Нерубенко Н А, Терновий М Ю Інститут телекомунікаційних систем Національний технічний університет України «Київський політехнічний інститут» м Київ, 03056, Україна, тел: 380-44-2417699, e-mail: maximter@mailru

Анотація – Запропоновано метод захисту телекомунікаційних мереж від атак заснований на марковських ланцюгах змінної довжини

I                                       Введення

Питання захисту інформації при передачі по лініях звязку завжди був і залишається актуальним Велика кількість робіт присвячено розробці оптимальних методів захисту від проникнень і зломів різних серверів таких як інформаційні, білінгові і Т д [1-3] Найбільш часто використовують такі способи виявлення серверних атак, як [2-10]: експертні системи, методи засновані на класифікації прикладів, нейронних мережах, генетичних алгоритмах і частотних моделях Кожна з цих систем має як достоїнствами, так і недоліками Експертні системи вимагають ПОСТІЙНОГО оновлення і не виявляють атаки, які тривали протягом довгого періоду часу Методи, засновані на класифікації прикладів, потребують дуже точного настроювання, великих обчислювальних ресурсах і обсягах даних [4] Недоліком нейронних мереж і генетичних алгоритмів є необхідність вьюокой ТОЧНОСТІ навчання, великий час навчання і можливість аналізу одних тільки заголовків мережевих пакетів [5 – 8] Недоліком частотних моделей є погана адаптованість і відсутність обліку послідовності виконання команд [9, 10]

У роботі наводиться модель виявлення аномалій побудована на основі марковських ланцюгів змінної довжини Метод заснований на аналізі послідовності виконуваних команд і не вимагає великих обчислювальних ресурсів

II                              Основна частина

Для кожної сесії користувача обчислюється ймовірність за формулою (1) Так як ймовірність визначається як добуток чисел менших, ніж одиниця, сесії з меншим числом команд будуть мати велику ймовірність, ніж з великим Коефіцієнтом «нормальності» вибирається величина, яка (при однакових множниках) не залежить від довжини послідовності:

)

де (г) – ймовірність сесії г довжини N

Для кожного користувача будується окреме розподіл усіх суффіксное дерево за модифікованим алгоритмом Залежно від регулярності поведінки і кількості команд, які використовувалися, розміри дерев дуже варіюються Найменші з побудованих дерев відповідали демонам і пасивним користувачам, які під час роботи обмежувалися лише кількома завданнями Найбільші і гіллясті дерева відповідали адміністраторам і активним пользова

телям Як приклад побудованого невеликого дерева, наведений випадок користувача, який окрім перегляду ПОШТИ практично нічого не робить (рис 1)

Рис 1 Приклад імовірнісного суффіксного дерева Fig 1 Example ofthe prediction suffix tree

В операційній системі FreeBSD процеси можуть виконуватися не тільки від імені звичайних користувачів, а також від імені псевдопользователей або демонів Демони – це спеціальні активні процеси, які ВИКОНУЮТЬ різні системні функції Кількість активних демонів в конкретній системі залежить від її конфігурації Відзначимо, що атаки проти демонів є одними з найчастіших в середовищі UNIX Тому важливо було перевірити, як бьютро і наскільки пристосовується наша модель до регулярного постійному поведінки демонів

Однією з можливих технологій виявлення аномалій за допомогою обраної моделі є спосіб, при якому для поточної сесії вибирається користувач, для якого коефіцієнт / С найбільший серед всіх користувачів Якщо цей користувач не співпадає з реальним, від якого отримано сесію, можна зробити висновок, що присутнє аномалія

Популярним прикладом вторгнень є ситуація з украденим паролем «Чужі» вставлені сесії сильно відрізняються за значенням К Тому можна ввести порогову класифікацію на нормальну або аномальну сесії Якщо значення коефіцієнта К перевищує цей поріг, сесія позначається як нормальна, в протилежному випадку – аномальна

III                                  Висновок

в роботі запропоновано метод виявлення аномалій побудований на основі марковських ланцюгів змінної довжини Такий підхід до виявлення аномалій не вимагає великих обчислювальних ресурсів і великого витраченого часу, так як він аналізує послідовність виконуваних команд

[1] Бєляєв А, Петренко С Системи Виявлення аномал1й: НОВ iflei в захист 1нформац | | Експрес – електрон1ка № 2

– К, 2004

[2] ГамаюновД Сучасний некомерц1ЙН1 технологи в д1агнос-тиц аномально мережевоТ активні. Техн1чна допо-у Дь, 2002

[3] Кммерер Р, В1джіна Д Виявлення Вторгнення: 1стор1я та Огляд Вщкріт системи № 7-8, 2002

[4] http://kiev-securityorgUa/box/12/113shtml

[5] Debar, Η, Веске, М, & Siboni, D (1992) А Neural Network Component for an Intrusion Detection System In Proceedings of the IEEE Computer Society Symposium on Research in Security and Privacy

[6] Denning D E An intrusion -detection model In Proc IEEE Symposium on Security and Privacy, Pages 118-131, 1986

[7] IHammerstrom, Dan (June, 1993) Neural Networks At Work IEEE Spectrum, pp 26-53

[8] Tan, K (1995) The Application of Neural Networks to UNIX Computer Security In Proceedings of the IEEE International Conference on Neural Networks, Vol1 pp 476-481

[9] IHeiman, P and Liepins, G, (1993) Statistical foundations of audit trail analysis for the detection of computer misuse,

IEEE Trans, on Software Engineering, 19(9):886-901

[10]          Theus IVI and Schonlau M Intrusion detection based on structural zeroes Statistical Computing and Graphics Newsletter, 9(1):12- 17, 1998

MARKOV CHAINS FOR SOLVING THE TELECOMMUNICATION NETWORKS PROTECTION TASK

Nerubenko N A, Ternovoy M Y

National Technical University of Ukraine «Kyiv Polytechnic University», Kyiv, 03056, Ukraine Ph: 380-44-2417699, e-mail: maximter@mailru

Abstract – Proposed in this paper is the method providing telecommunication networks security on the basis of variable length Markov chains

I                                         Introduction

The question of guarding at transmission via telecommunication networks is rather actual The methods of server attacks detection, such as: expert systems, methods based on examples classification, neural networks, genetic algorithms and frequency models, are prevalent But all these systems have some disadvantages

Presented in this paper is the model of anomalies detection on the basis of variable length Markov chains The method does not require large computational resources and large expended time, while it analyses running commands sequence

II                                        Main Part

The probability for each user session was calculated using formula (1) The sessions with the less number of commands have greater probability, than those with the large number, because the probability is the multiplication of the numbers, which are smaller than 1

The prediction suffix tree was built for every user by modified algorithm Tree sizes are varied depending on behavior regularity and the number of commands used The smallest trees were built for daemons and passive users, which were limited by few tasks only during the work The greatest and branchy trees were built for administrators and active users

One of the possible technologies for anomalies detection using this model is the method that lies in selection of the user with the greatest coefficient K If this user does not coincide with the real user, it is possible to assume that anomaly occurs

III                                       Conclusion

Proposed in this paper is the method providing telecommunication networks security on the basis of variable length Markov chains This method doesn’t require great computational resource because it analyses just commands sequence

Джерело: Матеріали Міжнародної Кримської конференції «СВЧ-техніка і телекомунікаційні технології», 2006р