ИСПОЛЬЗОВАНИЕ ЦЕПЕЙ МАРКОВА ДЛЯ РЕШЕНИЯ ЗАДАЧ ЗАЩИТЫ ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЕЙ

January 27, 2013 by admin Комментировать »

Нерубенко Н. А., Терновой М. Ю. Институт телекоммуникационных систем Национальный технический университет Украины «Киевский политехнический институт» г. Киев, 03056, Украина, тел.: 380-44-2417699, e-mail: maximter@mail.ru

Аннотация – Предложен метод защиты телекоммуникационных сетей от атак основанный на марковских цепях переменной длины.

I.                                       Введение

Вопрос защиты информации при передаче по линиям связи всегда был и остается актуальным. Большое количество работ посвящено разработке оптимальных методов защиты от проникновений и взломов различных серверов таких как информационные, билинговые и Т. д. [1-3]. Наиболее часто используют такие способы обнаружения серверных атак, как [2-10]: экспертные системы, методы основанные на классификации примеров, нейронных сетях, генетических алгоритмах и частотных моделях. Каждая из этих систем обладает как достоинствами, так и недостатками. Экспертные системы требуют ПОСТОЯННОГО обновления и не обнаруживают атаки, которые длились на протяжении долгого периода времени. Методы, основанные на классификации примеров, нуждаются в очень точной настройке, больших вычислительных ресурсах и объемах данных [4]. Недостатком нейронных сетей и генетических алгоритмов является необходимость вьюокой ТОЧНОСТИ обучения, большое время обучения и возможность анализа одних только заголовков сетевых пакетов [5- 8]. Недостатком частотных моделей является плохая адаптируемость и отсутствие учета последовательности выполнения команд [9, 10].

В работе приводится модель обнаружения аномалий построенная на основе марковских цепей переменной длины. Метод основан на анализе последовательности выполняемых команд и не требует больших вычислительных ресурсов.

II.                              Основная часть

Для каждой сессии пользователя вычисляется вероятность по формуле (1). Так как вероятность определяется как произведение чисел меньших, чем единица, сессии с меньшим числом команд будут иметь большую вероятность, чем с большим. Коэффициентом «нормальности» выбирается величина, которая (при одинаковых множителях) не зависит от длины последовательности:

)

где (г) — вероятность сессии г длины N.

Для каждого пользователя строится отдельное вероятностное суффиксное дерево по модифицированному алгоритму. В зависимости от регулярности поведения и количества команд, которые использовались, размеры деревьев очень варьируются. Самые маленькие из построенных деревьев соответствовали демонам и пассивным пользователям, которые во время работы ограничивались лишь несколькими задачами. Самые большие и ветвистые деревья соответствовали администраторам и активным пользова

телям. Как пример построенного небольшого дерева, приведен случай пользователя, который кроме просмотра ПОЧТЫ практически ничего не делает (рис. 1).

Рис. 1. Пример вероятностного суффиксного дерева Fig. 1. Example ofthe prediction suffix tree

В операционной системе FreeBSD процессы могут ВЫПОЛНЯТЬСЯ не только от имени обычных пользователей, а также от имени псевдопользователей или демонов. Демоны – это специальные активные процессы, которые ВЫПОЛНЯЮТ различные системные функции. Количество активных демонов в конкретной системе зависит от ее конфигурации. Отметим, что атаки против демонов являются одними из самых частых в среде UNIX. Поэтому важно было проверить, как бьютро и насколько приспосабливается наша модель к регулярному постоянному поведению демонов.

Одной из возможных технологий обнаружения аномалий с помощью выбранной модели является способ, при котором для текущей сессии выбирается пользователь, для которого коэффициент /С наибольший среди всех пользователей. Если этот пользователь не совпадает с реальным, от которого получено сессию, можно сделать вывод, что присутствует аномалия.

Популярным примером вторжений является ситуация с украденным паролем. «Чужие» вставленные сессии сильно отличаются по значению К. Поэтому можно ввести пороговую классификацию на нормальную или аномальную сессии. Если значение коэффициента К превышает этот порог, сессия помечается как нормальная, в противоположном случае – аномальная.

