Содержание к диссертации
Введение
Глава 1. Анализ подходов к построению СОВ 11
1.1. Системы обнаружения вторжений 11
1.2. Основы аппарата нейронных сетей 25
1.3. Обзор работ, посвященных СОВ на базе нейросетей 43
1.4. Обзор СОВ, основанных на нейронных сетях 52
Выводы 54
Глава 2. Модульный подход к построению СОВ 56
2.1. Недостатки поиска аномалий 56
2.2. Недостатки рассмотренных СОВ 57
2.3. Модульный подход 61
2.4. Достоинства модульного подхода 64
Выводы 67
Глава 3. Архитектура модульной СОВ 69
3.1. Архитектура модульной СОВ 69
3.2. Методики обучения и тестирования 70
3.3. Систематизация атак 71
3.4. Выбор актуальных атак 72
3.5. Выбор типа НС 77
3.6. Подготовка входных данных для обучения 81
3.7. Анализ стека протоколов TCP/IP 85
3.8. Выбор параметров межсетевого взаимодействия и формирование групп 103
3.9. Модули первого уровня 114
3.10. Модуль второго уровня 119
3.11. Обучение нейронных сетей 120
Выводы 121
Глава 4. Реализация модульной СОВ, результаты 123
4.1. Реализация модульной СОВ 123
4.2. Алгоритм поиска вторжений 128
4.3. Макет для проведения тестов 129
4.4. Запись и интерпретация результатов 130
4.5. Тестирование СОВ 131
4.6. Работа СОВ 131
4.7. Результаты обучения модулей первого уровня 132
4.8. Результаты и их обсуждение 134
Выводы 137
Заключение 139
Приложение 1. Описание атак 141
Список опубликованных работ 149
Список использованных источников 151
- Основы аппарата нейронных сетей
- Недостатки рассмотренных СОВ
- Методики обучения и тестирования
- Алгоритм поиска вторжений
Введение к работе
Последние годы знаменуются быстрым развитием информационных технологий, связанных с сетью Интернет. Многие компании уже не могут обойтись без применения автоматизированных систем, построенных с использованием сети. Во многом это связано с тем, что сетевые технологии позволяют передавать информацию с большой скоростью и практически любому получателю. По этой причине распространения получают такие системы, как системы электронной коммерции, Интернет-магазины, системы документооборота и совершения банковских транзакций. Возможно как для небольших, так и для крупных транснациональных компаний, передача информации через Интернет является единственным оптимальным решением проблемы оперативности, так как сетевые решения обеспечивают необходимую скорость.
Однако, несмотря на всю привлекательность сетевых технологий, в этой сфере существует множество серьёзных проблем, одна из которых -информационная безопасность. Понятие информационной безопасности базируется на проблеме сохранении основных свойств информации -конфиденциальности, целостности и доступности [29].
Конфиденциальностью называют субъективно определяемую характеристику информации, указывающую на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации и обеспечиваемую способность системы сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на право доступа к ней.
Целостностью называют свойство информации, заключающееся в ее существовании в неискаженном виде.
Доступность - это свойство системы, характеризующее способность обеспечить своевременный беспрепятственный доступ субъектов к информации или к ресурсу с информацией, имеющих на это надлежащие полномочия [24].
Нарушение хотя бы одного свойства информации может привести к огромным потерям, в частности - финансовым. Так, по данным, полученным Институтом Компьютерной Информации (CSI) в Сан-
Франциско, в 2007 году объем потерь вследствие нарушения политики безопасности достиг отметки в 66 миллионов долларов США [32].
Уже давно общество пытается создать эффективные системы защиты информации в сфере сетевых технологий и решить проблему безопасности. Прежде всего, рассматриваются два аспекта проблемы: обеспечение безопасности во время передачи информации по каналам связи и обеспечение информационной безопасности в узлах коммуникационной сети - в местах хранения и обработки этой информации. Первая часть проблемы - проблема безопасной передачи, решается, в основном, при помощи создания надёжных линий передачи данных и при помощи применения различных криптографических протоколов. Использование надёжного оборудования уменьшает деструктивное действие антропогенных и природных факторов на линии передачи, применение криптографических протоколов и шифрация передаваемой информации позволяет сохранить свойство конфиденциальности информации.
