отбора и иммунного сетевого алгоритма при решении задачи обнаружения сетевых аномалий и злоупотреблений в сети, поэтому лег в основу разрабатываемой СОВ.
Обнаружение сетевых вторжений производится в несколько этапов.
1. Сбор данных при нормальном функционировании системы. Эта информация будет использована в алгоритме отрицательного отбора.
2. Генерация детекторов, при которой алгоритм отрицательного отбора формирует банк данных.
3. Мониторинг сетевой активности в реальном масштабе времени. При этом сетевые данные сравниваются с детекторами для выявления аномалий.
Для получения экспериментальных данных для дальнейшего анализа можно: либо использовать утилиты для перехвата сетевых пакетов в виртуальной сети, например, tcpdump, которые будут содержать время, сетевые адреса источника и получателя, номера портов источника и получателя и т.д., либо воспользоваться готовым набором данных, предоставляемых лабораторией специально для целей тестирования, например, KDDCup 99 dataset. Авторы выбрали второй путь, так как виртуальные сети не отражают реальных событий в конкретных условиях, а готовые наборы содержат данные при отсутствии и наличии атак. Выбранный набор содержит данные мониторинга работы типичной локальной вычислительной сети типа ВВС (США), 24 распространенных и 14 дополнительных типов атак, в том числе DDoS (Land, Mailbombing, SYNFlood, Pingofdeath, Processtable, Smurf), Remotetolocal, Usertoroot, Probing.
Структурно каждая запись в наборе KDDCup состоит из набора из 41 параметра и типа активности сети.
Несмотря на то, что предварительная обработка данных, содержащихся в наборе, уже производилась, потребовалось дополнительное преобразование символьной информации в числовую форму в виде категорий. Но квантования данных оказалось недостаточно, так как, было необходимо сократить число параметров для ускорения работы алгоритма отрицательного отбора.
Сокращение количества данных производилось в несколько этапов.
Во-первых, необходимо отфильтровать сырые данные (что уже сделано в наборе). Во-вторых, в многомерном массиве некоторые параметры могут иметь отрицательную корреляцию, что будет препятствовать работе СОВ. В-третьих, разные параметры по-разному влияют на результат работы СОВ. Здесь надо отметить, что до сих пор не определена связь между значениями сетевых параметров с различными типами атак, хотя на эту проблему сфокусировано множество исследований.
В работе были использованы алгоритмы отбора параметров сетевой активности, основанные на теории приближенных (грубых) множеств и линейного генетического программирования (здесь их описания опущены для экономии места) применительно к записям, относящихся к нормальной работе локальной сети [7].
Затем, на этапе генерации детекторов, с использованием алгоритма отрицательного отбора было определено пространство D с порогом 0,4.
Этап обнаружения аномалий заключался в построении процедуры сравнения данных по сетевой активности со строками, содержащимися в массиве D. При совпадении какого-либо элемента детектировалась аномалия. В противном случае активность считалась нормальной.
При сравнении алгоритмов (см. таблицу) видно, что СОВ при использовании алгоритма приближенных множеств дает лучший результат по ложным тревогам, но и худший по детектированию атак, а СОВ с линейным генетическим алгоритмом показывает, что наоборот - выявленных атак стало больше, а нормального поведения -меньше.
Таблица. Сравнение алгоритмов для построения СОВ
Алгоритм TP FN FP TN TP, % TN, %
Приближенных множеств 192121 47116 17 60746 80,31 99,97
Линейный генетический 238880 357 9209 51554 99,85 84,84
Заключение ния их в СОВ, а, наоборот, требуют все-
В заключении хочется отметить, что стороннего исследования, направленного приведенные методы и алгоритмы не яв- на повышение производительности и эф-ляются окончательными для использова- фективности СОВ на основе ИИС.
Библиографический список
1. Farmer J.D. The immune system, adaptation and machine learning / J.D. Farmer, N. Packard, A. Perelson // Physica D 1986. vol. 2 P. 187-204.
2. Bersini H. Hints for adaptive problem solving gleaned from immune networks. Parallel Problem Solving from Nature / H. Bersini, F.J. Varela // First Workshop PPSW 1 - 1990.
3. Dasgupta D. Immunity-based intrusion detection systems / D. Dasgupta // 22nd Nat. Information SystemsSecurity Conf. 2005.
4 . Hofmeyr S. A.Immunity by design: An artificial immune system / S. A. Hofmeyr, S. Forrest // Genetic andEvolutionary Computation Conference. 1999.P.1289-1296.
5. Коробейников А.Г., Кутузов И.М. Алгоритм обфускации//Кибернетика и программирование. 2013. № 3. С. 1-8.
6. Коробейников А.Г., Кутузов И.М., Колесников П.Ю. Анализ методов обфуска-ции//Кибернетика и программирование. 2012. № 1. С. 31-37.
7. De Castro, L. N.An artificial immune network for multimodal function optimization / Leandro N. de Castro, Jon Timmis // IEEECongress on Evolutionary Computation (CEC) -2002, P. 699-704.
DEVELOPMENT OF ALGORITHM FOR INTRUSION DETECTION SYSTEM BASED
ON ARTIFICIAL IMMUNE SYSTEMS
A.G. Korobeinikov1, Doctor of Technical Sciences, Professor, Deputy Director for Science I.B. Bondarenko2, Candidate of Technical Sciences, Associate Professor 1Saint Petersburg Branch of the Federal State Budgetary Institution of Science of the Institute of Terrestrial Magnetism, Ionosphere and Radio Wave Propagation. N.V. Pushkov Russian Academy of Sciences (SPbF IZMIRAN)
2The Bonch-Bruevich Saint Petersburg State University of Telecommunications (Russia, St. Petersburg)
Abstract. The rapid development of data transfer systems, the advent of the latest access technologies and advanced mobile devices require adequate growth of computer and network security. Traditional algorithms lose their effectiveness with the increasing complexity of protected systems, so research into bio-inspired methods to increase the efficiency of intrusion detection systems is relevant. The use of methods based on artificial immune systems involves finding a compromise between the accuracy and speed of intrusion detection. This article is devoted to the development of an algorithm containing several procedures: filtering the input set of data, selecting parameters of network activity using the theory of approximate sets and genetic programming, generating detectors using negative selection. Simulation experiments consisted of detecting anomalies using the approximate set method and using a genetic algorithm and comparing network activity data with rows contained in the detector. The results show that the method of approximate sets has the worst result in detecting attacks, but the best in screening out false attacks, and the linear genetic picture is the opposite, which indicates the need for further research.
Keywords: network security, artificial immune systems, intrusion detection system, bio-inspired algorithm, attack.
