ВВЕДЕНИЕ 3
Глава 1. Обзор ключевых понятий 5
1.1. Анализ сетевых угроз 5
1.2. Системы обнаружения вторжений 10
1.3. Архитектура систем обнаружения вторжений 13
1.4. Иммунные системы 17
Глава 2. Разработка методов обнаружения аномальных запросов 23
2.1 Задача обнаружения аномальных запросов 23
2.2. Иммунокомпьютинг 23
2.3. Иммунные системы распознавания 28
2.4. Сравнение методик 31
2.5. Набор данных CICIDS 2017 32
2.6. Реализация прототипа системы обнаружения вторжений 37
Глава 3. Анализ эффективности системы 42
3.1 Описание оценки эффективности системы 42
3.2. Анализ эффективности формальных иммунных сетей 45
3.3. Анализ эффективности иммунных систем распознавания 50
3.4 Анализ эффективности комбинации методов 55
ЗАКЛЮЧЕНИЕ 60
СПИСОК ЛИТЕРАТУРЫ 62
ПРИЛОЖЕНИЯ
В современном мире информационные технологии играют большую роль в жизни человека. С каждым годом в мире увеличивается количество пользователей компьютеров, большинство из которых соединяются в компьютерные сети. По данным аналитического агентства «We Are Social», в мире более 4 миллиардов человек пользуются интернетом [1]. Современное развитие компьютерных сетей помогает быстро обмениваться информацией, однако, повсеместная интеграция сетей увеличивает количество возможных угроз.
Сетевые атаки представляют собой любые действия и средства, используемые для злонамеренного нарушения работы сети, в результате которых под угрозой находятся данные и активы организаций и учреждений, персональные данные физических лиц и другая важная информация. Для контроля безопасности работы в сети используются комбинации различных программных решений, в которые входят антивирусы, межсетевые экраны, алгоритмы шифрования, частные виртуальные сети (VPN), системы аутентификации. Дополнительным инструментом выявления попыток несанкционированного доступа к системе являются системы обнаружения вторжений.
Системы обнаружения вторжений появились более тридцати лет назад, когда с увеличением количества пользователей в сетях появилась необходимость контролировать их действия для обеспечения безопасной и надежной работы сети. С тех пор системы обнаружения вторжений помогают обнаруживать аномальные действия в сети и предупреждают администраторов систем о возможных угрозах.
Целью выпускной квалификационной работы является создание прототипа системы обнаружения вторжений на основе архитектуры искусственной иммунной системы.
Искусственные иммунные системы - это адаптивные системы, основанные на теории иммунных систем позвоночных. Они относятся к методам машинного обучения, принадлежащим области искусственного интеллекта. Основная идея применения данного метода состоит в том, что иммунная система обеспечивает мощную защиту работы организма от внешний вредителей и различных патогенов, что может служить прототипом защиты компьютерных систем от кибератак. Искусственные иммунные системы являются относительно новым направлением научных исследований, имеют большой потенциал применения в области защиты информации в сетях, поэтому данное исследовательское направление является актуальным.
Для достижения поставленной цели необходимо решить следующие задачи:
1) изучить существующие сетевые атаки и определить набор атак, которые будут рассматриваться при создании системы;
2) исследовать методы обнаружения аномалий, применяемых в системах обнаружения вторжений;
3) разработать алгоритмы обнаружения аномальных запросов на основе архитектуры искусственных иммунных систем;
4) реализовать компоненты прототипа системы обнаружения вторжений;
5) оценить эффективность полученного прототипа системы обнаружения вторжений.
В результате проделанной работы был реализован исследовательский прототип системы обнаружения вторжений, в основе интеллектуального компонента которого использовались методы искусственных иммунных систем. Выбор искусственных иммунных систем обусловлен тем, что они включают в себя преимущества генетических алгоритмов и нейронных сетей. К положительным свойствам искусственных иммунных систем можно отнести самоорганизацию, адаптивность, динамические дообучение и гибкую масштабируемость. В ходе работы были отмечены и следующие недостатки: сложность обучения; большое количество констант, которые требуется задать в начале работы алгоритма (уровень клонирования, уровень мутации, пороговое значение аффинности, и т.д.); нетривиальность операций мутации и клонирования.
