Применение метода индуктивного прогнозирования состояний для обнаружения компьютерных атак в информационно-телекоммуникационных системах
Особенности решения задач по обнаружению компьютерных атак на инженерно-технологических компьютерных системах (ИТКС). Применение индуктивного прогнозирования состояний с целью модификации базы знаний системы обнаружения атак ИТКС в автоматическом режиме.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | статья |
| Язык | русский |
| Дата добавления | 28.04.2017 |
| Размер файла | 48,7 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Кубанский государственный аграрный университет, Краснодар
Филиал Военной академии связи
Применение метода индуктивного прогнозирования состояний для обнаружения компьютерных атак в информационно-телекоммуникационных системах
Лаптев Владимир Николаевич
к. т. н., доцент
Сидельников Олег Васильевич
Шарай Вячеслав Александрович
Краснодар, Россия
Аннотация. Рассматривается задача обнаружения компьютерных атак на ИТКС. Показано, что она сводятся к решению комбинаторных задач, и их решение связано с ветвлением решающих процессов, с перебором вариантов, число которых быстро растет при усложнении системы закономерностей. Такой перебор неизбежен, но его можно сокращать до приемлемой величины, позволяющей решать задачи обнаружения компьютерных атак на ИТКС. Применение индуктивного прогнозирования состояний позволит модифицировать базу знаний СОА ИТКС в автоматическом режиме, формировать новые правила и удалять старые
Ключевые слова: ИНДУКТИВНОЕ ПРОГНОЗИРОВАНИЕ СОСТОЯНИЙ, ОБНАРУЖЕНИЕ КОМПЬЮТЕРНЫХ АТАК, ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННАЯ СИСТЕМА, БАЗА ЗНАНИЙ
Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности. При этом, актуальность создания надежных и производительных систем обнаружения компьютерных атак на информационно-телекоммуникационные системы (ИТКС) и противодействия компьютерному нападению вытекает из Стратегии национальной безопасности, Доктрины информационной безопасности РФ, Приоритетных проблем научных исследований в области обеспечения информационной безопасности РФ, требований руководящих документов [1-4].
Обнаружение компьютерных атак на ИТКС является одной из задач, решение которой позволяет повысить защищенность ИТКС в процессе их функционирования и развития [5].
Решению общих проблем обнаружения компьютерных атак посвящены работы В.И. Городецкого, И.В. Котенко, А.В. Лукацкого, С.М. Климова, С.С. Корт и др., а также ряда зарубежных авторов, в том числе Д. Денниг, Д. Андерсона, С. Кумара, С. Норткатт и др.
Используемые в настоящее время методики, методы и алгоритмы обнаружения компьютерных атак на ИТКС не в полной мере разрешают противоречие между увеличением времени на обнаружение компьютерных атак существующими методами за счет увеличения времени анализа признаков атак с одной стороны, и увеличением времени, отводимое на анализ признаков атак, которое приводит к возрастанию вероятности пропуска атаки с другой стороны [6].
Цель статьи - обоснование метода индуктивного прогнозирования состояний для обнаружения компьютерных атак на ИТКС.
1. Анализ известных методов обнаружения компьютерных атак
Компьютерной атакой на ИТКС считаются действия, направленные на реализацию угроз несанкционированного доступа к информации, воздействия на нее или на ресурсы ИТКС с применением программных и (или) технических средств [7].
Осуществление компьютерной атаки происходит при наличии точек несанкционированного доступа к информационным ресурсам и коммуникационному оборудованию ИТКС или при наличии потенциального внутреннего нарушителя с полномочиями штатного оператора в территориально-распределенной вычислительной сети.
Последствиями воздействий компьютерных атак могут стать блокирование управляющей информации и внедрение ложной информации, нарушение установленных регламентов сбора, обработки и передачи информации в комплексах средств автоматизации, отказы и сбои в работе ИТКС, а также компрометация получаемой потребителями информации [5, 8].
Процесс обнаружения компьютерных атак начинается со сбора данных, необходимых для определения факта атаки на ИТКС [5, 8-11]. В частности, можно анализировать сведения о пакетах данных, поступающих в ИТКС, производительность программно-аппаратных средств (вычислительная нагрузка на хосты, загруженность оперативной памяти, скорость работы прикладного ПО), сведения о доступе к определенным файлам системы и т.д.
Для сбора исходной информации традиционно используют специализированные датчики, размещаемые на разных элементах ИТКС. Существуют два типа таких датчиков - сетевые и хостовые. Анализ данных, собранных сетевыми и хостовыми датчиками, проводится в ИТКС с использованием специальных методов обнаружения атак.