Решение второй проблемы, с точки зрения программного и аппаратно-программного обеспечения, не столь очевидно. Прежде всего, необходимо определить существующие на сегодняшний день источники угроз информационной безопасности в местах хранения и переработки информации.
Угрозой информационной безопасности системы называется потенциально возможное событие, действие, процесс или явление, которое может вызвать нанесение ущерба ресурсам системы [1]. Все угрозы информационной безопасности можно разбить на два больших класса -угрозы техногенного характера и угрозы антропогенного характера. К первым, прежде всего, относятся угрозы, связанные с неправильной работой техники, которая используется для приёма, обработки, передачи и хранения информации. Эта проблема решается в основном при помощи использования надёжного оборудования и правильного режима эксплуатации. Ко второму классу угроз относятся преднамеренные или не преднамеренные действия людей - атаки.
Атакой называется действие нарушителя, которое приводит к реализации угрозы путем использования уязвимостей системы.
Уязвимость - любая характеристика информационной системы, использование которой нарушителем может привести к реализации угрозы.
Нарушитель - лицо, которое предприняло попытку несанкционированного доступа к ресурсам системы по ошибке, незнанию или осознанно со злым умыслом или без такового и использовавшее для этого различные возможности, методы и средства [3].
Некоторые источники атак, по данным Института Компьютерной Информации CSI [31], приведены в табл. 1:
Таблица 1.1. Источники атак
Для решения этих проблем используют различные программные и аппаратно-программные средства, позволяющие уменьшить вероятность успешного проведения атаки. К таким средствам, прежде всего, относятся межсетевые экраны и системы обнаружения вторжений.
Межсетевые экраны реализуют механизмы контроля доступа из внешней сети к внутренней и путем фильтрации всего входящего и исходящего трафика, пропуская только разрешённые данные. Межсетевые экраны функционируют на основе информации, получаемой от различных уровней эталонной модели ISO/OSI, и чем выше уровень OSI, на основе которого построен межсетевой экран, тем выше степень защиты, им обеспечиваемый. Среди основных типов межсетевых экранов можно выделить пакетный фильтр (packet filtering), шлюз на сеансовом уровне (circuit-level gateway) и шлюз на прикладном уровне (application-level gateway).
Однако, несмотря на все положительные качества межсетевых экранов, у этой технологии есть и свои слабые стороны. Наиболее очевидный недостаток межсетевых экранов - невозможность защиты от пользователей, знающих идентификатор и пароль для доступа в защищаемый сегмент корпоративной сети. Межсетевой экран может ограничить доступ посторонних лиц к ресурсам, но он не может запретить авторизованному пользователю скопировать ценную информацию или изменить какие-либо параметры финансовых документов, к которым этот пользователь имеет доступ. А по статистике не менее 80% всех угроз безопасности исходит со стороны сотрудников организации. Также, нарушитель может использовать некоторые уязвимости экранов и атака сможет достичь цели. Становится очевидным, что для обеспечения информационной безопасности необходимо использовать комплекс мер и вместе с межсетевыми экранами использовать также и другие средства, например - системы обнаружения вторжений (СОВ).
Данные средства обнаруживают и, возможно, блокируют несанкционированную деятельность в сети независимо от того, кто ее реализует - авторизованный пользователь (в том числе и администратор) или злоумышленник. Такие средства могут работать как самостоятельно, так и совместно с межсетевым экраном. Например, система RealSecure обладает возможностью автоматической реконфигурации межсетевого экрана Checkpoint Firewall-1 путем изменения правил, запрещая тем самым доступ к ресурсам корпоративной сети с атакуемого узла [2]. Для обнаружения вторжений СОВ могут использовать разные источники информации - сетевой трафик, записи аудита системы, системные вызовы операционной системы и т.д.
