Г.А. Остапенко

Н.М. Радько

А.Ф. Мешкова

Нейронные модели обнаружения вторжений и атак на компьютерные сети

Учебное пособие

Воронеж 2007

ГОУВПО

«Воронежский государственный технический университет»

Г.А. Остапенко

Н.М. Радько

А.Ф. Мешкова

Нейронные модели обнаружения вторжений и атак на компьютерные сети

Утверждено Редакционно-издательским

советом университета в качестве

учебного пособия

Воронеж 2007

УДК 002.001; 002:001.8

Остапенко Г.А. Нейронные модели обнаружения вторжений и атак на компьютерные сети: учеб. пособие / Г.А. Остапенко, Н.М. Радько, А.Ф. Мешкова. – Воронеж: ГОУВПО «Воронежский государственный технический университет», 2007. - 123 с.

Учебное пособие посвящено рассмотрению спектра сетевых атак и вторжений в компьютерную систему. В пособии подробно рассмотрен процесс выявления вторжений и атак, представлены основы искусственных нейронных сетей. Предложена математическая модель, построенная на основе нейронных сетей, обеспечивающая обнаружение вторжений и атак в компьютерных системах.

Издание соответствует требованиям Государственного образовательного стандарта высшего профессионального образования по направлению 090100 «Информационная безопасность», специальностям 090102 «Компьютерная безопасность» и 090105 «Комплексное обеспечение информационной безопасности автоматизированных систем», дисциплине «Компьютерные преступления».

Издание предназначено студентам и аспирантам.

Учебное пособие подготовлено в электронном виде в текстовом редакторе MS WORD и содержится в файле обнаружениеВиА.doc

Табл. 2 Ил. 40. Библиогр.: 102 назв.

Научный редактор д-р. техн. наук, проф. А.Г. Остапенко

Рецензенты: кафедра информационной безопасности ВИ

МВД (зав. кафедрой О.В. Овсентьев);

проф. кафедры МИКТ Г.С. Остапенко.

© Остапенко Г.А., Радько Н.М., Мешкова А.Ф.,2007

© Оформление. ГОУВПО "Воронежский госу-

дарственный технический университет", 2007

ОГЛАВЛЕНИЕ

Введение..........................................................................................5

1. Компьютерные системы как среда проведения вторжений и атак..........................................................................7

1.1. Определение понятия компьютерных систем.....................7

1.2. Классификация сетевых атак для компьютерных систем..9

1.2.1. Атаки на основе подбора имени и пароля посредством перебора..................................................................14

1.2.2. Атаки на основе сканирования портов.........................16

1.2.3. Атаки на основе анализа сетевого трафика.................17

1.2.4. Атаки на основе внедрения ложного доверенного объекта....................................................................21

1.2.5. Атаки на основе отказа в обслуживании .....................29

1.2.5.1. Математическая модель атаки «отказ в обслуживании»..............................................................31

1.2.5.2. Атаки, основанные на ошибках в программном обеспечении.........................................................33

1.2.5.3. «Лавинные атаки»....................................................33

2. Подходы к выявлению вторжений и атак.............................38

2.1. Системы обнаружения вторжений и атак..........................38

2.2. Области применения систем обнаружения атак................39

2.3. Возможности систем обнаружения....................................42

2.4. Технические аспекты выявления атак................................50

2.4.1. Обнаружение атак на различных уровнях...................50

2.4.2. Время сбора и анализа информации...........................55

2.5. Подход к построению входного вектора искусственной нейронной сети..................................................60

3. Построение математической модели обнаружения вторжений и атак в компьютерные системы на основе нейронных сетей..........................................................................66

3.1. Основы искусственных нейронных сетей.........................66

3.1.1. Биологический прототип..............................................67

3.1.2. Искусственный нейрон.................................................68

3.1.3. Персептрон.....................................................................73

3.2. Обоснование топологии искусственной нейронной сети.............................................................................75

3.3. Построение структуры сети.................................................78