Эффективность обнаружения компьютерных атак во многом зависит от применяемых методов полученной информации. В первых системах обнаружения компьютерных атак, разработанных в 80-х годах, использовались статистические методы обнаружения атак. В настоящее время к статистическому анализу добавился ряд новых методик применения интеллектуальных систем обнаружения атак, в качестве интеллектуального инструмента в которых, используются нейронные сети, системы нечеткой логики и экспертные системы [5, 8-11].
Процесс обучения с применением нейросетевых технологий начинается с предъявления системе набора обучающих примеров, состоящих из входных и выходных сигналов. Затем нейронная сеть автоматически подстраивает свои синоптические веса таким образом, что при последующем предъявлении входных сигналов на выходе получаются требуемые сигналы. Недостатками данного подхода являются: сложность построения; трудность подобрать обучающую выборку, адекватно, описывающую предметную область; длительный период обучения; непонятность (непрозрачность) результатов; нехватка адекватного обучающего материала [12].
Указанные недостатки отсутствуют в системах на основе баз знаний, использующих для обучения логический вывод (ЛВ). При этом под способностью к обучению понимается возможность создания базы знаний, а также пополнение и модификация правил в базе знаний под влиянием вновь полученной информации [13].
Большинство современных интеллектуальных систем, использующих ЛВ, позволяет модифицировать базу знаний только в ручном режиме. Известные методы формирования знаний (или методы машинного обучения), позволяющие автоматически изменять базу знаний, основаны на применении индуктивного ЛВ [13]. Индукция подразумевает наличие достаточно представительной выборки обучающих примеров, которая обобщается посредством сгенерированных правил.
Перспективным методом обнаружения компьютерных атак на ИТКС является технология обнаружения компьютерных атак на основе метода индуктивного прогнозирования состояний [14].
2. Обоснование метода индуктивного прогнозирования состояний для обнаружения компьютерных атак
В [13] предлагается процесс распознавания признаков объекта разделить на два этапа: обучение и собственно распознавание. Первый этап - индуктивный, второй - дедуктивный. На первом из них, обрабатываются данные многочисленных наблюдений над исследуемым классом объектов, и на основе полученных результатов строится некоторое решающее правило. На втором этапе описанное правило применяется для распознавания интересующих нас, но непосредственно не измеряемых свойств других объектов этого же класса.
Рассмотрим множество объектов и обозначим его через U, полагая, что оно состоит из отдельных элементов, обозначаемых через Множество всех признаков, используемых при описании этих объектов, обозначим через Множество всех объектов, обладающих некоторым конкретным признаком , обозначим через , называя его классом с признаком , а его дополнение, т.е. множество всех объектов, не обладающих признаком , - через .
Например, может представлять адреса источника IP-датаграммы, собираемые сетевыми датчиками для аудита, - такие признаки, как октеты диапазона адресов: 192.168.1.16. - множество всех разрешенных адресов источника IP-датаграммы, содержащиеся в третьем октете, - множество не разрешенных адресов источника IP-датаграммы, содержащиеся в третьем октете.
При исследовании реальных объектов мощность множества , т.е. число элементов в нем, оказывается обычно очень большой, и, как правило, известна лишь относительно малая его часть. Предположим, что нам доступна вся информация об этом множестве и удалось описать каждый его элемент, перечислив признаки, которыми последний обладает, например в виде . Это означает, что объект представляет собой комбинацию признаков , и , т.е. обладает этими признаками и никакими другими. Доступную информацию можно представить иначе - строкой из нулей и единиц - булевым вектором. Символы строки соответствуют признакам , . и следует, что если объект обладает признаками: "1" - обладает, "0" - не обладает.
Например, описание можно заменить на вектор: (в данном случае число признаков ограничено четырьмя; при большем их числе вектор дополняется справа нулями).
Пользуясь такими средствами, можно представить множество в целом. Для этого следует расположить друг под другом булевы векторы; представляющие последовательно объекты и т.д., получить булеву (из нулей и единиц) матрицу. Обозначим ее через . Матрица содержит в удобной для обозрения форме информацию об отношении принадлежности признаков объектам: если объект обладает признаком , то на пересечении -й строки и -го столбца ставится "1", в противном случае - "0".
При больших ограничениях на используемые измерительные средства индивидуальность объектов может быть потеряна. Тогда отдельные строки матрицы будут служить уже не моделями каких-то единичных объектов, а представлять их целыми группами, говоря о том, что в множестве U существуют объекты с заданными комбинациями признаков:
a b c d
Строки матрицы являются - группы объектов, неразличимых в данной системе признаков. Столбцы задают классы.
Множество всех таких комбинаций булевых векторов образуют так называемое булево пространство . Множество допустимых комбинаций является подмножеством из . Назовем это подмножество область существования объектов исследуемого класса, а его дополнение - область запрета, поскольку данное множество образуется запрещенными признаками. Всего их будет .