Таким образом, разработка новых подходов к обнаружению сетевых атак для построения защищенных информационных систем и совершенствования методов защиты является актуальной.
Научная задача, решаемая в диссертационной работе — повысить защищенность компьютерных сетей организаций при помощи обнаружения новых и неизвестных ранее атак.
Целью диссертационной работы является разработка нового, «модульного» подхода к построению СОВ на базе нейронных сетей (НС) для повышения эффективности обнаружения атак.
Для достижения этой цели в работе решались следующие основные задачи:
Анализ подходов к построению СОВ.
Разработка нового подхода к построению СОВ на базе НС.
Разработка архитектуры СОВ.
Разработка методик обучения и тестирования СОВ.
Экспериментальная проверка предложенного подхода и разработанных методик.
Научная новизна диссертационной работы состоит в следующем:
Предложен новый модульный подход к построению СОВ на базе НС, заключающийся в использовании иерархии модулей с обратными связями. Каждый модуль содержит определённый тип НС.
Разработана архитектура модульной СОВ на основе предложенного подхода, позволяющая обнаруживать и классифицировать сетевые вторжения.
Разработаны методики обучения и тестирования СОВ.
Предложены рекомендации по построению модульной СОВ и применению разработанных методик.
Практическая ценность состоит в том, что её результаты позволяют:
Даны рекомендации по повышению эффективности обнаружения сетевых вторжений при использовании СОВ на базе НС.
Подготовлена база данных записей сетевого трафика с атаками различных классов для использования в методическом процессе.
Реализован прототип модульной СОВ для анализа сетевых атак семейства протоколов TCP/IP.
Диссертационная работа состоит из введения, четырех глав, заключения, приложений и списка литературы. Работа изложена на 155
листах (включая 27 рисунков, 32 таблицы и списка литературы из 77 наименований).
В первой главе рассмотрена предметная область, даны общие понятия теории информационной безопасности, причины возникновения атак, их типы и методы защиты от сетевых атак. Обоснована необходимость использования сетевых СОВ для защиты участка сети, рассмотрены различные типы СОВ и принципы их работы, дан обзор ряда коммерческих и свободно распространяемых решений.
Рассмотрены основные принципы теории НС, представлены
алгоритмы обучения НС типа многослойный персептрон.
Проанализированы существующие исследовательские работы
использования аппарата НС в сетевых СОВ.
Во второй главе выявлены и проанализированы недостатки одного из подходов к анализу данных СОВ, использующий метод поиска аномалий, и обоснован выбор метода поиска злоупотреблений. Рассмотрены недостатки существующих работ, введено понятие монолитного подхода к построению СОВ на базе НС.
Предложен новый модульный подход к построения СОВ на базе НС, использующий для анализа множество НС различного типа.
В третьей главе представлена разработанная архитектура СОВ; разработана методика по обучению, тестированию и оценке результатов СОВ. Выделены и описаны сетевые атаки, которые использовались для обучения и тестирования системы; проведена их систематизация, и на основе анализа этих атак отобраны группы параметров межсетевого взаимодействия для обработки в СОВ. Разработаны методы обработки и подготовки значений параметров для подачи на вход СОВ; обоснована необходимость реализации генератора сетевого шума и предложена его реализация, разработан метод "скользящего окна" для расчета средних значений параметров межсетевого взаимодействия.
Четвертая глава посвящена экспериментальной проверке предложенного подхода, для чего разработан прототип СОВ. Дано описание программной реализации и решений, которые были
использованы для построения прототипа. Проведён количественный анализ выбранных атак и множеств, которые используются для обучения модулей и тестирования СОВ. Представлены и проанализированы результаты обучения модулей первого и второго уровней. В результате выполнения работы были получены данные, подтверждающие эффективность использования модульного подхода для анализа восьми различных классов сетевых атак, а также получены численные оценки эффективности работы.
