ОБНАРУЖЕНИЕ СЕТЕВЫХ АНОМАЛИЙ НА ОСНОВЕ НЕЙРОСЕТЕВЫХ ТЕХНОЛОГИЙ

February 16, 2013 by admin Комментировать »

Глоба Л. С., Демидова Я. А., Терновой М. Ю. Институт телекоммуникационных систем Национальный технический университет Украины «Киевский политехнический институт» г. Киев, 03056, Украина тел.: 380-44-2417699, e-mail: maximter@mail.ru

Аннотация – Обоснована целесообразность использования нейросетевых технологий для выявлении аномалий в сетевом трафике. Предложен метод решения задачи выявления аномалий сетевого трафика на основе нейросетевого подхода. Для решения поставленной задачи произведен выбор модели нейросети с обратным распространением ошибки. Промоделированы некоторые типы DoS/DDoS (Denial of Service) атак. Проанализирована эффективность данного подхода для выявления DoS/DDoS атак на практике.

I.                                       Введение

Угрозы информационной безопасности возникают из-за наличия различного рода уязвимостей, на которые нацелены всевозможные атаки на информационные системы. Это заставляет пользователей информационных систем вести постоянную борьбу за обеспечение инфор-мационной безопасности. Существует большое количество различных видов атак на информа- ционные системы, среди которых атаки на сетевом уровне являются одними из самых опасных [1],[2]. Для защиты от сетевых атак разработано большое количество ставших традиционными методов их обнаружения и анализа, а также реагирования на нештатные ситуации. Одно из важных мест среди них занимают системы обнаружения вторжений, позволяющие автоматизировать процессы выявления аномалий в сетевом трафике [3]. Эффективность таких систем во многом зависит от применяемых методов анализа базы знаний. В настоящее время наряду с традиционными методами на базе статистического анализа полученных данных, позволяющими бороться с известными типами сетевых атак, внедряются интеллектуальные подходы для выявления аномалий в сетевом трафике [4, 5].

Такие подходы, особенно основанные на применении нейронных сетей, начинают приобретать все большее значение с увеличением количества и разнообразия уязвимостей сетей и связанных с ними атак.

II.                              Основная часть

Преимуществом в использовании нейросетевого подхода при обнаружении аномалий в сетевом трафике является гибкость, которую эти сети предоставляют. Система на основе нейронной сети идентифицирует вероятность того, что отдельное событие, либо серия событий указывают на то, что против системы осуществляется атака. Нейросеть способна анализировать неполные или искаженные данные, получаемые из сетевого трафика. Способность обрабатывать данные от большого количества источников является особенно важной при рассмотрение распределенных атак, проводимых против сети скоординированными многочисленными атакующими. Наиболее важное преимущество нейросетей при обнаружении аномалий сетевого трафика заключается в ее способности к изучению характеристик умышленных атак и идентификации элементов, которые

не похожи на те, что наблюдались в трафике прежде. Таким образом, нейросети обладают адаптивностью, что очень важно для обеспечения современной информационной безопасности.

Атака, отказ в обслуживании (DoS – Denial of Service), одна из наиболее распространенных в мире форм злоумышленных атак. DoS атаки опасны тем, что для их развертывания атакующим не требуется обладать особенными знаниями и умениями, т. к. все необходимое программное обеспечение вместе с описаниями самой технологии совершенно свободно доступно в Интернете. Развитием DoS-атаки является распределенная атака (Distributed Denial of Service

–   DDoS. Bo время данной атаки трафик, посылаемый для переполнения атакуемой сети, приходит одновременно через множество устройств. Для защиты сети от данного вида атак в работе предложен макет с использованием системы обнаруживающей аномалии в сетевом трафике на основе нейросетей, которые бы в перспективе решили многие из проблем, имеющихся в системах на основе правил.

Процесс решения поставленной задачи был разбит на следующие этапы:

–            получение экспериментального трафика сети;

–            моделирования распределенной атаки;

–            выбор структуры нейросети;

–            обучение нейросети на экспериментальном трафике;

–            тестирование обученной сети.

Данные, которые потребовались для обучения и тестирования макета генерировались с использованием свободно распространяемых программ сетевого монитора Shadow Security Scaner и сниффера Ethereal. Полученные данные были проанализированы анализаторами сетевого трафика и занесены в таблицу (номер портов отправителя/получателя; адреса отправителя/ получателя; тип вложенного пакета; время жизни; идентификатор и т. д). Для выбора необходимых параметров применялся SQL-запрос. В дополнение к нормальной сетевой активности, информация о которой собиралась системами, была смоделирована распределенная атака. В результате были собраны около 7000 событий и сохранены в базе данных Microsoft Access. Следующим этапом работы являлся выбор подходящей нейронной сети. В работе использована MLP-архитекгура с обратным распространением ошибки. Количество скрытых слоев и количество узлов в скрытых слоях было определено на основе работы [6]. Функционирование многослойной сети выполняется в соответствии с формулами:

где s – выход сумматора, w – вес связи, у – выход нейрона, Ь – смещение, i – номер нейрона, N – число нейронов в слое, m – номер слоя, L – число слоев, f – функция активации.

