ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ 3
ВВЕДЕНИЕ 4
1. СЕТЕВЫЕ АТАКИ И МЕТОДЫ ИХ ОБНАРУЖЕНИЯ 6
1.1. Основные типы сетевых атак 6
1.1.1. DoS-атаки 6
1.1.2. U2R (User To Root) - атаки 8
1.1.3. R2L (Root To Local) - атаки 8
1.1.4. Probe (сканирование портов) 9
1.2. Методы обнаружения сетевых атак 9
2. ИСКУССТВЕННЫЕ ИММУННЫЕ СИСТЕМЫ 14
2.1. Функционирование естественной иммунной системы 14
2.2. Функционирование искусственной иммунной системы 16
3. РЕАЛИЗАЦИЯ ИСКУССТВЕННОЙ ИММУНОЙ СИСТЕМЫ С
АЛГОРИТМОМ КЛОНАЛЬНОЙ СЕЛЕКЦИИ 21
3.1. Описание используемых исходных данных 21
3.2. Реализация искусственной иммунной системы 23
3.2.1. Этап обработки входных данных 24
3.2.2. Этап обучения 26
3.2.3. Этап классификации 30
3.3. Анализ эффективности обнаружения атак 33
ЗАКЛЮЧЕНИЕ 39
СПИСОК ЛИТЕРАТУРЫ
Приложение
В последнее время стремительно развиваются информационные технологии в области хранения и передачи данных. Практически все компании, начиная от мелких и заканчивая международными, хранят свои данные в серверах, хранилищах и т.д. В связи с этим остро стоит вопрос защиты данных от нарушения конфиденциальности, целостности и доступности. Злоумышленники, используя уязвимости операционных систем и технологий передачи данных, могут либо привести информационную систему в нерабочее состояние (как в случае DoS-атак), либо получить несанкционированный доступ к системе и исказить или полностью уничтожить данные. Это может привести к большим финансовым и репутационным потерям компании. Поэтому сегодня активно развиваются новые системы обнаружений вторжений (далее - СОВ) для предотвращения сетевых атак на информационную систему (далее - ИС).
Существует два подхода обнаружения атак: обнаружение аномалий и обнаружение злоупотреблений. Методы, использующий первый подход, фиксируют любое отклонение поведения системы от профиля нормального поведения. Такие методы обладают очень важным достоинством: они позволяют обнаруживать новые атаки. Однако главный недостаток этих методов в том, что задача построения модели нормального поведения для современных ИС является очень сложной, в некоторых случаях невыполнимой. Методы второго типа, сравнивают поведение ИС с шаблонами атак, которые содержатся в базе сигнатур. Если поведение системы соответствует хотя бы одному шаблону, то фиксируется вторжение в систему. Большинство современных СОВ использует сигнатурные методы, так как они с наибольшей точностью обнаруживают атаки определенного типа. Однако, существует угроза нулевого дня: когда появляется новая атака, а данные об этихатак еще не внесены в базу сигнатур, следовательно, СОВ может пропустить атаку данного типа. Здесь возникает следующая дилемма - как
часто должно происходить обновление базы сигнатур. Поскольку процесс обновления базы является трудоемкой задачей и требует много ресурсов и времени. Для получения сигнатуры о какой-либо атаке СОВ должна обучиться на большом наборе, представляющая данную атаку. СОВ на основе искусственной иммунной системы позволяет решить задачу, если не полностью, то отчасти. ИИС представляет собой адаптивную вычислительную систему, использующая модели, принципы и механизмы, которые применяются естественной иммунной системой для обнаружения инородных тел в организме. За счет алгоритмов негативного и клонального отбора ИИС может самостоятельно генерировать новые шаблоны сетевых атак. Это поможет избавиться от постоянного обновления базы сигнатур.
Целью дипломной является реализация и тестирование искусственной иммунной системы с алгоритмом клональной селекции для обнаружения сетевых атак.
Задачи работы:
• Ознакомиться с основными типами сетевых атак и методами их обнаружения.
• Изучить алгоритмы иммунной системы, применяемые для решения прикладных задач.
• Проанализировать набор данных KDDCUP 99 DATASET.
• Реализовать систему обнаружения вторжений на основе искусственной иммунной системы с алгоритмом клональной селекции.
• Оценить эффективность реализованной системы.
1. Исследованы основные типы сетевых атак и методы их обнаружения. Рассмотрены преимущества и недостатки поведенческих и сигнатурных методов обнаружения атак.
2. Изучены алгоритмы иммунной системы, которые могут быть применены для решения прикладных задач (в первую очередь - для обнаружения сетевых атак)
3. Проанализированы данные KDDCUP 99 DATASET. Определили основные характеристики сетевого соединения. В наборе содержится большинство образцов DoS-атак, так как они очень распространенные и относительно легко реализуемые. Для уменьшения степени влияния характеристик, изменяющихся в большем по сравнению с другими характеристиками диапазоне была проведена нормализация данных.
4. Разработана система обнаружения вторжений на основе искусственной системы с алгоритмом клонального отбора и реализована в среде Matlab.
5. Была проведена экспериментальная оценка эффективности системы. Определили пороговое значение аффинности, при котором наблюдается наилучшие результаты эффективности: konr=0,2. При данном пороге точность классификации составляет 99%.
6. Определили зависимость количества ошибок первого и второго рода от порога афинности.
7. Выяснили точность классификации для каждого типа атак: DoS-атаки - 99,4%; U2R - 25%; R2L - 40,6%; Probe - 51%. Такой результат объясняется тем, что DoS-атаки имеют наиболее явные признаки и большинство записей (около 90%) в обучающей выборке принадлежит DoS-атакам.
Помощь студентам и аспирантам в выполнении работ от наших партнеров
