ВВЕДЕНИЕ 4
ГЛАВА 1. ОПИСАНИЕ ПРЕДМЕТНОЙ ОБЛАСТИ 6
1.1. Основные определения и понятия 6
1.2. Классификация СОВ 7
1.3. Архитектура СОВ 9
1.4. Обзор технологий, применяющихся в задаче обнаружения вторжений 10
1.5. Уязвимости СОВ 13
1.6. Обзор существующих СОВ 13
ГЛАВА 2. ИНТЕЛЛЕКТУАЛЬНЫЙ АНАЛИЗ ДАННЫХ В ЗАДАЧЕ
ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ 17
2.1. Преимущества и недостатки применения методов интеллектуального
анализа данных 17
2.2. Описание алгоритмов 18
ГЛАВА 3. РЕАЛИЗАЦИЯ ПРОТОТИПА СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ 25
3.1. Проектирование архитектуры прототипа СОВ 25
3.2. Реализация подсистемы сбора данных 27
3.2.1. Реализация модуля сбора сетевых данных 28
3.2.2. Реализация модуля сбора внутрисистемных данных 29
3.3. Реализация компоненты Manager 30
3.4. Реализация компоненты Analyzer 32
3.4.1. Описание данных 33
3.4.2. Построение модели 37
3.5. Реализация пользовательского интерфейса 42
3.6. Реализация генераторов подозрительных событий 47
3.7. Организация хранилища 49
ГЛАВА 4. ИССЛЕДОВАНИЕ ЭФФЕКТИВНОСТИ ПРОТОТИПА СОВ 52
4.1. Качественная оценка 52
4.2. Оценка производительности 55
4.3. Тестирование компоненты пользовательского интерфейса на удаленном
узле 56
4.4. Общие выводы о применимости выбранных методик к задаче
обнаружения вторжений 56
ЗАКЛЮЧЕНИЕ 58
СПИСОК ЛИТЕРАТУРЫ 60
ПРИЛОЖЕНИЕ 62
С появлением сети Интернет на фоне феноменального роста числа пользовательских компьютеров вопросы информационной безопасности перестали быть предметом внимания и интереса исключительно специалистов данной области. Проблемы обеспечения безопасности в сфере информационных технологий стали реалиями для различных предприятий, использующих корпоративные сети для обмена конфиденциальной информацией в рамках производства, стали причиной беспокойства обычных пользователей и организаций, использующих современные технологии в процессе электронного документооборота и для проведения финансовых операций, определили ключевые требования к продуктам и услугам, предлагаемых на рынке информационных технологий. Данная область является одной из наиболее прибыльных отраслей и предполагает большие перспективы в плане поступательного развития и внедрения во всех аспекты нашей повседневной жизни, поэтому сопутствующее расширение «криминального» сегмента в ней неизбежно. Под «криминальным» сегментом здесь стоит понимать деятельность злоумышленников в сфере информационных технологий, наносящую ущерб любого рода владельцам корпоративных сетей и сетевых ресурсов, разработчиками программного обеспечения и обычным пользователям.
Прогресс в области разработки средств защиты всегда отстает от темпов появления новых уязвимостей и угроз, потому что достижение высокого уровня защищенности подразумевает использование комплексного подхода, включающего в себя как технические, так и организационные меры, что является крайне трудоемкой и неординарной задачей.
Упоминание угроз информационной безопасности ассоциируется у среднестатистического пользователя с привычными прикладными программами наподобие антивирусов, межсетевых экранов и систем обнаружения вторжений, представляющих собой категорию технических мер по предотвращению инцидентов безопасности. Одна из проблем, существующих в области разработки подобного программного обеспечения, заключается в ориентированности традиционных методов защиты компьютерных сетей на обнаружение и предотвращение конкретных видов угроз и атак и, как правило, реализации в виде набора программных и аппаратных компонент, функционирующих независимо друг от друга. Классические методы, применяемые в реальных инструментах обеспечения компьютерной безопасности, характеризуются «неразвитыми адаптационными возможностями и пассивными механизмами обнаружения атак» [1]. Потому несмотря на многообразие предлагаемых продуктов и обширное количество научных исследований и проектов в данной области вопрос о построении «идеальной» системы, гарантирующей защищенность от большинства существующих ныне угроз, остается по-прежнему открытым. Особый научный интерес вызывает вопрос о применимости в области разработки средств защиты информационных систем методов интеллектуального анализа данных и алгоритмов машинного обучения, показавших грандиозные результаты в самых разнообразных сферах человеческой деятельности, начиная от медицины и заканчивая имитацией творческого художественного процесса создания картин. Упомянутые методы пока не зарекомендовали себя на серьезной основе в области информационной безопасности, поскольку любое нововведение здесь должно быть верифицировано, то есть иметь под собой серьезную доказательную базу корректности его применения.
Целью данной выпускной квалификационной работы является разработка прототипа системы обнаружения вторжений, использующего методы интеллектуального анализа данных.