Основы аппарата нейронных сетей
С начала компьютерной эры в середине прошлого века обозначились две линии развития компьютеров, две ветки технологической эволюции Первая, до сих пор безусловно доминировавшая, «линия фон Неймана» эксплуатирует доказанную Тьюрингом еще в 30-е годы возможность выполнения сколь угодно сложных вычислений с помощью простейших вычислительных устройств. Машина Тьюринга, прообраз современной последовательной архитектуры, состоит из ленты с записанной на ней программой и обрабатывающего эту программу конечного автомата. В предельном случае, как было показано Шенноном, этот автомат может иметь всего лишь два внутренних состояния. Такая предельно упрощенная конструкция способна вычислять любые рекурсивные функции, обрабатывая информацию последовательно, шаг за шагом. Эта базовая идея последовательной обработки символов, описывающих ход вычислений по заданному алгоритму, лежит в основе всех современных вычислительных машин. Сами алгоритмы вычислений задаются извне -программистами.
Вторая предложенная линия развития, нейрокомпьютинг -полностью параллельная архитектура обработки информации, использующая модель биологических нервных систем. Датой рождения этой науки принято считать 1943 год, в котором появилась статья МакКаллока и Питтса о вычислениях в сетях формальных нейронов [16].
Интеллект характеризует способность в процессе мышления к генерированию и выбору способа действий, адекватно отражающих решаемую проблему. Естественный интеллект возник и развивался в процессе биологической эволюции с целью адаптации к внешней среде. Искусственный интеллект характеризует способность к "мышлению" искусственных систем. Он опирается на биологические основы естественного интеллекта и пытается в той или иной степени моделировать мыслительные процессы живых существ [7, 17].
Существует два направления в теории искусственного интеллекта. Первое направление является традиционным. Оно использует методы логических рассуждений и символьной обработки информации. Второе направление связано с построением сетей, состоящих из нейронных элементов. Оно опирается на биологические основы естественного интеллекта и позволяет проектировать системы, способные к обучению и самоорганизации. Использование нейросетевых методов в теории искусственного интеллекта называется нейроинтеллектом. Искусственные нейронные сети (НС) возникли на основе знаний о функционирований нервной системы живых существ. Они представляют собой попытку использования процессов, происходящих в нервных системах, для выработки новых технологических решений.
Нервная клетка, сокращенно именуемая нейроном, является основным элементом нервной системы. Изучение механизмов функционирования отдельных нейронов принципиально важно для понимания протекающих в нервной системе процессов поиска, передачи и обработки информации. Упрощенная схема нейрона представлена на рис. 1.2. С большим упрощением, можно сказать, что нейрон представляет собой клетку, имеющую два типа отростков: набор дендритов и один аксон. На конце аксон также разветвляется и образует контакты с дендритами других нейронов - синапсы, которые играют ключевую роль в его взаимодействии с другими нервными клетками. Из-за сложных электрохимических процессов, протекающих внутри нейрона, происходит передача электрического импульса от аксона одного нейрона к дендритам других. Благодаря особым механизмам распространения сигнала, сигналы, поступающие на различные входы нейронной клетки, могут возбуждать её в разной степени. Рис. 1.2. Схема нейрона и межнейронного взаимодействия.
Каждый нейрон можно считать своеобразным процессором: он суммирует с соответствующими весами сигналы, приходящие от других нейронов, выполняет нелинейную решающую функцию и передаёт результирующее значение связанным с ним нейронам.
Биологический нейрон — сложная система, математическая модель которого до сих пор полностью не построена. Введено множество моделей, различающихся вычислительной сложностью и сходством с реальным нейроном. Одна из важнейших — формальный нейрон (ФН), который представлен на рис. 1.3. Несмотря на простоту ФН, сети, построенные из таких нейронов, могут сформировать произвольную многомерную функцию на выходе
Любая НС используется в качестве самостоятельной системы представления знаний и может найти применение в решении задач аппроксимации и интерполяции, распознавания и классификации образов, сжатия данных, прогнозирования, управления и ассоциации.
