Зачем вообще нужны системы обнаружения и распознавания вторжений? Специалисты не задают подобных вопросов еще с 80-х годов прошлого века, когда термин “обнаружение компьютерных атак” впервые появился в научном обиходе. Менее опытных пользователей обычно убеждает такой пример: допустим, дверь вашей квартиры закрыта на замок, а окна прикрыты роллетами. Но если вам есть что терять, и вы часто отлучаетесь из дома, поставьте квартиру на сигнализацию! Дополнительный уровень защиты не помешает. Тем более что запрос “Как стать хакером”, введенный в любой поисковик, выдает десятки ссылок на “учебные пособия” для киберпреступников и сетевых хулиганов.
Вопрос, ставить “сигнализацию” или нет, не обсуждается, если речь идет о вычислительных системах и сети финансовых и банковских институтов, телекоммуникационных структур, гидротехнических сооружений, предприятий нефтегазового комплекса, вредных химических производств, транспортных узлов, атомных электростанций, объектов гражданской авиации и просто крупных компаний, которые дорожат конфиденциальностью своей информации.
— Подходы, существовавшие до сих пор, характеризуются рядом особенностей, которые затрудняют их применение в этой предметной области, — уязвимостью к новым атакам, невысокой скоростью работы и низкой точностью, — говорит один из авторов исследования, доктор технических наук, завкафедрой интеллектуальных информационных технологий БрГТУ Владимир Головко. — Для устранения этих недостатков нами предложены и исследованы различные нейросетевые архитектуры, базирующиеся на интеграции двух подходов, — искусственные иммунные системы и нейронные сети. Целью работы было исследование нейросетевой, то есть способной к “обучению”, системы обнаружения атак на компьютерные сети, а также разработка соответствующего программного обеспечения.
Искусственная нейронная сеть — это компьютерный “аналог” нервной системы человека, то есть организованная определенным образом совокупность узлов (нейронов) и связей между ними. Работа с нейронной сетью предполагает наличие следующих этапов: сбора и подготовки исходных данных, построения и обучения сети, тестирования сети и анализа результатов.
Лаборатория искусственных нейронных сетей предлагает различные подходы к построению систем обнаружения атак, которые базируются на нейросетевых технологиях. Путем комбинирования искусственных иммунных систем и нейронных сетей можно идентифицировать и распознавать атаки и вирусы на компьютерные сети с достаточно высокой степенью точности. Основными преимуществами применения подходов, основанных на искусственных иммунных системах нейронных сетях, являются способность обнаруживать новые атаки (вирусы) и быстрота функционирования, что особенно важно при работе в режиме реального времени.
Из научной работы “Нейросетевые системы обнаружения и распознавания вторжений” коллектива авторов кафедры интеллектуальных информационных технологий под руководством Владимира Головко:
“Любая атака на систему может быть выявлена в ходе анализа сетевого трафика или системных ресурсов. Поэтому IDS различаются по уровню обнаружения: сетевого уровня и системного уровня. Рассмотрим принципиальную схему системы обнаружения атак, предназначенную для выявления и противодействия атакам злоумышленников на сетевом уровне. Система представляет собой специализированное программно-аппаратное обеспечение с типовой архитектурой, включающей в себя следующие компоненты:
* модули-датчики для сбора необходимой информации о сетевом трафике;
* модуль выявления (распознавания) атак, выполняющий обработку данных, собранных датчиками, с целью обнаружения информационных атак;
* модуль реагирования на обнаруженные атаки;
* модуль хранения конфигурационной информации, а также информации об обнаруженных атаках. Таким модулем, как правило, выступает стандартная СУБД;
* модуль управления компонентами IDS.
Модуль выявления атак наиболее сложный и важный элемент IDS, от которого зависит эффективность работы всей системы. Наши исследования связаны с разработкой именно этого модуля.
Процесс обработки информации в IDS включает три этапа.
На первом осуществляется захват трафика сети (feature selection). Сбор необходимых данных выполняет специальное программное средство (sniffer). Эти данные поступают в виде сетевых пакетов, заголовки которых содержат важную первичную информацию.
Результаты первого этапа не могут быть сразу использованы классификатором, поскольку они представлены в сыром виде и нуждаются в предварительной обработке. Поэтому второй этап (feature preprocessing) связан с вычислением (на основе входных данных) параметров, характеризующих активность сети и представленных в той форме, в которой их сможет принять классификатор.
Для решения поставленных задач можно использовать базу данных KDD-99. Она содержит около 5 000 000 записей о соединениях. Каждая представляет собой образ сетевого соединения. Соединение — последовательность TCP-пакетов за некоторое конечное время, моменты начала и завершения которого четко определены, в течение которого данные передаются от IP-адреса источника на IP-адрес приемника (и в обратном направлении), используя некоторый определенный протокол.
Отдельная запись состоит из около 100 байт, включает 41 параметр сетевого трафика и промаркирована как “атака” или “не атака”. Например, первый параметр определяет длительность соединения, второй — указывает используемый протокол, третий — целевую службу и т.д.
Третий этап состоит в обнаружении и распознавании атак (classification). Мы предлагаем применять в качестве классификатора различные нейронные сети. После обучения нейронной сети такая IDS способна выявлять возникающие в сети угрозы”.
В базе KDD-99 представлены 22 типа атаки. При этом атаки делятся на четыре основные категории: DoS, U2R, R2L и Probe.
Атака DoS — отказ в обслуживании, характеризуется генерацией большого объема трафика, что приводит к перегрузке и блокированию сервера.
Атака U2R предполагает получение зарегистрированным пользователем привилегий локального суперпользователя (администратора).
Атака R2L характеризуется получением доступа незарегистрированного пользователя к компьютеру со стороны удаленной машины.
Атака Probe заключается в сканировании портов с целью получения конфиденциальной информации.
Выходные значения соответствуют четырем классам атак и “нормальному” состоянию сети.
Учреждение образования “Брестский государственный технический университет”
ул.Московская, 267, 224017, г.Брест, Республика Беларусь
Телефоны: +375 (162)
42-33-93, 42-42-71.
Сайт: www.bstu.by
