Дипломная работа (ВКР) — бакалавр, специалист на тему Разработка и применение средств обнаружение вторжений с использованием средств интеллектуального анализа данных

Содержание:

Введение. 5

1 Анализ угроз в сети Интернет. 9

1.1 Типы компьютерных атак. 9

1.2 Системы, подлежащие защите. 15

1.3 Существующие механизмы защиты
от компьютерных атак. 18

1.4 Формирование постановки задачи
на разработку средств и применение для обнаружения вторжений. 22

2 Определение методов решения
задачи. 29

2.1 Нейронные сети. 29

2.1.1 Сети Хопфилда и Хэмминга. 29

2.1.2 Алгоритмы сетевого обучения. 32

2.1.3 Архитектура сети Кохонена. 34

2.2 Разработка алгоритмов работы
средств обнаружения вторжений с применением интеллектуального анализа данных. 37

3 Моделирование работы
разработанных средств обнаружения вторжения. 52

3.1 Определение начальных данных. 52

3.2 Построение нейронной сети для
обнаружения вторжения. 55

3.3 Тестирование нейронной сети. 63

Заключение. 68

Список использованной литературы.. 70

Приложение. Выборка начальных
данных. 74

Введение:

Актуальностью работы является то,
что в последнее время наряду с совершенствованием корпоративных сетей
увеличивается риск реализации различных типов угроз их безопасности. Поэтому
системы обнаружения вторжений (СОВ), кроме мгновенного обнаружения атак, должны
предоставить все возможные данные про атакуемый хост, и удовлетворять целому
набору строгих требований. Сейчас появляется огромное количество новых методов
инициирования атак, при этом формируются новые требования к таким методам, требуются
более эффективные подходы к разработке СОВ [1-7]. Широко распространяемые
инструменты в современных СОВ, которые анализируют известные сигнатуры, в целом
демонстрируют высокую производительность, но не способны выявить неизвестную
атаку. Использование решений с использованием интеллектуальных методов и
инструментариев позволит более эффективно обнаруживать вторжения и бороться с
ними [6].

Современная
компьютерная атака представляет собой набор инструментов, против которого могут
устоять только профессионально выполненные, интеллектуальные системы защиты,
включающие и аппаратную, и программную составляющие, обладающие возможностью
оперативного анализа событий. Для точного обнаружения вторжений необходимы
надежные и исчерпывающие данные о том, что происходит в защищаемой системе.
Сбор надежных данных является сложным вопросом, связанным с тем, что необходимо
соблюдать баланс между фиксацией всех событий и производительностью. Мощным
средством для проведения анализа данных, который может быть использован для
отбора событий, связанных с безопасностью системы является нейронная сеть.

В связи со способностью искусственных нейронных сетей в процессе обучения
выявлять сложные зависимости между входными и выходными данными, которые
отсутствовали в обучающей выборке, и, способностью корректно классифицировать
зашумленные образы, они являются привлекательным инструментом для решения
сложных разнообразных задач защиты компьютерной информации.

Предмет исследования
защита информационной системы от компьютерных атак с использованием нейронных
сетей.

Объектами исследования являются
принципы анализа сетевого трафика и построения нейронной
сети, которая анализирует сетевой трафик с целью обнаружения вторжений.

Теоретическая значимость
разработки заключается в том, что данная система позволит обезопасить
компьютерную систему от удаленных сетевых атак, которые характеризуются большой
сложностью и запутанностью. За счет применения нейронных сетей удастся
обнаруживать сложные комбинации сетевых транзакций и сопутствующих им фактов[2],
что позволит значительно облегчить контроль над вычислительной сетью.

Научная новизна
данной работы заключается в том, что для обнаружения компьютерных атак
используется многослойные персептрон, а также то, что экспериментальные
испытания осуществлялись на испытанной базе  KDD Cup1999 Data.

Целью данной работы является
разработка и применение средств обнаружения вторжений на основе анализа
сетевого трафика с помощью нейронных сетей.

Для
достижения поставленной цели в данной работе необходимо решить следующие
задачи:

– провести обзор существующих компьютерных атак;

– определить какие существуют методы защиты от компьютерных
атак;

– рассмотреть особенности использования нейронных сетей;

– определить принципы построения и работы с искусственными
нейронными сетями;

– определить функциональность разрабатываемых средств;

– разработать алгоритмы основных модулей системы
обнаружения вторжений;

– выполнить построение нейронной сети;

– провести тестирование нейронной сети, определить
поведение сети на нормальную ситуацию и на ситуацию компьютерной атаки.