В каждом из названных приложений НС играет роль универсального аппроксиматора функции от нескольких переменных, реализуя нелинейную функцию у=/(х), где х - это входной вектор, а у - реализация векторной функции нескольких переменных. Постановка значительного количества задач моделирования, классификации и обработки сигналов могут быть сведены именно к аппроксимационному представлению.
Для классификации и распознавания образов сеть обучается важнейшим их признакам, таким, как геометрическое отображение точечной структуры изображения, относительное расположение важнейших элементов образа, компоненты преобразования Фурье и другие подобные факторы. В процессе обучения выделяются признаки, отличающие образы друг от друга, которые и составляют базу для принятия решения об отнесении образов к соответствующим классам.
Недостатки рассмотренных СОВ
Рассмотренные ранее подходы к построению СОВ на основе нейронных сетей не представляют какого-либо серьёзного практического интереса. Авторов работ, обзор которых был представлен в главе 1, прежде всего, интересовала сама возможность применения аппарата нейронных сетей для поиска вторжений. Так, например, Дж. Кеннеди использовал многослойный персептрон для анализа нескольких параметров сетевого взаимодействия. Очевидно, что в реально работающих сетевых системах обнаружения, количество анализируемых параметров должно быть намного больше.
Несмотря на то, что в данных работах применение нейронных сетей показало хорошие результаты с малым числом ложных срабатываний и большой вероятностью обнаружения, существует ряд серьёзных проблем, препятствующих промышленному применению этих решений. Эти проблемы связаны как с выбором анализируемых параметров, так и с самим подходом к построению нейронных сетей.
Практически всех авторов интересовала возможность применения нейронных сетей при решении задачи поиска вторжений. Авторы при этом не уделяли внимания подбору анализируемых данных и развитию архитектуры решения, в частности параметров сетевого взаимодействия. Исключение составляет работа Корнеева В.В. и Райха В. [12], в которой автор обосновывает выбор 32 параметров.
Как известно, успешное проведение атаки, в частности сетевой атаки, в большинстве случаев основано на имеющихся в атакуемой системе уязвимостях. Существуют большое количество классификаций уязвимостей. Компания ISS разработала свою классификацию. В данной классификации рассматривался жизненный цикл программного продукта и те моменты цикла, когда вносились уязвимости. Так, были выделены следующие уязвимости: уязвимости проектирования; уязвимости реализации; уязвимости конфигурации.
Очевидно, что в случае сетевого взаимодействия, уязвимости могут существовать на всех 7 уровнях модели ISO/OSI и быть привнесены на всех 3 этапах жизненного цикла программы. Сетевые атаки могут проводиться на всех этих 7 уровнях и, как следствие, атаки могут классифицироваться следующим образом [4]: атаки на канальном уровне; на сетевом уровне; на транспортном; на сеансовом; на представительном; на прикладном.
Таким образом, анализом нескольких параметров сетевого взаимодействия невозможно покрыть большое множество сетевых вторжений. Так, например, при анализе только времени между появлением пакетов в сети, легко пропустить признаки передачи больших объемов данных, так как при передаче больших сетевых пакетов, время между соседними посылками также увеличивается. Один этот простой пример говорит о том, что при анализе системы необходимо изучать как можно больше параметров. Так, при всём многообразии различных сетевых протоколов, можно выделить несколько сотен параметров, наблюдение за которыми может указать на факт наличия сетевого вторжения.
Очевидное решение проблемы неполного покрытия - увеличить количество входов в НС для того, чтобы она была в состоянии обработать необходимое число входных параметров. Такой подход используется в большинстве рассмотренных работ. Однако при таком подходе резко возрастает время обучения нейронной сети и последующее её использование. При построении систем, работающих в масштабе реального времени это не приемлемо. Дело в том, что при резком увеличении числа входных нейронов, количество синаптических связей между нейронами, входящими в состав нейронной сети возрастает пропорционально квадратному многочлену от числа входных нейронов.
