Казанский государственный технический университет им. А.Н. Туполева

КАФЕДРА СИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ОТЧЕТ

по преддипломной практике

по специальности 090104 «Комплексная защита объектов информатизации»

Тема: «Нейросетевые технологии в диагностике аномальной сетевой активности»

Выполнила:

студентка группы 4505

Газимова Д.Р.

Руководитель от университета:

к.т.н., доц. каф. СИБ

_____________ Катасёв А.С.

Оценка __________

«____» _____________ 2009 г.

Казань 2009

СОДЕРЖАНИЕ

ВВЕДЕНИЕ 3

1. АНАЛИЗ СУЩЕСТВУЮЩИХ ПОДХОДОВ К ОБНАРУЖЕНИЮ АТАК 4

1.1. Классификация атак 4

1.2. Современные подходы к обнаружению атак 9

1.3. Технологии систем обнаружения атак 10

1.4. Обнаружение аномальной сетевой активности 12

2. СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК НА ОСНОВЕ НЕЙРОННЫХ СЕТЕЙ 15

2.1. Понятие нейронной сети 15

2.2. Нейросетевые системы обнаружения аномалий 16

2.3. Нейросетевые системы обнаружения злоупотреблений 17

3. РАЗРАБОТКА НЕЙРОННОЙ СЕТИ ДЛЯ ДИАГНОСТИКИ АНОМАЛЬНОЙ СЕТЕВОЙ АКТИВНОСТИ 20

3.1. Задача разработки нейронной сети 20

3.2. Описание разработанной нейронной сети 21

ЗАКЛЮЧЕНИЕ 24

СПИСОК ЛИТЕРАТУРЫ 25

Введение

Из-за возрастающей зависимости, в которой находятся компании и правительственные агентства от своих вычислительных сетей, защита этих систем от атак становится чрезвычайно важной задачей. Единственная атака на компьютерную сеть может привести либо к потере информации, либо к несанкционированному использованию ресурсов сети, либо к видоизменению большого количества данных. Это заставляет пользователей задаваться вопросом об эффективности защиты информации в сети. Существует большое количество методов реагирования на сетевую атаку, но все они требуют точности и своевременной ее идентификации.

Возрастающее преобладание распределенных сетевых систем и незащищенных сетей, таких как Internet, значительно актуализировали необходимость разработки и совершенствования систем обнаружения атак.

В данной работе анализируются известные подходы к задаче обнаружения аномальной сетевой активности. Выявляются достоинства и недостатки данных подходов. Предлагается и разрабатывается нейронная сеть для эффективного решения задачи диагностики аномальной сетевой активности.

Целью преддипломной практики является анализ возможности повышения эффективности диагностики аномальной сетевой активности на базе использования аппарата искусственной нейронной сети. Для достижения поставленной цели решаются следующие задачи:

- анализ существующих подходов, используемых для обнаружения атак;

- обоснование необходимости использования и разработка нейронной сети для диагностики аномальной сетевой активности;

- разработка методики и формирование обучающей выборки для обучения нейронной сети.

1. Анализ существующих подходов к обнаружению атак

1.1. Классификация атак

В настоящее время известно большое количество различных типов классификационных признаков. Все возможные сетевые атаки можно разделить на следующие типы [2]:

1) удаленное проникновение – это тип атак, которые позволяют реализовать удаленное управление компьютером через сеть (например, атаки с использованием программ NetBus или BackOrifice);

2) локальное проникновение (от англ. local penetration) – это тип атак, которые приводят к получению несанкционированного доступа к узлу, на который они направлены (примером такой атаки является атака с использованием программы GetAdmin);

3) удаленный отказ в обслуживании – тип атак, которые позволяют нарушить функционирование системы в рамках глобальной сети (пример такой атаки – Teardrop или trinOO);

4) локальный отказ в обслуживании (от англ. local denial of service) – тип атак, позволяющих нарушить функционирование системы в рамках локальной сети или хоста, к которому хакер имеет доступ (например, внедрение и запуск враждебной программы, которая загружает центральный процессор бесконечным циклом, что приводит к невозможности обработки запросов других приложений);

5) атаки с использованием сетевых сканеров – программ, которые анализируют топологию сети и обнаруживают сервисы, доступные для атаки (например, атака с использованием утилиты nmap);

6) атаки с использованием сканеров уязвимостей – программ, осуществляющих поиск уязвимостей на узлах сети, которые в дальнейшем могут быть применены для реализации сетевых атак (примерами сетевых сканеров могут служить системы SATAN и Shadow Security Scanner);

7) атаки с использованием взломщиков паролей – программ, подбирающих пароли пользователей (например, программа LOphtCrack для ОС Windows или программа Crack для ОС Unix);

8) атаки с использованием анализаторов протоколов (sniffers) – программах, прослушивающих сетевой трафик. С их помощью можно автоматизировать поиск в сетевом трафике такой информации, как идентификаторы и пароли пользователей, информацию о кредитных картах и т.д.

Другая классификация, предложенная компанией Internet Security Systems, Inc., содержит пять типов атак [2]:

1) сбор информации;

2) попытки несанкционированного доступа;

3) отказ в обслуживании;

4) подозрительная активность;

5) системные атаки.

В своих продуктах, предназначенных для защиты сетей, серверов и рабочих станций (таких как, например, Real Secure, System scanner и др.) компания Internet Security Systems использует несколько других классификационных признаков возможных сетевых атак.

