Порівняльний аналіз методик виявлення аномального трафіку комп’ютерних мереж
Виявлення і аналіз аномалій мережевого трафіку як один із способів захисту комп'ютерних систем і мереж. Методи виявлення аномального мережевого трафіку, які використовують виявлення на основі сигнатур і статистичних даних. Використання нейронних мереж.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | статья |
| Язык | украинский |
| Дата добавления | 30.09.2018 |
| Размер файла | 53,7 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
Порівняльний аналіз методик виявлення аномального трафіку комп'ютерних мереж
Лагун А.Е., Грабан Ю.Ю.
В тезисах проанализированы методы анализа трафика в компьютерных сетях. Также были исследованы аномалии сетевого трафика и показана возможность определения типа атак на компьютерную сеть. Был выполнен сравнительный анализ методов для определения аномального сетевого трафика на основе вейвлет-анализа и нейронных сетей.
Ключевые слова: компьютерная сеть, аномальный трафик, вейвлет-анализ, нейронная сеть.
In theses was analysed the methods of traffic analysis in computer networks. Also were investigated anomalies of network traffic and was shown the possibility to define the type of attacks on the computer network. Was performed the comparative analysis of methods for determining the anomalous network traffic based on wavelet analysis and neural networks.
Keywords: computer network, anomalous traffic, wavelet analysis, neural network.
Вступ
З розвитком і ускладненням засобів, методів і форм автоматизації процесів обробки інформації підвищується залежність суспільства від ступеня безпеки інформаційних технологій. Актуальність і важливість проблеми забезпечення інформаційної безпеки обумовлена такими чинниками:
– сучасні рівні і темпи розвитку засобів інформаційної безпеки значно відстають від рівнів і темпів розвитку інформаційних технологій;
– збільшення кількості персональних комп'ютерів, що використовуються в різноманітних сферах людської діяльності;
– через сучасні методи накопичення, обробки і передачі інформації з'явилися загрози, пов'язані з можливістю втрати, спотворення і розкриття конфіденційної інформації.
Загроза безпеки - це можлива небезпека, здійснення будь-якої дії проти захищеного об'єкту, зокрема інформаційних ресурсів, що завдає збитків власникові або користувачеві. Реалізація загрози називається атакою, метою якої є:
– порушення конфіденційності - інформація в комп'ютерній мережі може мати значну цінність, тому її використання без дозволу власника завдає збиток його інтересам;
– порушення цілісності - передбачає повну або часткову компрометацію інформації шляхом її несанкціонованого видалення або модифікації;
– порушення доступності - виведення з ладу комп'ютерної мережі можуть призвести до отримання невірних результатів, відмов комп'ютерної мережі при обслуговуванні.
Таким чином, забезпечення інформаційної безпеки комп'ютерних систем і мереж є одним з провідних напрямів розвитку інформаційних технологій.
Одним із способів захисту комп'ютерних систем і мереж є виявлення і аналіз аномалій мережевого трафіку. Основною метою виявлення аномалій є виявлення відносно малого трафіку аномалії у відносно великому фоновому трафіку, тому виявлення аномалій мережевого трафіку гарантує безпеку і ефективну роботу мережі, а також захищає її від можливих атак.
Методи виявлення аномалій мережевого трафіку використовують виявлення на основі сигнатур і статистичних даних. Сигнатурні методи виявляють аномалії за відомими ознаками. Їх недоліком є здатність виявляти лише наперед відомі типи аномалій. Один з таких методів використовує нейронні мережі.
Статистичні методи визначають звичайну поведінку мережі, а все, що відрізняється від цієї поведінки, сприймається як аномальність. Перевагою цих методів є можливість виявлення відомих і невідомих аномалій на основі лише статистики мережі. Один із статистичних методів виявлення аномалій мережевого трафіку ґрунтується на вейвлет-аналізі.
аномальний трафік комп'ютерна мережа
Виявлення аномалій мережевого трафіку з використанням нейронних мереж
Нейронні мережі для виявлення аномалій навчаються протягом деякого періоду часу, коли вся спостережувана поведінка вважається нормальною. Після навчання нейронна мережа запускається в режимі розпізнавання. У ситуації, коли у вхідному потоці не вдається розпізнати нормальну поведінку, фіксується факт атаки.
Одними з найпоширеніших є нейронні мережі Кохонена [1]. Вони функціонують за стратегією, згідно з якою переможець отримує все, тобто тільки один нейрон активізується, а інші виходи шару обнулюються.
Нейромережевий детектор на основі багатошарової нейронної мережі з одним прихованим шаром нейронів Кохонена містить перший шар нейронних елементів, призначений для розподілу вхідних сигналів на нейрони шару Кохонена (рис. 1).
Рис. 1. Структура мережі Кохонена
Вхідними сигналами є параметри мережевого з'єднання. Виділяють 41 параметр мережевого з'єднання, які характеризують мережевий трафік і містять інформацію про час з'єднання, тип протоколу, кількість переданих байт, кількість помилок під час з'єднання та інше.
Другий шар нейронної мережі складається з нейронів Кохонена. Якщо кількість нейронів шару Кохонена дорівнює A, то
A = P + M (1)
де P - кількість нейронів шару Кохонена, які відповідають класу мережевої атаки; M - кількість нейронів шару Кохонена, які характеризують легітимне з'єднання.
Для навчання шару Кохонена використовується конкурентний метод навчання, який визначає нейронний елемент-переможець, що характеризує клас даних. Після закінчення навчання нейронної мережі при подачі вхідних значень активність нейрона-переможця приймається рівною одиниці, а інші значення обнулюються.