Задача поиска вторжений, также как и задача распознавания образов относится к задачам классификации. При решении задачи классификации определяется принадлежность того или иного набора входных параметров к определённому классу. Авторы, занимающиеся изучением нейронных сетей [6, 7], предлагают использовать как минимум 1 скрытый слой в многослойном персептроне для решения таких классов задач. Помимо этого, количество нейронов скрытого слоя должно быть равно 2п+1, где п — количество элементов во входном векторе. Таким образом, общее количество межнейронных связей будет пропорционально многочлену второй степени. Т.е. при увеличении числа входных параметров в 3 раза, число межнейронных связей увеличится как минимум в 9 раз. При количестве анализируемых параметров в 80 штук, общее количество связей превысит число 6400.
Рассмотренный авторами метод обратного распространения ошибки является одним из самых медленных. Для ускорения процесса обучения можно применять другие, более совершенные методы, например, алгоритмы наискорейшего спуска, алгоритмы переменной метрики, сопряжённых градиентов и так далее [7]. Однако, если есть возможность ускорить процесс обучения сети, дальнейшая работа сети практически не поддаётся ускорению, так как метод прямого распространения сигнала не подразумевает алгоритмических оптимизаций. Таким образом, при анализе большого количества параметров в режиме реального времени, не всегда может быть оптимальным решение производить анализ всех элементов входного вектора в рамках одной нейронной сети.
Методики обучения и тестирования
Методика использования СОВ следующая: 1. Анализ топологии сети, для выявления классов актуальных атак. 2. Выбор параметров межсетевого взаимодействия. 3. Анализ выбранных параметров для формирования групп, которые будут подаваться на вход модулей первого уровня. 4. Построение модуля второго уровня СОВ. 5. Подготовка данных для обучения. 6. Обучение НС, входящих в состав модулей первого и второго уровней. 7. Тестирование СОВ. Для тестирования работы СОВ использовался следующий алгоритм: 1. На вход СОВ подавался вектор, описывающий нормальное взаимодействие. В том случае, если выход, который отвечал за класс нормального взаимодействия давал значение большее 0,5, то считалось, что СОВ имеет ошибку второго рода и сигнализирует об атаке, когда она не наблюдается. 2. На вход подавались последовательно векторы с атаками различных классов. В том случае, если СОВ по одному из выходов сигнализировала о наличии ошибки, то считалось, что атака обнаружена. Если наличие атаки выдавал соответствующий классу атаки выход модуля второго уровня, то считалось, что произведена точная классификация атаки.
Под эффективностью работы СОВ в диссертационной работе подразумевается вероятность обнаружения атак и вероятность возникновения ошибок первого и второго родов с заданными ограничениями на ресурсы вычислительной системы и временной интервал анализа. Оценка эффективности производилась при помощи сравнения полученных результатов относительно результатов, полученных в других исследованиях.
Для решения задачи классификации сетевых атак после их обнаружения в рамках модульной СОВ, необходимо разработать систематизацию атак. На основании систематизации появляется возможность построить модули первого и второго уровней таким образом, чтобы можно было эффективно решить задачу классификации.
В работе систематизация используется при анализе параметров межсетевого взаимодействия и создания модулей первого и второго уровней. Также классы атак, определённые в систематизации, участвуют в качестве выходов модуля второго уровня. В качестве основы для построения систематизации, была использована распространённая таксономия Ховарда [54].
В режиме работы СОВ, источником данных могут служить сетевые данные, взятые непосредственно из сети в реальном режиме времени, либо заранее подготовленные для анализа и записанные в бинарный файл в случае автономного анализа.
Однако, в процессе обучения НС требования к источникам данных более строгие, так как, во-первых, они должны представлять различные классы сетевого взаимодействия (различные классы атак, нормально взаимодействие), во-вторых, подготовленных данных должно быть достаточно для эффективного обучения.