По степени риска – имеет большое практическое значение, так как позволяет ранжировать опасность атак по следующим классам:

- высокий (High) – атаки, успешная реализация которых позволяет атакующему немедленно получить доступ к машине, получить права администратора или обойти межсетевые экраны;

- средний (Medium) – атаки, успешная реализация которых потенциально может дать атакующему доступ к машине (например, ошибки в сервере NIS, позволяющие атакующему получить файл с гостевым паролем);

- низкий (Low) – атаки, при успешной реализации которых атакующий может получить сведения, облегчающие ему задачу взлома данной машины (например, используя сервис finger, атакующий может определить список пользователей сервера и, используя атаку по словарю, попытаться получить доступ к машине).

По типу атаки – позволяет судить о том, может ли атака быть осуществлена удаленно или только локально:

- локальные (Host Based);

- удаленные (Network Based).

По подверженному данной атаке программному обеспечению (в англ. варианте – Platforms Affected). Например: Microsoft Internet Explorer 5.01, Microsoft Internet Explorer 5.5, Microsoft Internet Explorer 6.

Кроме того, существует классификация по характеру действий, используемых в атаке:

- "черные ходы" (Backdoors) – атаки, основанные на использовании недокументированных разработчиками возможностях программного обеспечения (ПО), которые могут привести к выполнению пользователем несанкционированных операций на атакуемом сервере;

- атаки типа "отказ в обслуживании" (Denial of Service, DoS) – атаки, основанные на использовании ошибок, позволяющие атакующему сделать какой- либо сервер недоступным для легитимных пользователей;

- распределенные атаки типа "отказ в обслуживании" (Distributed Denial of Service) – несколько пользователей (или программ) посылают большое количество фиктивных запросов на сервер, приводя последний в нерабочее состояние;

- потенциально незащищенная операционная система (OS Sensor);

- неавторизованный доступ (Unauthorized Access Attempts).

Недостаток данного типа классификации заключается в невозможности описания цель атаки, а также ее последствия. Например, классификационный признак "по характеру действий" содержит два класса атак типа "отказ в обслуживании", но в то же время не содержит классов, описывающих атак, направленных на перехват трафика.

Другой подход был применен в классификации, использованной в программном продукте Nessus, предназначенном для анализа безопасности серверов. Здесь используется классификация по характеру уязвимости, используемой для реализации атаки [3]:

- "черные ходы" (Backdoors);

- ошибки в CGI-скриптах;

- атаки типа "отказ в обслуживании";

- ошибки в FTP-серверах;

- наличие на компьютере сервиса Finger или ошибки в программах, реализующих этот сервис;

- ошибки в реализации межсетевых экранов;

- ошибки, позволяющие пользователю, имеющему терминальный вход на данный сервер, получить права администратора;

- ошибки, позволяющие атакующему удаленно получить права администратора;

- прочие ошибки, не вошедшие в другие категории;

- ошибки в NIS-серверах;

- ошибки в RPC-серверах;

- уязвимости, позволяющие атакующему удаленно получить любой файл с сервера;

- ошибки в SMTP-серверах;

- неиспользуемые сервисы (Useless services).

Кроме того, по типу программной среды они подразделяются на уязвимости в операционной системе, уязвимости в определенном сервисе и уязвимости в определенном программном обеспечении. Для определения уязвимости в операционной системе используется параметр Host/OS, уязвимости в конкретных сервисах и в определенном программном обеспечении классифицируются по группам.

В этой классификации более детально, по сравнению с предыдущими, проработаны атаки, использующие уязвимости в системном, прикладном и сетевом программном обеспечении. Однако данная классификация не охватывает всех существующих сетевых атак, за пределами рассмотрения остаются такие опасные атаки, как атаки типа "отказ в обслуживании", перехват данных и атаки, направленные на сетевое оборудование. Положительной чертой данной классификации является наличие класса "прочие ошибки, не вошедшие в другие категории", так как формально к любой атаке, в том числе новой, благодаря этому классу будет применима данная классификация. Однако, с другой стороны, этот класс бесполезен, поскольку не содержит никакой дополнительной информации.

Как видно из описанных классификаций, далеко не все они являются полными. В некоторых случаях под видом единой классификации делается попытка объединить несколько классификаций, проведенных по разным характеристическим параметрам. Появление новых атак приводит к снижению эффективности применения существующих классификаций, поэтому их использование без внесения изменений не представляется возможным. Данная ситуация объясняется огромным количеством различных сетевых атак и постоянным появлением новых атак, некоторые из которых не подчиняются критериям существующих классификаций.

Таким образом, все типы атак, рассмотренные в рамках приведенных классификаций, можно свести к двум категориям: аномалии и злоупотребления.

При обнаружении аномалий идентифицируется деятельность, которая отличается от шаблонов, установленных для пользователей или групп пользователей. Обнаружение аномалий, как правило, включает создание базы данных, которая содержит профили контролируемой деятельности.

Обнаружение злоупотреблений включает сравнение деятельности пользователя с известными шаблонами поведения хакера, пытающегося проникнуть в систему. В то время как при обнаружении аномалий, как правило, используется мониторинг пороговой величины для определения достижения определенный установленный предел, методы обнаружения злоупотреблений часто используют подход на основе правил. Когда они применяются для обнаружения злоупотреблений, правила описывают сценарии атак. Механизм обнаружения идентифицирует потенциальные атаки, в случае, если действия пользователя совпадают с установленными правилами. Наличие исчерпывающих баз данных таких правил является наиболее важным аспектом для экспертных систем обнаружения атак.