Технологии обнаружения сетевых атак

Последнее время в мире развивается тенденция использовать нейросетевые системы для обнаружения и распознавания атак на компьютерные сети. Существующие подходы характеризуются рядом особенностей, которые затрудняют их применение в этой предметной области (невысокая скорость работы и низкая точность). Для устранения этих недостатков далее будут предложены и исследованы различные нейросетевые архитектуры, базирующиеся на интеграции двух типов сетей: рециркуляционные и многослойный персептрон.

1. Введение

Одной из форм глобализации мирового пространства является информационная глобализация, которая связана с повсеместным распространением сети Интернет. В результате значительно возросло количество атак и злоупотреблений в сфере высоких технологий. Поэтому вопросу безопасности компьютерных систем уделяется все больше и больше внимания. Важным этапом обеспечения безопасности компьютерных систем является проектирование Систем Обнаружения Атак (Intrusion Detection System – IDS). В настоящее время разрабатывается большое количество различных технологий защиты компьютерных сетей, которые базируются на технологиях извлечения данных (datamining), на применении нейронных сетей (neural networks), статистическом анализе и т.п. К недостаткам существующих моделей IDS, в первую очередь, можно отнести уязвимость к новым атакам, низкая точность и скорость работы. Современные системы обнаружения вторжений плохо приспособлены к работе в реальном режиме времени, в то время как возможность обрабатывать большой объем данных в реальном режиме времени – это определяющий фактор практического использования систем IDS. Далее представлены нейросетевые подходы для построения систем обнаружения атак, которые базируются на использовании рециркуляционных и многослойных нейронных сетей.

2. Постановка задачи исследования

Объектом исследования в работе являются искусственные нейронные сети в задачах обнаружения компьютерных атак на основе анализа и обработки данных о параметрах сетевых соединений, использующих стек протоколов TCP/IP.

Цель работы – разработка и исследование нейросетевой системы обнаружения атак на компьютерные сети, а также разработка соответствующего программного обеспечения. На основе анализа моделей следует сделать выводы об их преимуществах и недостатках.

В соответствии с целью определен круг задач: • разработать нейросетевой подход для обнаружения атак на компьютерные сети; • разработать нейросетевые архитектуры для построения IDS; • разработать программное обеспечение и реализовать модели IDS на любом ЯП; • сгенерировать обучающую выборку; • исследовать эффективность предложенных нейросетевых моделей обнаружения атак; • выполнить анализ результатов и сделать соответствующие выводы.

3. Методика обнаружения вторжений

Существует два основных метода в сфере обнаружения атак: обнаружение злоупотреблений (misuse detection) и обнаружение аномалий (anomaly detection). Обнаружение злоупотреблений предполагает наличие сигнатур атак. Основным недостатком таких систем является их неспособность обнаруживать новые или неизвестные атаки,  т.е. записи о которых в системе отсутствуют. Обнаружение аномалий связано с построением профиля нормального поведения пользователя. При чем атакой считается любое отклонение от этого профиля. Главным преимуществом таких систем является принципиальная возможность определения ранее не встречавшихся атак. Любая атака на систему может быть выявлена в ходе анализа сетевого трафика и/или системных ресурсов (журналы регистрации событий, файлы и т.п.). Поэтому IDS различаются по уровню обнаружения: сетевого уровня и системного уровня. Системы обнаружения атак на уровне сети используют в качестве источника данных для анализа необработанные (raw) сетевые пакеты. В последнее время, в целях повышения качества распознавания, все чаще применяют комбинированные решения, проводящие мониторинг данных, как на уровне сети, так и на уровне системы.   Рассмотрим принципиальную схему системы обнаружения атак, предназначенную для выявления и противодействия атакам злоумышленников на сетевом уровне. Система представляет собой специализированное программно-аппаратное обеспечение с типовой архитектурой, включающей в себя следующие компоненты (рис.

1):

Рис. 1–Типовая архитектура систем обнаружения атак.

• модули-датчики для сбора необходимой информации о сетевом трафике; • модуль выявления (распознавания) атак, выполняющий обработку данных, собранных датчиками, с целью обнаружения информационных атак; • модуль реагирования на обнаруженные атаки; • модуль хранения конфигурационной информации, а также информации об обнаруженных атаках. Таким модулем, как правило, выступает стандартная СУБД; • модуль управления компонентами IDS. Модуль выявления атак наиболее сложный и важный элемент IDS, от которого зависит эффективность работы всей системы. Поэтому наши исследования связаны с разработкой именно этого модуля.