Глоба Л С, Демидова Я А, Терновий М Ю Інститут телекомунікаційних систем Національний технічний університет України «Київський політехнічний інститут» м Київ, 03056, Україна тел: 380-44-2417699, e-mail: maximter@mailru

Анотація – Обгрунтовано доцільність використання нейромережевих технологій для виявленні аномалій в мережевому трафіку Запропоновано метод розвязання задачі виявлення аномалій мережевого трафіку на основі нейромережевого підходу Для вирішення поставленого завдання зроблений вибір моделі нейромережі зі зворотним поширенням помилки Промодельовані деякі типи DoS / DDoS (Denial of Service) атак Проаналізовано ефективність даного підходу для виявлення DoS / DDoS атак на практиці

I                                       Введення

Загрози інформаційної безпеки виникають через наявність різного роду вразливостей, на які націлені всілякі атаки на інформаційні системи Це змушує користувачів інформаційних систем вести постійну боротьбу за забезпечення Інформаційним безпеки Існує велика кількість різних видів атак на інфор-ційних системи, серед яких атаки на мережевому рівні є одними з найнебезпечніших [1], [2] Для захисту від мережевих атак розроблено велику кількість стали традиційними методів їх виявлення та аналізу, а також реагування на нештатні ситуації Одне з важливих місць серед них займають системи виявлення вторгнень, що дозволяють автоматизувати процеси виявлення аномалій в мережевому трафіку [3] Ефективність таких систем багато в чому залежить від застосовуваних методів аналізу бази знань В даний час поряд з традиційними методами на базі статистичного аналізу отриманих даних, що дозволяють боротися з відомими типами мережевих атак, впроваджуються інтелектуальні підходи для виявлення аномалій в мережевому трафіку [4, 5]

Такі підходи, особливо засновані на застосуванні нейронних мереж, починають набувати все більшого значення з збільшенням кількості і різноманітності вразливостей мереж та повязаних з ними атак

II                              Основна частина

Перевагою у використанні нейросетевого підходу при виявленні аномалій в мережевому трафіку є гнучкість, яку ці мережі надають Система на основі нейронної мережі ідентифікує ймовірність того, що окрема подія, або серія подій вказують на те, що проти системи здійснюється атака Нейромережа здатна аналізувати неповні або перекручені дані, одержувані з мережевого трафіку Здатність обробляти дані від великої кількості джерел є особливо важливою при розгляд розподілених атак, проведених проти мережі скоординованими численними атакуючими Найбільш важлива перевага нейромереж при виявленні аномалій мережевого трафіку полягає в її здатності до вивчення характеристик умисних атак та ідентифікації елементів, які

не схожі на ті, що спостерігалися в трафіку колись Таким чином, нейромережі володіють адаптивністю, що дуже важливо для забезпечення сучасної інформаційної безпеки

Атака, відмова в обслуговуванні (DoS – Denial of Service), одна з найбільш поширених у світі форм зловмисних атак DoS атаки небезпечні тим, що для їх розгортання атакуючим не потрібно володіти особливими знаннями та вміннями, т к все необхідне програмне забезпечення разом з описами самої технології абсолютно вільно доступно в Інтернеті Розвитком DoS-атаки є розподілена атака (Distributed Denial of Service

– DDoS Bo час даної атаки трафік, що посилається для переповнення атакується мережі, приходить одночасно через безліч пристроїв Для захисту мережі від даного виду атак в роботі запропоновано макет з використанням системи виявляє аномалії в мережевому трафіку на основі нейромереж, які б у перспективі вирішили багато з проблем, наявних в системах на основі правил

Процес вирішення поставленого завдання був розбитий на наступні етапи:

– отримання експериментального трафіку мережі

– моделювання розподіленої атаки

– вибір структури нейромережі

– навчання нейромережі на експериментальному трафіку

– тестування навченої мережі

Дані, які потрібні були для навчання і тестування макета генерувалися з використанням вільно розповсюджуваних програм мережевого монітора Shadow Security Scaner і сніффер Ethereal Отримані дані були проаналізовані аналізаторами мережевого трафіку і занесені в таблицю (номер портів відправника / одержувача адреси відправника / одержувача тип вкладеного пакета час життя ідентифікатор і т д) Для вибору необхідних параметрів застосовувався SQL-запит На додаток до нормальної мережевої активності, інформація про яку збиралася системами, була змодельована розподілена атака В результаті були зібрані близько 7000 подій і збережені в базі даних Microsoft Access Наступним етапом роботи був вибір відповідної нейронної мережі У роботі використана MLP-архітекгура зі зворотним поширенням помилки Кількість прихованих шарів і кількість вузлів в прихованих шарах було визначено на основі роботи [6] Функціонування багатошарової мережі виконується згідно з формулами:

де s – вихід суматора, w – вага звязку, у – вихід нейрона, Ь – зміщення, i – номер нейрона, N – число нейронів у шарі, m – номер шару, L – число шарів, f – функція активації

В якості активаційної функції нейронів ис-лользована сигмоїда, значення якої лежать в області між О і +1

де S – вихід суматора нейрона, а-деякий параметр

Навчання мережі було розбите на наступні етапи: присвоювання малих випадкових значень з діапазону ваговим коефіцієнтам і зсувам мережі визначення елемента навчальної вибірки обчислення поточного вихідного сигналу настройка синаптичних ваг настройка зсувів Навчання мережі вироблялося на основі вибірки з 6000 елементів, 30% яких містили ознаки атаки Тестування здійснювалося на що залишилася вибірці Експеримент показав можливість і ефективність застосування нейромережі при виявлення атак мережевого трафіку

III Висновок

Проведено аналіз нейросетевого підходу, використаного для виявлення аномалії мережевого трафіку з вбудованими розподіленими атаками Проведений експеримент показав можливість розпізнавання з високою точністю нейронною мережею атаки типу DDoS в мережевому трафіку

IV Список літератури

[1] Соколов А В, Шальгін В Ф Захист інформації в розподілених корпоративних мережах і системах Москва 2002, 655 с

[2] Є В Дервіженко, Е Л Дружинін Виявлення аномалій на основі статистичного аналізу мережевого трафіку Московський інженерно-фізичний інститут, Росія

[3] Олексій Лукацький, Виявлення атак СанктПетербург, «БХВ-Петербург», 2003, 596 с

[4] А В Лукацький, Ю Ю чаплі, В П Сахаров Нейросен-тевие технології в діагностиці аномальної мережевої активності

[5] А І Власов, С В Колосов, А Е Пакілев Нейромережею-ші методи і засоби виявлення атак на мережевому рівні Московський Державний Технічний Університет ім Н Е Баумана

[6] Горбань А Н Навчання нейронних мереж М: СП Пара-Граф 1991

NETWORK ANOMALY DETECTION USING NEURAL NETWORKS

Globa L S Demidova Y A Ternovoy M Y

National Technical University of Ukraine «Kyiv Polytechnic University», Kyiv, 03056, Ukraine Ph: 380-44-2417699, e-mail: maximter@mailru

Abstract -The advisability of using neural networks for detecting network anomalies is grounded The solution method for network anomaly detection based on neural approach is offered The Back-Propagation Neural Network for solution of the problem is selected DoS and DDoS threats are simulated

I                                          Introduction

There are different kinds of threats for informational systems, e g network level threats, which are the most dangerous Great variety of traditional guarding systems has been designed The IDS (Intrusion Detection System) is considered to be the most important IDS efficiency depends on the technique of knowledgebase analysis At present, intellectual approach, based on artificial neural networks is applied for detecting network anomalies

II                                          Main Part

Advantages of using artificial neural networks for detecting network anomalies are: their flexibility capability of analyzing incomplete, anomalous data from network traffic capability of processing data proceeding from large quantity of sources

The capability of identification DDoS threats within the network traffic using neural network is examined The process of experiment realization is divided into five stages: getting of the experimental traffic detecting attacks in traffic using of attack’s signature getting traffic without attacks using the SQL-requests training of artificial neural network testing of the trained neural network

The data required for training and model testing are generated using free extended software of network scanner Shadow Security Scanner and Ethereal sniffer The software is used in order to fix network events After input data generation, the neural network is selected and trained In this work MLP- architecture of neural network has been applied Neural Network’s training is based on 6000 thousand samples, 30 % of which contain threat elements In this experiment the possibility of using the artificial neural networks for network anomaly detection is shown

III Conclusion

The analysis of neural network approach for detecting network anomalies with bid-in threats is realized The experiment carried out has shown the neural network’s possibility of detecting distributed network threats with high accuracy

Джерело: Матеріали Міжнародної Кримської конференції «СВЧ-техніка і телекомунікаційні технології», 2006р