Результатом проделанной работы стал разработанный прототип системы обнаружения вторжений, использующий в основе анализа сетевых данных нейронную сеть. Численные показатели эффективности данной разработки свидетельствуют о перспективности применяемых методик, однако проектирование полноценной системы обнаружения вторжений, применяющейся в реальных эксплуатационных условиях, требует дальнейшего научного исследования.
Ключевым моментом работы являлся подбор релевантных методов, применимых хотя бы к одному типу входных данных. Экспериментальным путем был установлен факт, что в задаче анализа сетевого трафика нейронные сети показывают наилучший результат по сравнению с другими рассматриваемыми методами. Использование нейросетевых технологий подразумевает серьезную исследовательскую работу, нацеленную на выбор наиболее эффективной архитектуры под различные типы входных данных, которые в задаче обнаружения вторжений могут различаться кардинально в зависимости от источника информации. Использование структурно более сложных моделей способствует развитию адаптивности модели, то есть способности обнаруживать новые виды атак, базирующиеся на уже известных типах. Эксперименты с зашумленными данными показали, что даже примитивная архитектура многослойного персептрона на высоком уровне справляется с задачей классификации данных сетевого трафика.
В данной работе был осуществлен анализ структуры сетевых и системных данных с целью выявления наиболее информативных признаков . В конечном счете анализ на предмет подозрительной сетевой активности осуществлялся на основе параметрических данных соединения, или так называемых метаданных соединения. Полученные в ходе испытаний результаты позволяют сделать вывод о том, что выбранное признаковое пространство при попытке вторжения содержит явные его признаки, однако можно значительно расширить спектр обнаруживаемых атак посредством включения в анализ дополнительных сегментов сетевых пакетов, в том числе поля передаваемых по сети данных.
В ходе работы были освоены различные способы сбора данных, характеризующих в определенном смысле уровень защищенности системы: перехваченные пакеты сетевого трафика и записи журналов событий. Два этих источника способны предоставить достаточно полную информацию о текущем состоянии системы, однако дополнение множества компонент сбора данных модулями системных вызовов и контроля целостности файловой системы значительно увеличивают вероятность обнаружить подозрительное поведение изнутри охраняемой системы.
Архитектура разработанного прототипа позволила использовать приложение в распределенной системе, где объект мониторинга и анализирующая компонента установлены на разных машинах. Открытыми остаются вопросы оптимизации, улучшения быстродействия и производительности.
Таким образом, разработанный прототип системы обнаружения вторжений показывает неплохие результаты в задаче анализа сетевого трафика на предмет атаки, но в то же время подразумевает огромное поле деятельности по дальнейшему усовершенствованию существующего функционала.
1. Котенко И.В., Юсупов Р.М. Перспективные направления исследований в области компьютерной безопасности. Защита информации. Инсайд. 2006. № 2. С. 46. 125 МГГУ им. М.А. Шолохова
2. Шелухин, О.И. Обнаружение вторжений в компьютерные сети (сетевые аномалии) [Текст] / Под ред. О.И. Шелухина. -О.И. Шелухин, Д.Ж. Сакалема, А.С. Филинова. -Москва: «Горячая линия -Телеком», 2013. -220 с.
3. Миленин Е.И., Огорелин В.А., Голобоков А.А. Общие сведения и архитектура систем обнаружения вторжений. В сборнике: Наука и иннофации в XXI веке: актуальные вопросы, открытия и достижения, сборник статей V Международной научно-практической конференции: в 2 частях. 2017. С. 104-107.
4. Гамаюнов Д.Ю. Обнаружение компьютерных атак на основе анализа поведения сетевых объектов. Дисс. на соискание уч. степени к.ф. -м.н. Москва, МГУ, 2007.
5. Статья «Базовые принципы машинного обучения на примере линейной
регрессии» [Электронный ресурс] URL:
//habr.com/company/ods/blog/322076/
6. Разинков Е.В. Методическое пособие «Машинное обучение», КСАИТ,
ИВМиИТ, КФУ [Электронный ресурс] URL:
https://vmkhelp.ru/wpcontent/uploads/2017/09/machine_learning_at_kfu_25 _04_15.pdf
7. Статья «Метод обратного распространения ошибки» [Электронный ресурс], URL:http://ru.cybernetics.wikia.com/wiki/Метод_обратного_распростран ения_ошибки
8. Статья «Протоколирование событий» [Электронный ресурс] URL: https://professorweb.ru/my/csharp/base_net/level1/1_3.php
9. Наблюдение за безопасностью и обнаружение атак. [Электронный ресурс] URL: https://technet.microsoft.com/ru-ru/library/cc875806.aspx
10. Статья «Актуальные вопросы выявления сетевых атак» [Электронный
ресурс] URL: http://www.iso27000.ru/chitalnyi-zai/setevaya-
bezopasnost/aktualnye-voprosy-vyyavleniya-setevyh-atak
11. Марков Р. А., Бухтояров В. В., Попов А. М., Бухтоярова Н. А. Исследование нейросетевых технологий для выявления инцидентов информационной безопасности // Молодой ученый. — 2015. — №23. — С. 55-60.