В диссертационной работе обоснован выбор поиска злоупотреблений, поэтому прежде всего, необходимо было подготовить большую базу данных записей сетевого трафика с атаками для обучения, которая будет содержать достаточно примеров всех восьми классов.
При выполнении диссертационной работы необходимые сетевые атаки для обучения СОВ брались из доступных источников, для того, чтобы в будущем можно было повторить аналогичные исследования для получения более достоверных результатов. Все обрабатываемые атаки были представлены в виде бинарного файла в формате рсар с описанием IP-адреса жертвы.
На сегодняшний день можно существуют 3 основных источника в сети Интернет - база атак министерства DARPA, база CRC канадского центра исследования связи и база UCI KDD [75]. Несмотря на то, что последняя база содержит описание более 5 миллионов соединений, она оказалась неприемлемой, так как авторы подготовили базу в виде текстового представления 42 ключевых значений. В работе предполагался анализ большего числа параметров.
Алгоритм поиска вторжений
Алгоритм поиска вторжений, производимый с помощью прототипа СОВ, построенной с использованием модульного подхода, состоит из следующих этапов:
1. Подготовка базы данных атак при помощи рада вспомогательных программ. Сортировка примеров атак по типам, проведение их классификации, анализ и удаление противоречивых или нулевых примеров.
2. На основании базы DARPA, первая неделя наблюдений которой не содержат вторжений, подготовка базы для генератора шума при помощи программы Noise Generator.
3. Выделение параметров межсетевого взаимодействия, используя результаты группировки параметров, приведённые в главе 3. Для выделения параметров используется программа РСар Analyzer.
4. Создание конфигурации НС первого уровня и их обучение на основании данных, полученных на предыдущем этапе.
5. Получение данных после тестирования модулей первого уровня, пригодных для обучения модуля второго уровня. Обучение модуля второго уровня.
6. Тестирование СОВ и оценка результатов относительно других СОВ. Во время тестирования на вход СОВ подаются последовательно множество векторов, принадлежащих различным классам межсетевого взаимодействия - нормальное взаимодействие и различные атаки из базы данных. После работы СОВ сохраняются результаты и проводится оценка результатов при помощи построения матрицы неточностей (Confusion Matrix), позволяющей оценить вероятность возникновения ошибок первого и второго рода, а также точность и надежность классификации.
7. Работа СОВ. Данный этап предполагает подготовку рабочих входных данных, которые поступают на вход СОВ. После обработки системой входных, производится анализ выходов модулей различных уровней, на основании этого анализа определяется факт наличия или отсутствия вторжения. Во время рабочего режима СОВ, некоторые модули можно переобучить, вернувшись на четвёртый этап.
После обучения нейронных сетей, входящих в состав модулей первого и второго уровней, проводится тестирование СОВ, получение и оценка эффективности работы. Под эффективностью работы СОВ подразумеваются вероятности наличия ошибок первого и второго родов, а также точность классификации и вероятность обнаружения.
В процессе тестирования, на вход СОВ подаются последовательно записи с примерами различных межсетевых взаимодействий, которые входили в обучающую выборку и неизвестные ранее. После работы СОВ записываются выходы модуля второго уровня для того, чтобы в дальнейшем построить матрицу неточностей для анализа эффективности обнаружения.
После того, как нейронные сети всех уровней обучены, СОВ становится готова к работе и поиску вторжений. Реализация модульного подхода к построению СОВ, созданная в рамках этой работы, не является системой, работающей в масштабе реального времени. Это значит то, что обработка и анализ входных данных осуществляется уже после того, как совершён сбор информации.