Таким образом, знание даже одного элемента множества запрета , т.е. информация о том, что некоторый объект не существует, позволяет иногда решить задачу распознавания, в то время, как аналогичные сведения о существовании некоторого объекта оказываются недостаточными для этого. Поэтому формулировку закономерностей, позволяющих решить задачи распознавания признаков компьютерных атак, будем связывать с запретами, т.е. запрет на некоторые комбинации признаков, что позволит осуществлять не весь перебор возможных признаков атак в базе данных, а ограничиться сокращенным перебором.
При использовании метода индуктивного прогнозирования состояний компьютерная атака рассматривается как последовательность действий, приводящих систему из начального состояния в скомпрометированное (конечное) состояние. Таким образом, атака моделируется как множество состояний и переходов между ними. Состояние системы рассматривается как набор переменных, описывающих объекты, представленных в сигнатуре атаки. Начальное состояние ассоциируется с состоянием до выполнения атаки, а скомпрометированное состояние соответствует состоянию по окончании атаки. Переходы из состояния в состояние ассоциируются с новыми событиями в системе, влияющими на исполнение сценария атаки (например, запуск приложения, открытие TCP-соединения и т.д.). Типы допустимых событий (состояний системы) хранятся в базе данных. Между начальным и скомпрометированным состояниями существует множество переходов.
Такой способ позволяет:
описать атаку более абстрактно, чем на уровне системных вызовов, и более точно, чем с использованием неформального текстового описания;
выделить основные события в ходе выполнения атаки.
Ключевыми факторами применимости метода индуктивного прогнозирования состояний являются следующие:
в связи с увеличением количества параметров (признаков) атаки, учитываемых в модели анализа состояний используется метод индуктивного вывода, основанный на распознавании признаков атак, связанных с запретами, т.е. запрет на некоторые комбинации признаков, что позволит осуществлять не весь перебор возможных признаков атак в базе данных, а ограничиться сокращенным перебором;
индукция подразумевает наличие достаточно представительной выборки обучающих примеров, которая обобщается посредством сгенерированных правил, позволяющая модифицировать базу знаний системы обнаружения атак (СОА) ИТКС в автоматическом режиме и сформировывать новые правила и удалять старые;
компьютерная атака индуктивное прогнозирование
скомпрометированное состояние должно быть распознано без использования внешних знаний о намерениях нарушителя (трудно обнаружить атаку маскарада с использованием учетной записи легитимного пользователя и корректного пароля).
Таким образом, задача обнаружения компьютерных атак на ИТКС сводятся к решению комбинаторных задач, и их решение связано с ветвлением решающих процессов, с перебором вариантов, число которых быстро растет при усложнении системы закономерностей. Такой перебор неизбежен, но его можно сокращать до приемлемой величины, позволяющей решать задачи обнаружения компьютерных атак на ИТКС. Применение индуктивного прогнозирования состояний позволит модифицировать базу знаний СОА ИТКС в автоматическом режиме и сформировывать новые правила и удалять старые.
Литература
1. Указ Президента Российской Федерации от 12 мая 2009 г. № 537 "О Стратегии национальной безопасности Российской Федерации до 2020 года" // Российская газета. - 19 мая 2009 года. - Режим доступа: http://www.rg.ru/2009/05/19/strategia-dok.html
2. Доктрина информационной безопасности Российской Федерации (от 09.09.2000) // Российская газета. - Режим доступа: http://www.gov.ru.
3. Приоритетные проблемы научных исследований в области обеспечения инфор-мационной безопасности Российской Федерации [Текст]: [Утверждены Исполняющим обязанности Секретаря Совета Безопасности Российской Федерации, председателя научного совета при Совете Безопасности Российской Федерации 7 марта 2008 г] - М.: 2007. - Режим доступа: http://www.scrf.gov.ru/documents/93.html.
4. Руководящий документ Государственной технической комиссии при Президенте Российской Федерации. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. // Сборник Руководящих документов по защите информации от несанкционированного доступа [Текст]: Государственная техническая комиссия при Президенте Российской Федерации. - М.: СИП РИА, 1998. - 120с.
5. Климов СМ., Методы и модели противодействия компьютерным атакам. - М: Люберцы.: КАТАЛИТ, 2008. - 316 с.
6. Сидельников О.В., Коробка А.А. Анализ существующих методов обнаружения удаленных сетевых атак. // Перспективы развития средств и комплексов связи. Подготовка специалистов связи: Материалы межвузовской научной конференции. В 2 ч. Ч.2/Новочеркасское высшее военное командное училище связи. - Новочеркасск, 2009, С.56-61.