Третій шар складається з одного нейронного елемента, який відображає кластери, сформовані шаром Кохонена, в два класи, які характеризують легітимне з'єднання або атаку. Рівність вихідного нейрона значенню одиниця характеризує атаку, а нуль - нормальне з'єднання.
Використання вейвлет-аналізу для виявлення мережевих аномалій
Вейвлет-аналіз передбачає подання одновимірного цифрового масиву (мережевого трафіку) в різних масштабах, тобто при різній розрізняючій здатності.
Вейвлет-модель має вигляд [2]:
(2)
де цm,k(t) - масштабуюча функція для апроксимації мережевого трафіку; шm,k (t) - деталізуюча вейвлет-функція; cm,k, dm,k - апроксимуючі і деталізуючі коефіцієнти.
Якщо реалізувати модель (2) в режимах навчання і аналізу, то в першому випадку зафіксується еталонний ряд fe(ti), а в другому на програмно-керованому інтервалі буде реєструватися поточне завантаження мережі fр(ti). Різниця між fe(ti) і fр(ti) визначить поточний рівень аномальності мережі fа(ti).
Для оцінки ефективності застосування вейвлет-аналізу проводилося порівняння результатів схеми, що використовує вейвлет-перетворення зі схемою, яка використовує тільки статистичний аналіз. При рівні достовірності більше 95% вейвлет-аналіз дає значно кращі результати виявлення аномалій.
Висновок
Проведені дослідження довели доцільність застосування нейронних мереж та вейвлет-аналізу для виявлення аномального мережевого трафіку і захисту комп'ютерних мереж.
Перелік посилань
1. Комар М. Методы искусственных нейронных сетей для обнаружения сетевых вторжений / М. Комар // Збірник тез 7-ої Міжн. наук.-техн. конф. "Інтернет-Освіта-Наука" - Вінниця: ВНТУ, 2010. - С. 410-413.
2. Лагун І.І. Використання дискретного малохвильового перетворення для виявлення аномалій мережевого трафіку / Лагун І.І., Лагун А.Е. // Вісник НУ “Львівська політехніка” - “Автоматика, вимірювання та керування”. - 2011, 695. - C. 88-94.
Размещено на Allbest.ru
Подобные документы
Особливості архітектури комп'ютерних мереж. Апаратні та програмні засоби комп'ютерних мереж, їх класифікація та характеристика. Структура та основні складові комунікаційних технологій мереж. Концепції побудови та типи функціонування комп'ютерних мереж.
отчет по практике [1,2 M], добавлен 12.06.2015Аналіз фізичної організації передачі даних по каналах комп'ютерних мереж, топологія фізичних зв'язків та організація їх сумісного використання. Методи доступу до каналів, настроювання мережевих служб для здійснення авторизації доступу до мережі Інтернет.
дипломная работа [2,6 M], добавлен 12.09.2010Схема виявлення атак на основі сигнатур. Сучасні тенденції у галузі розподілених систем виявлення комп’ютерних атак. Обґрунтування вибору програмного середовища та мови програмування для розробки підсистеми. Фізичне проектування бази даних підсистеми.
дипломная работа [2,2 M], добавлен 19.07.2014Визначення поняття і дослідження структури топології комп'ютерних мереж як способу організації фізичних зв'язків персональних комп'ютерів в мережі. Опис схеми топології типів шина, зірка і кільце. Багатозначність структур топології комп'ютерних мереж.
реферат [158,1 K], добавлен 27.09.2012Огляд та конфігурація комп’ютерних мереж - двох або більше комп’ютерів, об’єднаних кабелем таким чином, щоб вони могли обмінюватись інформацією. Характеристика мереживих пристроїв иа середовища передачі даних. Під’єднання до мережі NetWare та Internet.
дипломная работа [1,5 M], добавлен 15.02.2010Історія створення комп’ютерних комунікацій та принципи їх побудови. Характеристика устаткування для створення комп’ютерних мереж. Поняття адресації, види протоколів, їх розвиток, комбінування та особливості використання. Стандарти бездротових мереж.
курс лекций [1,3 M], добавлен 04.06.2011Технологічні процеси складання, монтажу, налагодження і тестування комп'ютерних мереж між двома чи більше комп'ютерами. Функціонування локальної обчислювальної мережі. Офісні програмні продукти з пакету MS Office. Топологія мережі підприємства "зірка".
отчет по практике [1,5 M], добавлен 28.08.2014Вивчення історії кафедри "Комп’ютерної інженерії". Дослідження процесу складання, монтажу, налагодження, тестування апаратного забезпечення комп’ютерних систем і мереж. Науково-дослідні роботи у лабораторії "Програмного забезпечення комп’ютерних систем".
отчет по практике [23,9 K], добавлен 01.03.2013Апаратні та програмні засоби комп'ютерних мереж, необхідність об'єднання ПК у одне ціле - локальну обчислювальну мережу. Вимоги, які висуваються до сучасних технологій обміну даними. Середовище обміну, канали, пристрої передавання та приймання даних.
реферат [549,2 K], добавлен 18.03.2010Огляд і архітектура обчислювальних мереж, переваги їх використання та обґрунтування вибору. Пошук несправностей в мережах на базі операційної системи Windows, виявлення причин. Особливості методів захисту від несанкціонованого доступу в мережі TCP/IP.
курсовая работа [2,8 M], добавлен 28.01.2011
