CC BY
17Методы и средства защиты информации
тупа необходим контроль над сетевыми интерфейсами, конкретно - над их состоянием: включен или выключен.
На уровне распределения (агрегации) задачи агентов расширяются, помимо управления необходима регистрация информации о состоянии и загрузки интерфейсов, сканирование прямоходящего трафика и передачи данной информации центру сбора статистики.
Решением поставленных задач на двух данных уровнях может являться протокол прикладного уров -ня SNMP [2], он отвечает следующим требованиям: имеет открытую и понятную структуру; реализован на большинстве современных сетевых устройствах. На уровне ядра сети к вышеперечисленным требованиям добавляется маршрутизация промаркированного системой трафика, перераспределение его между имеющимися внешними магистральными и внутренними локальными каналами, для этого можно использовать протокол маршрутизации BGP [3]. Также на этом уровне к сети провайдера подключается сервер: хранилище статистики, центр обработки статической информации и принятия решений.
Таким образом, введение в эксплуатацию данной системы позволит провайдеру вести достаточно эффективную борьбу с DoS- и DDoS-атаками, снизить нагрузки на собственное оборудование и каналы передачи данных, предоставить дополнительный сервис своим абонентам и производить мониторинг загрузки каналов в наглядной форме внутри собственной сети.
Библиографические ссылки
1. DDoS-атаки второго полугодия 2011 года [Электронный ресурс]. URL: http://www.securelist.com/ru/ analysis/208050745/DDoS_ataki_vtorogo_polugodiya_20 11_goda (дата обращения: 07.09.2012).
2. RFC 3411: An Architecture for Describing Simple Network Management Protocol (SNMP) Management Frameworks [Электронный ресурс]. URL: http://www.ietf.org/rfc/rfc3411.txt (дата обращения: 07.09.2012).
3. RFC 1998: An Application of the BGP Community Attribute in Multi-home Routing [Электронный ресурс]. URL: http://tools.ietf.org/html/rfc1998 (дата обращения: 07.09.2012)
E. Yu. Moiseev
Siberian State Aerospace University named after academician M. F. Reshetnev, Russia, Krasnoyarsk
ON DETECTION AND PREVENTION OF DOS AND DDOS ATTACKS IN THE PROVIDER NETWORKS OF REGIONAL LEVEL
The description of the project of system on detection and prevention of DoS and DDoS of attacks used at local provider nets is given.
© Моисеев Е. Ю., 2012
УДК 669.713.7
С. А. Поздняков
Омский государственный университет имени Ф. М. Достоевского, Россия, Омск
ИСПОЛЬЗОВАНИЕ СХЕМЫ СОВПАДЕНИЙ В СИСТЕМАХ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ
НА ОСНОВЕ НЕЙРОННЫХ СЕТЕЙ
Предложена схема совпадений для систем обнаружения вторжений на основе нейросетевого подхода. Показано, что использование нескольких нейросетей с последующим сравнением результатов приводит к повышению эффективности обнаружения сетевых атак. Проведен компьютерный эксперимент с использованием образцов реального трафика.
Предлагаемый метод совпадений основан на том, что различные нейросети могут детектировать различные атаки. Ложные срабатывания также происходят не всегда на одних и тех же пакетах. Будем использовать три нейросети с различными топологиями, на вход которых подается один и тот же трафик. На выходе каждой нейросети результаты будут представлены в виде многомерного вектора, каждая координата которого соответствует одному из видов атак. Если нейросеть детектирует атаку, то соответствую-
шая координата принимает единичное значение, в противном случае - нулевое.
Результирующий вектор будем находить как сумму выходных векторов трех нейросетей. Если в результирующем векторе координата нулевая или единичная, то атака отсутствует.
Единица означает, что на одной из нейросетей произошло ложное срабатывание. Если значение координаты вектора равно 2 или 3, то произошла атака соответствующего типа.
Решетневскце чтения
Таблица 1
Типы преобладающего трафика в дампах
Тип Количество записей
Gopher 21
h223-over-tcp 12
http_with_jpegs 42
Obsolete_Packets 1105
pgsql-jdbc 1352
S5066-HFChat-1 17
Skype 189
smbtorture 1054
Таблица 2
Эффективность обнаружения вторжений для отдельных нейросетей
MLP SVM SOM
Эффективность 0,1 % 92 % 88,7 %
Ошибка 1 рода - 8,0 % 12,3 %
Компьютерный эксперимент проводился на трех нейросетях MLP, SVM и SOM. В качестве трафика, содержащего атаки различного типа, были использованы образцы реального трафика с сайта http://www.wireshark.org/. Структура трафика представлена в табл. 1.
Сначала была протестирована эффективность каждой нейросети по отдельности.
Суммарное значение обнаруженных атак представлено в табл. 2.
Для каждого конкретного вида атак значения могут быть как выше, так и ниже среднего. Применение схемы совпадений позволило получить эффективность обнаружения 90,01 %, тогда как ошибка первого рода составила 2,4 %. Как можно видеть, эффективность предложенной схемы повысилась незначительно. Однако данный результат связан с тем, что сеть 8УМ самостоятельно достаточно хорошо справляется с данным тестом. Снижение же ошибки первого рода в четыре раза можно считать хорошим результатом.
S. A. Pozdnyakov Omsk State University named after F. M Dostoevsky, Russia, Tomsk
USING A COINCIDENCE SCHEME IN THE INTRUSION DETECTION SYSTEMS BASED ON NEURAL NETWORKS
A coincidence scheme for intrusion detection systems based on neural networks is proposed. The use of multiple neural networks is shown to be followed by comparison of the results leading to more efficient detection of network attacks. A computer experiment using a real traffic samples is carried out.
© Поздняков С. А., 2012