3.4. Обучение искусственной нейронной сети.........................85

3.4.1. Дельта-правило...............................................................86

3.4.2. Процедура обратного распространения.......................88

3.4.3. Обучающий алгоритм обратного распространения....89

3.4.4. Алгоритм обучения искусственной нейронной сети..91

3.5. Выбор тестового множества................................................96

3.6. Оценка возможности модели по обнаружению вторжений и атак..........................................................................96

3.7. Обобщенная схема системы обнаружения вторжений и атак на основе полученной математической модели...........101

Вопросы для самоконтроля.......................................................103

Заключение..................................................................................105

Приложение 1. Топологические матрицы...............................106

Приложение 2. Входное множество........................................109Библиографический список.......................................................115

Введение

Своевременное и точное обнаружение атак на компьютер или компьютерные системы всегда будет оставаться ускользающей целью для системных администраторов и исследователей в области информационной безопасности. Индивидуальное творчество хакеров, широкий диапазон аппаратных средств и ОС, а также постоянно изменяющаяся природа угроз для выбранных систем вносят свои трудности в процесс эффективной идентификации атак. Возрастающее преобладание распределенных сетевых систем и незащищенных сетей, таких как Internet, значительно увеличили потребность в обнаружении атак.

Большинство современных подходов к процессу обнаружения атак используют некоторую форму анализа на основе правил. Анализ на основе правил опирается на набор заранее определенных правил, которые предоставляются администратором, автоматически создаются системой или используются оба варианта. Экспертные системы представляют наиболее распространенную форму подходов к обнаружению атак на основе правил. Первоначальные усилия по исследованию обнаружения атак показали неэффективность любого подхода, который требует ручного просмотра журнала регистрации событий. К сожалению, экспертные системы требуют постоянного обновления для того, чтобы оставаться актуальными. Требуемые обновления могут либо игнорироваться, либо выполняться вручную. Как минимум, это приведет к экспертной системе с недостаточными (ослабленными) возможностями. В худшем случае, отсутствие сопровождения снизит степень защищенности всей сети, введя ее пользователей в заблуждение относительно того, что сеть защищена.

По вопросу применения нейросетей для обнаружения компьютерных атак было проведено небольшое количество исследований. Искусственные нейросети предлагают потенциал для решения большого количества проблем, охватываемых другими современными подходами к обнаружению атак. Искусственные нейросети были предложены в качестве альтернативы компонентам статистического анализа систем обнаружения атак. Статистический анализ включает статистическое сравнение текущих событий с предварительно определенным набором эталонных критериев. Этот метод наиболее часто используется при обнаружении отклонений от типичного режима и определяет события, аналогичные событиям, которые указывают на атаку. Нейросети были специально предложены для того, чтобы идентифицировать типичные характеристики пользователей системы и идентифицировать статистически значимые отклонения от установленного режима работы пользователя.

В то время как потребность в системах, способных точно идентифицировать примеры злоупотреблений в сети, растет, в настоящее время нет применимой альтернативы к системам обнаружения атак на основе правил. Этот метод продемонстрировал, что он является сравнительно эффективным, если известны точные характеристики атаки. Однако сетевые атаки постоянно изменяются, поскольку хакеры используют индивидуальные подходы, а также в связи с регулярными изменениями в ПО и аппаратных средствах выбранных систем. Из-за неограниченного разнообразия атак и хакеров, даже специальные постоянные обновления базы данных правил экспертной системы никогда не дадут гарантии точной идентификации всего диапазона атак.

Постоянно изменяющаяся природа сетевых атак требует гибкой защитной системы, которая способна анализировать грандиозное количество сетевого трафика способом, который является менее структурированным, чем системы на основе правил. Система обнаружения злоупотреблений на основе нейросетей могла бы в перспективе решить многие из проблем, имеющихся в системах на основе правил.

Авторы выражают благодарность П.А. Яковлеву и Д.Е. Шибанову за активную работу по подготовке настоящей рукописи.