В
связи с актуальностью данной темы существует большое количество научных статей,
дипломных работ, интернет страниц, которые содержат описания как проблемы
защиты компьютерных систем от атак, так и направлению связанным с защитой с
помощью построения нейронных сетей.

Научная
работа авторов Ливенцева С.П., Сторчака А.С. «Обнаружение компьютерных атак в
информационно-телекоммуникационных системах на основе методов индуктивного
прогнозирования состояний» рассматривает задачу обнаружения компьютерных атак
на ИТС. Показано, что атака сводится к решению комбинаторных задач, связанных с
ветвлением решающих процессов, с перебором вариантов, число которых быстро
растет при усложнении системы закономерностей.

Научная
статья У.О. Яциковской, И.В. Васильцова, М.П. Карпинського «Исследования
реализации распределенных атак в компьютерных сетях» содержит данные по
исследованиям, которые показали, что формализованные математические модели
вероятности информационных угроз и DoS / DDoS атак линейного вида на основе
использования метода весовых коэффициентов не дают возможности различить, какая
именно атака практически реализована в компьютерной сети, поскольку с
увеличением вероятностей разновидностей атак прямо пропорционально
увеличивается вероятность информационных угроз и атак DoS / DDoS. Зависимости
весовых коэффициентов от вероятности скомпрометированных точек доступа и
количества всевозможных путей показали, что при малых значениях k активность
сети стремительно растет, а атака определяется однозначно. При увеличении
количества всевозможных путей от клиента к серверу, практическую реализацию
атаки сложно определить из-за низкой активности сети. Уровень компрометации
узлов мало влияет на активность сети в целом, поскольку эти узлы не определяют процесса
маршрутизации.

Научная
статья В.Е. Сухов «Система обнаружения аномалий сетевого трафика на основе
искусственных иммунных систем и нейросетевых детекторов» представляет собой
большой интерес для текущей разработки, в данной статье предложена система
обнаружения аномалий, использующая аппарат искусственных иммунных систем и
нейронных сетей. Описывается структура, алгоритмы функционирования и
программная реализация системы обнаружения аномалий. Предложена концепция
системы для обнаружения аномалий сетевого трафика, которая обладает
способностью адаптации к изменениям поведения вычислительной сети и низким
числом ложных срабатываний, с использованием методов искусственного интеллекта.

Данная
работа представлена введением, основной частью, заключением, списком
использованных источников, приложениями.

Основная
часть состоит из трех частей.

Часть
1 содержит анализ научных работ по данной тематике, определение основных
требований к разрабатываемой системе, анализ предметной области – определения
сущности компьютерной атаки, определение средств защиты от компьютерных атак.

Часть
2 содержит определение нейронных сетей как инструмента наиболее эффективного
при обнаружении компьютерных атак, анализ математической составляющей нейронных
сетей, декомпозицию процесса создания средств обнаружения компьютерных атак на
основе анализа сетевого трафика с помощью нейронных сетей, представлен состав
системы, определены алгоритмы работы модулей, спроектирована база данных для
хранения начальных выборок для проведения обучения нейронной сети.

Глава
3 содержит описание процесса построения нейронной сети, приведено обоснование
построения именно такой архитектуры сети, выполнено построение нейронной
системы в пакете MatLab, проанализированы полученные данные.

Заключение:

Произведенный
анализ средств и методов защиты информационных компьютерных систем от вторжений
показывает, что нейронные сети являются наиболее действенным методом, который
продолжает стремительно развиваться в современном мире, причем появляется новая
основная тенденция – использование нейронных сетей для определения не только
вероятности атаки, но и определения ее типа. Нейронные
сети, благодаря своим особенностям, таким как возможность параллельной
обработки информации, способность к обобщению, адаптация к изменениям,
происходящим в окружающей среде, распознаванию зашумленных образов, низкому
уровню ресурсоемкости и т.д., позволяют достигать хороших результатов в решении
таких сложных инженерных задач как анализ, классификация, прогнозирование и
т.д. В связи с особенностью искусственных нейронных сетей в процессе тренировки
(обучения) определять сложные зависимости между входными и выходными данными,
которых не было в обучающей выборке, и, способностью корректно анализировать
большие выборки, они являются эффективным инструментом для решения сложных
задач защиты компьютерной информации. Все
это послужило базой для выбора нейронных сетей в качестве основного инструмента
обнаружения вторжений в рамках данной работы.

В
работе исследуются разнообразные архитектуры нейронных сетей с целью выбора
нейронной сети для обнаружения сетевых атак, предложен способ формирования
обучающей выборки для обучения нейросетевого детектора, представлено применение
метода главных компонентов для сокращения размера данных для анализа сетевого
трафика и представлены результаты экспериментальных исследований.

