УДК 004.056
И. М. Ажмухамедов, А. Н. Марьенков
ОПРЕДЕЛЕНИЕ АНОМАЛИЙ ОБЪЕМА СЕТЕВОГО ТРАФИКА НА ОСНОВЕ АППАРАТА НЕЧЕТКИХ МНОЖЕСТВ
Введение
Число инцидентов в области информационной безопасности постоянно увеличивается. Механизмы атак на вычислительные сети становятся все совершеннее. В связи с этим важной задачей является разработка и совершенствование средств защиты.
Наиболее популярными средствами защиты вычислительных систем и сетей являются:
1. Антивирусные программы. Условно выделяют следующие уровни антивирусной защиты [1]:
— поиск и уничтожение известных вирусов (сканеры, полифаги). Главный их недостаток - зависимость от актуальности сигнатур. Увеличение базы сигнатур приводит к снижению скорости сканирования. Метод не способен выявлять полиморфные вирусы;
— поиск и уничтожение неизвестных вирусов (ревизоры, вакцины, эвристические анализаторы). Ревизоры могут создавать различные неудобства для пользователей, реагируя на легитимные изменения как на проявление вируса. Вакцины эффективны только от вирусов, проверяющих файлы перед заражением на предмет имеющейся копии. Эвристические алгоритмы подвержены ошибкам первого и второго рода;
— блокировка проявления вирусов (фильтры). Программы-фильтры также создают неудобства для пользователя ложными срабатываниями.
2. Межсетевые экраны. Выделяют следующие уровни функционирования межсетевых экранов [2]:
— пакетный уровень. Недостатками являются сложность конфигурирования и отсутствие дополнительных возможностей, существующих на более высоких уровнях;
— прикладной уровень. Недостатками уровня являются высокая стоимость и низкая производительность;
— уровень соединения. В данной схеме пользователь устанавливает соединение с межсетевым экраном, который самостоятельно соединяется с внешним узлом. Данную фильтрацию легко обойти туннелированием трафика в протокол, не блокируемый экраном.
3. Системы обнаружения атак. Разделяются на два вида согласно принципам их работы [3]:
— сигнатурный принцип. Как следует из названия, недостатком является зависимость от актуальности сигнатур;
— поведенческий принцип. Лежит в основе методов статистических моделей. Недостатки: чувствительность зависит от заданной величины отклонений и от точности защищаемой системы или сети.
Таким образом, все наиболее широко применяемые средства защиты имеют ряд недостатков, и, следовательно, разработка новых механизмов защиты является одной из приоритетных задач.
Постановка и решение задачи
Одним из перспективных направлений в данной области является использование фрактальных свойств сетевого трафика.
В качестве одного из возможных примеров использования самоподобных свойств для защиты сетевых ресурсов можно привести методику, описанную в [4]. Согласно методике, производится перехват всего входящего и исходящего трафика. В перехваченном трафике осуществляется поиск заголовков 1Р-пакетов, из которых извлекаются все необходимые данные. Полученная информация сохраняется в базе данных сетевой статистики. На основе накопленных данных проводится прогнозирование объема сетевого трафика на основе циклического анализа. Полученный прогноз сравнивается с реальными данными, поступающими с сетевого устройства. В случае их значительного расхождения делается вывод об обнаружении аномалии.
Необходимо максимально быстро обнаруживать аномалии и в реальном времени принимать ответные действия. Очевидно, что данный процесс нуждается в автоматизации. При этом необходимо построить модель интеллектуальной деятельности человека, которая должна обеспечивать выполнение следующих функций: хранить знания; обрабатывать их для получения решения; оценивать качество имеющихся знаний; адаптировать базу знаний; работать в реальном времени; вырабатывать решения [5].
Для построения такой модели обнаружения аномалий предлагается использовать сочетание аппарата нечетких множеств и методологии экспертных систем. Аппарат нечетких множеств и экспертные системы получили широкое распространение при автоматизации технологических процессов. Достоинство математического аппарата нечетких множеств - возможность формализовать качественное описание значений переменных. Аппарат нечетких множеств позволяет также вести математическую обработку формализованной качественной информации, а результаты обработки могут быть представлены в математической форме. Достоинства экспертной системы заключаются в системе хранения знаний в форме модели, а также в возможности накоплении и систематизации этих знаний.