В качестве методик обнаружения аномальных запросов были выбраны формальные иммунные сети и иммунные системы распознавания. Предлагаемые подходы после реализации были интегрированы в компоненту анализа прототипа системы обнаружения вторжений. При проведении исследований, было отмечено что показатели обнаружения формальный иммунных сетей ниже, чем показатели иммунных систем распознавания. После анализа полученных результатов было предложено объединить работу двух подходов. Это позволило повысить качество детектирования атак до 96,47%. Для получения высокого показателя обнаружения, необходимо подобрать для каждого подхода обучающую выборку, которая содержит большое количество запросов разного типа. Также на результаты влияет настройка параметров системы. Создание иммунной сети из большого количества клеток является сложной задачей и требует большого количества вычислительных ресурсов.
Прототип системы обнаружения вторжений был создан в виде клиентсерверного приложения. Клиентское приложение содержит пользовательский интерфейс, с помощью которого клиент может управлять процессом анализа трафика. В серверной части находятся основные компоненты сбора и анализа трафика, а также интерфейс для работы и настройки иммунных систем. Обучение системы и генерация трафика осуществлялась на основе набора данных CICIDS 2017.
В ходе проведения экспериментального исследования полученного прототипа системы обнаружения вторжений, было установлено, что архитектура искусственных иммунных систем может успешно применяться для обнаружения сетевых вторжений. Однако необходимо дальнейшее усовершенствование полученного продукта, для оптимизации работы и увеличения производительности. Также остается открытым вопрос о расширении архитектуры системы обнаружения вторжений для работы в других направлениях и на разных машинах.
1. Статистика интернета 2017-2018 в мире и в России [Электронный ресурс] / Ю. Сергеева. — 2018. — Режим доступа: https://www.web- canape.ru/business/intemet-2017-2018-v-mire-i-v-rossii-statistika-i-trendy/ (дата обращения 02.06.2019)
2. Different Types of Network Attacks And Security Threats and Counter
Measures [Электронный ресурс] — 2013. — Режим доступа:
https://hubpages.com/technology/Types-of-Network-Attacks (дата обращения
29.05.2019)
3. The History of Intrusion Detection Systems [Электронный ресурс] / P. Schwab. — 2015. — Режим доступа: https://www.threatstack.com/blog/the- history-of-intrusion-detection-systems-ids-part-1 (дата обращения 01.06.2019)
4. Classification of intrusion detection systems [Электронный ресурс] /
Harsha Bhat. — 2017. — Режим доступа: https://www.academia.edu/! 1395235/C LASSIFICATION_OF_INTRUSION_DETECTION_SYSTEMS (дата
обращения 02.06.2019)
5. Шелухин, О.И. Обнаружение вторжений в компьютерные сети (сетевые аномалии) [Текст] / О.И. Шелухин, Д.Ж. Сакалема, А.С. Филинова. - М.: «Горячая линия -Телеком», 2013. - 220 с.
6. Язов Ю. К. Проектирование защищенных информационно телекоммуникационных систем: учеб. пособие [Электронный ресурс] — 2014. — Режим доступа: https://studfiles.net/preview/4288546/ (дата обращения
24.05.2019)
7. Гамаюнов Д.Ю. Обнаружение компьютерных атак на основе анализа поведения сетевых объектов [Текст] // Дис. канд. ф.-м. н. наук: 05.13.11. - М.,
2014. - 89 с.
8. Иммунитет [Электронный ресурс] / Медицинская энциклопедия. — 2013. — Режим доступа: http://www.medical-enc.ru/9/immunitet.shtml (дата обращения 02.06.2019)
9. Искусственные иммунные системы и их применение [Текст] / Под ред. Д. Дасгупты. Пер. с англ. под ред. А. А. Романюхи. - М.: ФИЗМАТЛИТ, 2006. — 344 с.