В том случае, если изменились условия работы СОВ, например, стало невозможным проведение некоторых типов атак, можно выполнить любое из следующих действий: переобучить те модули первого уровня, которых коснулись изменения; отключить эти модули, для того, чтобы они не участвовали в анализе. Это целесообразно делать, если стало невозможным наблюдать в сети определённые типы атак вследствие, например, работы межсетевого экрана. Таким образом, последующая работа СОВ состоит из следующих этапов: сбор информации о состоянии сетевого взаимодействия из сети; подготовка это информации и генерация набора входных векторов; обработка входных векторов при помощи программы NN Study; анализ результатов и их интерпретация.
Как показывает анализ данных, представленных в этой таблице, большинство модулей дают относительно большую ошибку второго рода (в среднем 19 процентов), говоря о том, что аномалия наблюдается, когда как на самом деле, вторжения на систему нет. Это обуславливает необходимость использования модуля второго уровня, так как наличие аномалии по одной из групп анализируемых параметров не говорит об атаке.
В этой таблице больший интерес представляют ошибки первого рода, так как пропуск аномалий на первом уровне снижает общую эффективность работы СОВ. Среднее значение ошибок модулей первого уровня, если не учитывать модуль Common - 1,99%, что говорит о относительно хорошем обучении.
После обучения модулей первого уровня, была подготовлена достаточная база данных векторов, необходимая для обучения модуля второго уровня. База данных была разбита на 9 файлов различных наблюдаемых типов сетевого взаимодействия — 8 по представленной систематизации атак плюс нормальное взаимодействие. Каждый файл содержал 20 элементов входных векторов, количество самих векторов обучения представлены в табл. 4.3.
После обучения модуля второго уровня, которое заняло более 28 часов при средней скорости 14281 векторов в секунду, было проведено тестирование СОВ. Средняя скорость работы СОВ при тестировании составила 58839 векторов в секунду.
Из приведённых результатов видно, что модульная СОВ с большой вероятностью обнаруживает атаку на систему (93% известных и 82% неизвестных ранее атак обнаружено). Классификация атак в данной реализации прототипа производится менее эффективно (для класса FTPTelnet - всего в 49%, общая точность классификации - 59%). Это объясняется тем, что класс атак, использующих уязвимости стека TCP/IP, оказался малоразличимым относительно других классов.
В работе приводится сравнение результатов диссертационной работы с результатами, полученными в рамках исследований других ученых, таких как А. Гош, А. Бивенс [23]. Авторы изучали использование СОВ различных типов, в качестве тестовых выборок они использовали те же базы атак.
Как показали результаты, скорость работы модульной СОВ на компьютере с процессором AMD Athlon 1,34ГЦ с оперативной памятью DDR2 объемом 768МБ составила в среднем 58839 векторов в секунду. Каждый вектор описывает временной интервал, начало которого сдвинуто на 500 миллисекунд относительно предыдущего, то есть за секунду машинного времени обрабатывается в среднем 29419 секунд трафика исследуемой системы. Так как модульная СОВ рассчитывает вероятность наличия атаки после анализа каждого вектора, то это позволяет утверждать, что анализ данных проводится оперативно, при этом нагрузка на центральный процессор составляла в среднем 95%, объем выделенной оперативной памяти - в среднем 30МБ. Это также позволяет утверждать, что для анализа данных используется разумное количество компьютерных ресурсов.
К сожалению, в оценке эффективности работы модульной СОВ участвовали только результаты 2 работ зарубежных авторов. Причиной этого служило то, что в остальных исследованиях не приводились полные данные по вероятностям возникновения ошибок первого и второго родов, также ограничением служили используемые базы атак для тестирования -DARPA или CRC. Несмотря на это, результаты работы модульной СОВ оказались лучше, чем в приведённых работах.
Небольшая точность классификации атак объясняется тем, что класс атак, связанный с особенностями работы стека TCP/IP (класс «Атаки TCP/IP»), оказался малоотличим от остальных классов межсетевого взаимодействия, в частности от нормального. При дальнейших исследованиях разумно выделить другие параметры межсетевого взаимодействия для анализа в рамках данного класса, что позволит более эффективно производить разделение признакового пространства в рамках аппарата НС.