Для обработки и выявления сетевых аномалий в первую очередь необходимо разработать базу знаний. Под базой знаний понимается система хранения и предоставления знаний. Для ее построения необходимо определиться с основными переменными, которые будут учитываться при принятии решения. Данные параметры вместе с экспертными оценками составляют основу правил, определяющих систему автоматической фильтрации сетевого трафика.
Главная задача разрабатываемой модели - автоматизация процесса обнаружения аномалий. Система должна выявить сетевую аномалию и заблокировать нарушителя. Продолжительность блокирования определяется в процессе обучения системы и зависит от следующих параметров: величины аномалии V; частоты появления аномалии т; типа трафика Т; источника аномалий I.
Первый параметр определяет величину отклонения реального трафика от прогноза. Значениями параметра будут:
V е {низкое, ниже среднего, среднее, выше среднего, высокое}
Следующий параметр отображает, как часто система обнаруживает сетевую аномалию. Система должна уметь определять, как часто в трафике проявляются аномалии, и, в зависимости от интенсивности, регулировать продолжительность блокирования источников аномалии:
т е {низкая, ниже среднего, средняя, выше средней, высокая}
Тип трафика определяет его происхождение: внешняя или внутренняя сеть.
Т е {внешняя, внутренняя}
Параметр «источник аномалий» определяет, вызываются ли аномалии трафиком от одного источника, или причиной отклонения является множество адресов в сети, а также позволяет оценить количество источников.
I е {малое, ниже среднего, среднее, выше среднего, большое}
Таким образом, мы определили четыре параметра, на которые мог бы опираться эксперт при принятии решения о фильтрации аномалии. Далее необходимо провести заполнение базы знаний. Приведем пример правил на основе данных параметров:
ЕСЛИ (V = выше среднего) И (т = выше средней) И (Т = внешняя) И (I = большое)
ТО заблокировать источник(и) на 30 секунд;
ЕСЛИ (V = низкое) И (т = низкая) И (Т = внутренняя) И (I = выше среднего)
ТО заблокировать источник(и) на 0 секунд.
Обучение системы происходит как при формировании базы правил, так и при адаптации системы к конкретным условиям. При этом необходимо проводить анализ правил на такие показатели, как полнота, однозначность, дублирование, избыточность и противоречивость. Данные показатели характеризуют качество правил и, как следствие, качество всего механизма выявления и обработки сетевых аномалий [5].
Выводы
Предлагаемая модель подразумевает минимальное участие человека. Модель автоматизирует процесс поиска и ликвидации сетевых аномалий, а набор параметров позволяет обучить ее
с учетом условий конкретной вычислительной сети.
СПИСОК ЛИТЕРАТУРЫ
1. Гладких А. А., Дементьев В. Е. Базовые принципы информационной безопасности вычислительных систем. - Ульяновск: УлГТУ, 2009. - 168 с.
2. Остроухов М. Поговорим о брандмауэрах // КомпьютерПресс, 2005 / http://www.compress.ru /article. aspx?id=9917&iid=415.
3. Камаев В. А., Натров В. В. Методология обнаружения вторжений // Изв. Волгоград. гос. техн. ун-та.
- 2006. - С. 148-153.
4. Ажмухамедов И. М., Марьенков А. Н. Повышение безопасности компьютерных систем и сетей на основе анализа сетевого трафика // Инфокоммуникационные технологии. - 2010. - Т. 8, № 3. -С. 106-172.
5. Проталинский О. М. Применение методов искусственного интеллекта при автоматизации технологических процессов. - Астрахань: Изд-во АГТУ, 2004. - 184 с.
Статья поступила в редакцию 7.04.2011
NETWORK TRAFFIC ANOMALY DETECTION BASED ON FUZZY SETS APPARATUS
I. M. Azhmukhamedov, A. N. Marienkov
The model for automation of the search for anomalies in network traffic is offered. The advantages of this model are the rate of detection of anomalies in the traffic and its ability to quick adaption to the specific conditions of the network. The proposed scheme can be used to automate the detection of anomalies in the volume of network traffic of both internal and external network. Input parameters can be described with quality values, allowing you to develop a framework of rules for the formulation of responses.
Key words: computer networks, security, anomalies in the volume of network traffic.