III.                                  Заключение

в работе предложен метод обнаружения аномалий построенный на основе марковских цепей переменной длины. Такой подход к обнаружению аномалий не требует больших вычислительных ресурсов и большого затраченного времени, так как он анализирует последовательность выполняемых команд.

[1] Беляев А., Петренко С. Системи виявлення аномал1й: НОВ! iflei в захист! 1нформац||. Експрес – електрон1ка № 2.

–        К., 2004.

[2] ГамаюновД. Сучасн! некомерц1ЙН1 технологи в д1агнос- тиц! аномально!’ мережевоТ активност!. Техн1чна допо- в!дь, 2002.

[3] Кммерер Р., В1джина Д. Виявлення вторгнень: 1стор1я та огляд. Вщкрит! системи № 7-8, 2002.

[4] http://kiev-security.org.Ua/box/12/113.shtml

[5] Debar, Η., Веске, М., & Siboni, D. (1992). А Neural Network Component for an Intrusion Detection System. In Proceedings of the IEEE Computer Society Symposium on Research in Security and Privacy.

[6] Denning D. E. An intrusion -detection model. In Proc. IEEE Symposium on Security and Privacy, Pages 118-131, 1986

[7] IHammerstrom, Dan. (June, 1993). Neural Networks At Work. IEEE Spectrum, pp. 26-53.

[8] Tan, K. (1995). The Application of Neural Networks to UNIX Computer Security. In Proceedings of the IEEE International Conference on Neural Networks, Vol.1 pp. 476-481.

[9] IHeiman, P. and Liepins, G., (1993). Statistical foundations of audit trail analysis for the detection of computer misuse,

IEEE Trans, on Software Engineering, 19(9):886-901.

[10]          Theus IVI. and Schonlau M. Intrusion detection based on structural zeroes. Statistical Computing and Graphics Newsletter, 9(1):12- 17, 1998.

MARKOV CHAINS FOR SOLVING THE TELECOMMUNICATION NETWORKS PROTECTION TASK

Nerubenko N. A., Ternovoy M. Y.

National Technical University of Ukraine «Kyiv Polytechnic University», Kyiv, 03056, Ukraine Ph.: 380-44-2417699, e-mail: maximter@mail.ru

Abstract – Proposed in this paper is the method providing telecommunication networks security on the basis of variable length Markov chains.

I.                                         Introduction

The question of guarding at transmission via telecommunication networks is rather actual. The methods of server attacks detection, such as: expert systems, methods based on examples classification, neural networks, genetic algorithms and frequency models, are prevalent. But all these systems have some disadvantages.

Presented in this paper is the model of anomalies detection on the basis of variable length Markov chains. The method does not require large computational resources and large expended time, while it analyses running commands sequence.

II.                                        Main Part

The probability for each user session was calculated using formula (1). The sessions with the less number of commands have greater probability, than those with the large number, because the probability is the multiplication of the numbers, which are smaller than 1.

The prediction suffix tree was built for every user by modified algorithm. Tree sizes are varied depending on behavior regularity and the number of commands used. The smallest trees were built for daemons and passive users, which were limited by few tasks only during the work. The greatest and branchy trees were built for administrators and active users.

One of the possible technologies for anomalies detection using this model is the method that lies in selection of the user with the greatest coefficient K. If this user does not coincide with the real user, it is possible to assume that anomaly occurs.

III.                                       Conclusion

Proposed in this paper is the method providing telecommunication networks security on the basis of variable length Markov chains. This method doesn’t require great computational resource because it analyses just commands sequence.

Источник: Материалы Международной Крымской конференции «СВЧ-техника и телекоммуникационные технологии», 2006г. 

Оставить комментарий

микросхемы мощности Устройство импульсов питания пример приемника провода витков генератора выходе напряжение напряжения нагрузки радоэлектроника работы сигнал сигнала сигналов управления сопротивление усилитель усилителя усиления устройства схема теория транзистора транзисторов частоты