В качестве активационной функции нейронов ис- лользована сигмоида, значения которой лежат в области между О и +1.

где S – выход сумматора нейрона, а- некоторый параметр.

Обучение сети было разбито на следующие этапы: присваивание малых случайных значений из диапазона весовым коэффициентам и смещениям сети определение элемента обучающей выборки; вычисление текущего выходного сигнала; настройка синаптических весов; настройка смещений. Обучение сети производилось на основе выборки из 6000 элементов, 30 % которых содержали признаки атаки. Тестирование осуществлялось на оставшейся выборке. Эксперимент показал возможность и эффективность применения нейросети при выявления атак сетевого трафика.

III. Заключение

Проведен анализ нейросетевого подхода, использованного для выявления аномалии сетевого трафика со встроенными распределенными атаками. Проведенный эксперимент показал возможность распознавания с высокой точностью нейронной сетью атаки типа DDoS в сетевом трафике.

IV. Список литературы

[1]    Соколов А. В., Шальгин В. Ф. Защита информации в распределенных корпоративных сетях и системах. Москва 2002, 655 с.

[2]   Е. В. Дервиженко, Е. Л. Дружинин. Обнаружение аномалий на основе статистического анализа сетевого трафика. Московский инженерно-физический институт, Россия.

[3]   Алексей Лукацкий, Обнаружение атак. СанктПетербург, «БХВ-Петербург», 2003, 596 с.

[4]   А. В. Лукацкий, Ю. Ю. Цаплев, В. П. Сахаров. Нейросе- тевые технологии в диагностике аномальной сетевой активности.

[5]   А. И. Власов, С. В. Колосов, А. Е. Пакилев. Нейросете- вые методы и средства обнаружения атак на сетевом уровне. Московский Государственный Технический Университет им Н. Э. Баумана.

[6]   Горбань А. Н. Обучение нейронных сетей. М.: СП Пара- Граф. 1991.

NETWORK ANOMALY DETECTION USING NEURAL NETWORKS

Globa L. S. Demidova Y. A. Ternovoy M. Y.

National Technical University of Ukraine «Kyiv Polytechnic University», Kyiv, 03056, Ukraine Ph.: 380-44-2417699, e-mail: maximter@mail.ru

Abstract -The advisability of using neural networks for detecting network anomalies is grounded. The solution method for network anomaly detection based on neural approach is offered. The Back-Propagation Neural Network for solution of the problem is selected. DoS and DDoS threats are simulated.

I.                                          Introduction

There are different kinds of threats for informational systems, e. g. network level threats, which are the most dangerous. Great variety of traditional guarding systems has been designed. The IDS (Intrusion Detection System) is considered to be the most important. IDS efficiency depends on the technique of knowledgebase analysis. At present, intellectual approach, based on artificial neural networks is applied for detecting network anomalies.

II.                                          Main Part

Advantages of using artificial neural networks for detecting network anomalies are: their flexibility; capability of analyzing incomplete, anomalous data from network traffic; capability of processing data proceeding from large quantity of sources.

The capability of identification DDoS threats within the network traffic using neural network is examined. The process of experiment realization is divided into five stages: getting of the experimental traffic detecting attacks in traffic using of attack’s signature getting traffic without attacks using the SQL-requests training of artificial neural network testing of the trained neural network

The data required for training and model testing are generated using free extended software of network scanner Shadow Security Scanner and Ethereal sniffer. The software is used in order to fix network events. After input data generation, the neural network is selected and trained. In this work MLP- architecture of neural network has been applied. Neural Network’s training is based on 6000 thousand samples, 30 % of which contain threat elements. In this experiment the possibility of using the artificial neural networks for network anomaly detection is shown.

III. Conclusion

The analysis of neural network approach for detecting network anomalies with bid-in threats is realized. The experiment carried out has shown the neural network’s possibility of detecting distributed network threats with high accuracy.

Источник: Материалы Международной Крымской конференции «СВЧ-техника и телекоммуникационные технологии», 2006г. 

Оставить комментарий

микросхемы мощности Устройство импульсов питания пример приемника провода витков генератора выходе напряжение напряжения нагрузки радоэлектроника работы сигнал сигнала сигналов управления сопротивление усилитель усилителя усиления устройства схема теория транзистора транзисторов частоты