10. Clever Algorithms: Nature-Inspired Programming Recipes
[Электронный ресурс] / Jason Brownlee. — 2011. — Режим доступа: http: //www. cleveralgorithms. com/nature-inspired/index.html (дата обращения
02.06.2019)
11. Бидюк, П.И. Иммунносетевая модификация алгоритма отрицательного отбора для решения задачи обнаружения аномалий [Электронный ресурс] / П.И. Бидюк, А.А. Фефелов, В.И. Литвиненко. — 2007. — Режим доступа: http://ela.kpi.ua/bitstream/123456789/8969/1/3.pdf (дата обращения 02.06.2019)
12. Basic Immune Inspired Algorithms [Электронный ресурс]— 2013. — Режим доступа: http://www.artificial-immune-systems.org/algorithms.shtml (дата обращения 02.06.2019)
13. Искусственные иммунные системы (Часть 1) [Электронный ресурс]— 2016. — Режим доступа: https://neuronus.com/theory/ais/1284- iskusstvennye-immunnye-sistemy.html (дата обращения 20.05.2019)
14. Вафина, А.Р. Отчет по практике по получению профессиональных умений и навыков [Текст]. - Казань: КФУ, 2019. - 13 с.
15. Tarakanov, A.O. Immunocomputing for Intelligent Intrusion Detection. [Текст] / A.O. Tarakanov // IEEE Computational Intelligence Magazine. - 2008. - C. 23-30.
16. Тараканов А. Формальная модель искусственной иммунной системы [Текст] / А.Тараканов , Д. Дасгупта // Биосистемы. - 2000. - Том 55, Выпуск 1-3. - С. 151-158.
17. Котов В. Д. Система обнаружения вторжений на основе технологий искусственных иммунных систем [Текст] / В. Д. Котов // Интеллектуальные системы управления. - М: Машиностроение, 2010. C. 525-535.
18. Свободная энциклопедия Википедия. Сингулярное разложение
матриц. [Электронный ресурс] — 2018. — Режим доступа :
https://ru.wikipedia.org/wiki/Сингулярное_разложение — (дата обращения
17.05.2019)
19. Бурлаков М.Е. Алгоритм обнаружения вторжений в информационных сетях на основе искусственной иммунной системы [Текст] // Дис. на соиск.ст.канд.тех.наук. - Самара, 2017. - 127 с.
20. Бурлаков, М.Е. Двухклассификационная искусственная иммунная система [Текст] // Вестник СамГУ — Естественнонаучная серия. - 2014. -№ 7(118). - С. 207-220.
21. Gharib, I. Sharafaldin, A. H. Lashkari ,A. A. Ghorbani "An Evaluation Framework for Intrusion Detection Dataset" [Текст] // 2016 International Conference on Information Science and Security (ICISS). IEEE Thailand. - 2016. - С. 1-6.
22. I. Sharafaldin, A. H. Lashkari ,A. A. Ghorbani “Towarding Generating a New Instruction Detection Dataset and Intrusion Traffic Characterization” [Текст] //4th International Conference on Information Security and Privacy (ICISSP), Portugal. -2018. - С.108-116.
23. Induction Detection Evaluation Dataset (CICIDS 2017) [Электронный
ресурс] // University of New Brunswick. - Режим доступа:
https://www.unb.ca/cic/datasets/ids-2017.html (дата обращения: 10.05.19).
24. Вафина А.Р. Отчет по производственной (преддипломной) практике [Текст]. - Казань: КФУ, 2019. - 14 с.
25. ROC-кривая [Электронный ресурс] // Википедия — свободная энциклопедия. - Режим доступа: https://ru.wikipedia.org/wiki/ROC-кривая (дата обращения 02.06.2019)
26. Ошибки первого и второго рода [Электронный ресурс]//
Википедия - свободная энциклопедия. — 2017. — Режим доступа:
https: //ru.wikipedia. org/wiki/Ошибки_первого_и_второго_рода_(статистика) (дата обращения: 22.05.19).