В
рамках данной дипломной работы были решены следующие задачи:

– определен тип нейронной сети;

Фрагмент текста работы:

1 Анализ угроз в сети Интернет 1.1 Типы компьютерных атак Компьютерные
атаки – это реальная и растущая угроза, с которой сталкиваются компании во всем
мире. Эти атаки реализуются большим количеством программных агентов,
размещенных на хостах, которые злоумышленник скомпрометировал раньше.
Реализация этих атак может привести не только к выходу из строя отдельных
хостов и служб, но и остановить работу корневых DNS-серверов и вызвать
частичное или полное прекращение работы Интернета. В связи с критичностью и
нетривиальностью данного класса атак, построение эффективных средств защиты от
них представляет собой сложную научно-техническую проблему [4]. На уровне
маршрутизаторов защиту, например от DDoS-атак уже достаточно успешно
реализовали компании Cisco Systems и Arbor Networks. Но в целом проблема
компьютерных атак на сегодняшний день по-прежнему очень остро стоит для
большинства компаний.

Сетевые
администраторы придумали много способов защиты, но все они не универсальны и не
решают сразу все задачи, которые ставятся при отображении мощной компьютерной
атаки [6]:

– сохранить работоспособность сервиса;

– отразить максимальное количество ботов и минимум
легитимных пользователей;

– не допустить блокировки адресов поисковых систем.

Необходимо
выполнить разработку системы обнаружения компьютерных атак на основе анализа
сетевого трафика, для такой системы выдвигаются следующие требования:

– автоматизация процесса обнаружения атак с минимальным
участием пользователей системы;

– контроль сетевого трафика;

– упрощение управления средствами обеспечения
информационной безопасности.

Система
должна обеспечивать анализ по следующим элементам компьютерной системы [23]:

– хосты, использующие большой процент
пропускной способности сети;

– хосты с большим числом контактов с другими
хостам сети;

– хосты, использующие запрещенные протоколы или
некорректно использующие разрешенные протоколы;

– общее процентное соотношение используемых
протоколов, в том числе и соотношение трафика протоколов TCP и UDP;

– общие показатели трафика: количество пакетов,
объем;

– общее распределение трафика по портам TCP и
UDP;

– список активных хостов в сети с
индивидуальными общими характеристиками трафика хостов (размер, пакеты,
используемые протоколы, TCP/UDP-сессии и TCP/UDP-порты);

– загруженность сети по задаваемым интервалам
времени;

– общее процентное соотношение трафика между
хостами локальной подсети и между локальными и внешними хостами.

Проанализировав
требования, которые предъявляются к системам обнаружения сетевых атак на
основании анализа сетевого трафика, были сформулированы требования к разрабатываемой
системе:

– система должна учиться на «хорошем» трафике,

– система должна учитывать с какого IP-адреса идет запрос,

– учитывать количество запросов с одного IP-адреса,

– учитывать страну, из которой идет запрос,

– учитывать метод запроса,

– учитывать адрес подсети,

– определять страницу запрашиваемой по данному IP-адреса,

– страницу входа на сайт,

– тип браузера,

– тип операционной системы.

Для
обнаружения компьютерных атак существует большое количество инструментов,
позволяющих осуществлять анализ, в рамках данной работы анализ сетевого трафика
необходимо проводить с помощью нейросетевого анализа, в связи с этим в работе,
необходимо решить следующие задачи [3]:

– определить тип нейронной сети, которая будет наиболее
эффективной для анализа;

– определить основные характеристики нейронной сети –
количество нейронов входного слоя, количество скрытых слоев, количество
нейронов в скрытых слоях, количество нейронов выходного слоя;

– определить тип обучения;

– определить исходные данные для проведения анализа;

– определить среду построения нейронной сети;

– выполнить построение сети и ее обучение;

– проанализировать полученную выборку.

Рассмотрим
какие существуют угрозы в современной компьютерной сети [33].

1.
Хакерство — взлом системы или компьютерных сетей. Хакер — человек, попавший в
систему или компьютерные сети. Хакер несет уголовную ответственность за
ознакомление с содержимым информации, хранящейся в компьютерной системе, при
условии, что он получит доступ к ней в результате нарушения безопасности.
Неважно, будет ли полученная информация использоваться, уничтожать, удалять или
раскрывать. Хакер — это тот человек, который использует уязвимость в системе и,
таким образом, получает информацию.

Типы
хакеров [32]:

– белый хакер. Человек, обладающий знаниями и навыками,
чтобы проникнуть в систему, но делает это для какой-либо организации
официально, например компаний для тестирования сетевой безопасности.