7. Рекомендации по стандартизации Р 50.1.053-2005 Информационные технологии. Основные термины и определения в области технической защиты информации. - М.: Стандартинформ, 2005.
8. Сердюк В.А. Новое в защите от взлома корпоративных систем. - М.: Техносфера, 2007. - 306 с.
9. Корт С.С. Теоретические основы защиты информации: Учебное пособие. - М.: Гелиос АРВ, 2004. - 240 с.
10. Шангин В.Ф. Защита компьютерной информации. Эффективные методы и средства / Шангин В.Ф. - М.: ДМК Пресс, 2010. - 544 е.: ил.
11 Лукацкий А.В. Обнаружение атак. - 2-е изд. - СПб.: БХВ-Петербург, 2003. - 608 с.
12. Котельников, Е. В Абдуктивный метод модификации посылок в исчислении высказываний / Е.В. Котельников // Вестник Вятского научного центра Верхне-Волжского отделения Академии технологических наук Российской Федерации. Серия: Проблемы обработки информации. Вып.1 (6) /2006. - Киров, 2006 - С.18-28.
13. Закревский А.Д. Логика распознавания. Изд.2-е, доп. - М.: Едиториал УРСС, 2003. - 200. - 144 с.
14. Дорохов И.Н. Формализация выбора и принятия решений в изобретающей эксперт-ной системе // Тр. ХХ-ой Международной научно-технической конференции "Интеллектуальные САПР" (САD - 2007), 3-10 сентября 2007, Дивноморское, в 3 - х томах. Т.1. - М.: Физматлит, 2007. С.289-296.
Размещено на Allbest.ru
Подобные документы
Обобщенная модель процесса обнаружения атак. Обоснование и выбор контролируемых параметров и программного обеспечения для разработки системы обнаружения атак. Основные угрозы и уязвимые места. Использование системы обнаружения атак в коммутируемых сетях.
дипломная работа [7,7 M], добавлен 21.06.2011Способы применения технологий нейронных сетей в системах обнаружения вторжений. Экспертные системы обнаружения сетевых атак. Искусственные сети, генетические алгоритмы. Преимущества и недостатки систем обнаружения вторжений на основе нейронных сетей.
контрольная работа [135,5 K], добавлен 30.11.2015Компьютерные атаки и технологии их обнаружения. Сетевые системы нахождения атак и межсетевые экраны. Программные средства анализа защищенности и отражения угроз. Внедрение программных средств выявления атак для информационной системы предприятия.
курсовая работа [53,6 K], добавлен 16.03.2015Удобство и возможности системы предотвращения атак Snort, типы подключаемых модулей: препроцессоры, модули обнаружения, модули вывода. Методы обнаружения атак и цепи правил системы Snort. Ключевые понятия, принцип работы и встроенные действия iptables.
контрольная работа [513,3 K], добавлен 17.01.2015Классификация сетевых атак по уровню модели OSI, по типу, по местоположению злоумышленника и атакуемого объекта. Проблема безопасности IP-сетей. Угрозы и уязвимости беспроводных сетей. Классификация систем обнаружения атак IDS. Концепция XSpider.
курсовая работа [508,3 K], добавлен 04.11.2014Концепция адаптивного управления безопасностью. Средства анализа защищенности сетевых протоколов и сервисов. Компоненты и архитектура IDS. Классификация систем обнаружения атак. Поиск уязвимостей в современных системах IDS. Методы реагирования на атаки.
курсовая работа [488,5 K], добавлен 13.12.2011Методы обнаружения атак на сетевом и системном уровнях. Административные методы защиты от различных видов удаленных атак. Уведомления о взломе. Ответные действия после вторжения. Рекомендации по сохранению информации и контроль над ней в сети Internet.
курсовая работа [36,0 K], добавлен 21.01.2011Способи здійснення атак на відмову та пароль. Захист інформації від несанкціонованого доступу та від її витоку в комп'ютерних системах. Використання міжмережевих екранів, системи виявлення вторгнень, засобів аналізу захищеності в комунікаційних системах.
презентация [300,2 K], добавлен 14.08.2013Описание информационных технологий и модель угроз. Средства защиты периметра сети, межсетевые экраны. Системы обнаружения вторжений, их классификация по уровням информационной системы. Подходы к автоматическому отражению атак и предотвращению вторжений.
дипломная работа [2,0 M], добавлен 05.06.2011Модели нарушителей глобальной информационной системы Интернет. Классификация угроз в соответствии с IT-Baseline Protection Manual. Реализация DoS/DDos атак. Программная реализация Snort: установка, препроцессоры и структура модулей обнаружения и вывода.
дипломная работа [509,5 K], добавлен 05.06.2011
