Blagoveschensk, Blagoveshchensk, Russian Federation
UDK 62 Инженерное дело. Техника в целом. Транспорт
V rabote predlagaetsya klassifikaciya dlya kombinacii matematicheskih metodov v ramkah gibridnyh intellektual'nyh sistem, razrabatyvaemyh s cel'yu sozdaniya obnaruzheniya atak na informacionnye seti. Informacionnye seti shiroko ispol'zuyutsya v rabote medicinskih uchrezhdeniy, i ot ih stabil'noy raboty mnogoe zavisit.
gibridnye intellektual'nye sistemy, setevye ataki, obnaruzhenie anomaliy, obnaruzhenie vtorzheniy, obnaruzhenie zloupotrebleniy, setevoy trafik
УДК 004.056
КЛАССИФИКАЦИИ МЕТОДОВ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ В ИНФОРМАЦИОННЫЕ СЕТИ МЕЦИНСКИХ УЧРЕЖДЕНИЙ ДЛЯ ИСПОЛЬЗОВАНИЯ В ГИБРИДНЫХ ИНТЕЛЛЕКТУАЛЬНЫХ СИСТЕМАХ
Ó 2018 Д.С. Батурин
ФГБОУ ВО Амурский государственный университет, Благовещенск
В работе предлагается классификация для комбинации математических методов в рамках гибридных интеллектуальных систем, разрабатываемых с целью создания обнаружения атак на информационные сети. Информационные сети широко используются в работе медицинских учреждений и от их стабильной работы много зависит.
Ключевые слова: гибридные интеллектуальные системы, сетевые атаки, обнаружение аномалий, обнаружение вторжений, обнаружение злоупотреблений, сетевой трафик.
CLASSIFICATION OF THE METHODS OF DETECTING INVASION IN INFORMATION NETWORKS OF MECHANICAL INSTITUTIONS FOR USE IN HYBRID INTELLIGENT SYSTEMS
D.S. Baturin
Amur State University, Blagoveshchensk
The paper proposes a classification for a combination of mathematical methods within the framework of hybrid intelligent systems that are designed to create detection of intrusion into information networks. Information networks are widely used in the work of medical institutions and depend on their stable work.
Key words: hybrid intelligent systems, intrusion into information networks, anomaly detection, intrusion detection, abuse detection, network traffic.
Введение. Многократное увеличение скорости передачи данных в последние 10-15 лет позволяет объединять многократно большее количество информации в удаленных хранилищах и при этом сохранять эффективность работы с данными сравнимую с эффективностью при ее локальном хранении. При этом такие хранилища стали не только хорошим источником информации и сопутствующих ей сервисов для пользователей, но и мишенью для атак злоумышленников на информационные сети, в которых размещены такие хранилища, и на информационные сети их пользователей.
Наиболее оперативное обнаружение атак на информационные сети возможно при анализе данных сетевого трафика, поступающего на узлы информационной сети (например, маршрутизатор, сервер или компьютер, на котором хранится информация). Данные потока сетевого трафика для анализа необходимо собирать в массивы информации, которые можно анализировать как временной ряд. В таком временном ряде можно выделить (идентифицировать) участки, соответствующие атаке на узлы информационной сети и на сеть в целом. При этом необходимо автоматизировать такую идентификацию с минимальным количеством ложных срабатываний и максимальной скоростью выявления атаки на информационную сеть. Необходимость повышения эффективности систем, предназначенных для решения этой задачи информационной безопасности, продолжает нарастать.
В работе обосновывается необходимость в классификации методов используемых для обнаружения атак на информационные сети (вторжений) на основе скорости обработки данных и минимизации ложных срабатываний при обнаружении вторжений.
Необходимость классификации методов обнаружения вторжений на основе их эффективности. Временные ряды имеют некоторые особенности в определенные моменты времени. В информационных системах они зачастую имеют циклический характер. Примером причин этого факта может служить различие в интенсивности работы пользователей и программного обеспечения сетевых узлов в зависимости от времени суток и дня недели или появление активности со стороны злоумышленников, осуществляющих вторжение и создающих аномалии во временном ряде сетевого трафика.
Разработано значительное количество методов идентификации временных рядов в массивах данных, которые применяются при обнаружении вторжений. При этом ни один из методов не является достаточно эффективным для обнаружения аномалий. Отдельно можно выделить методы обнаружения атак на информационные сети на основе сигнатур (шаблонов) вторжений, которые не представляют значительного интереса, когда обнаружение атаки происходит после совпадения имеющегося шаблона (сигнатуры) вторжения. При том, что у таких методов есть неоспоримое преимущество в быстродействии и ничтожно малом количестве ложных срабатываний их применение ограничено только известными и хорошо изученными видами вторжений без модификаций.
Более сложная задача возникает, когда в отсутствии шаблона необходимо безошибочно обнаружить вторжение. Именно для таких ситуаций нет окончательных решений или приоритетных методов. При этом во многих работах [1-5] и в реальных системах обнаружения вторжений доказано, что эффективность методов повышается при их объединениях в рамках гибридных интеллектуальных систем (ГИС), где результаты работы отдельных методов интегрируются в конечное решение. Таким образом, создание ГИС из различных комбинаций методов анализа рядов данных является актуальным, развивающимся направлением в задаче анализа временных рядов. В результате такого развития появилось большое количество комбинаций, но при этом не создано универсальной комбинации неоспоримо превосходящей все другие по всем направлениям. Появляется необходимость универсальных правил комбинирования созданных и вновь создаваемых методов, на основании их быстродействия и ложных срабатываний. Важной основой для этой задачи является классификация, в соответствии с которой можно будет использовать и высокоскоростные методы способные обрабатывать данные в реальном режиме времени при поступлении сетевого трафика, и методы, для работы которых нужны значительные вычислительные и временные ресурсы. Такая классификация сможет стать основой для одного из этапов в создании и совершенствовании различных ГИС и поможет разделить общую эффективность, сложенную из противоречивых составляющих: быстродействие и точность обнаружения вторжения.
В работе [3] предлагается способ классификации методов идентификации вторжений на основе их таксономии, производится подробное описание многих существующих методов, такая классификация безусловно является полезной с точки зрения систематизации разработанных методов и их точного краткого описания, но не помогает в разработках гибридных интеллектуальных систем.
Классификация методов обнаружения атак на информационные сети. Основанием для предлагаемой классификации является последовательность действий в работе алгоритма определения сетевых аномалий. Алгоритм обнаружения сетевых аномалий в общем виде может быть описан следующим образом. Сетевой трафик является исходными данными для анализа, который представляет из себя набор сетевых пакетов [3]. Такие собранные данные служат источником информации для анализа. Например, данные могут быть обработаны за определенный временной интервал с целью установления (формирования) значимого набора признаков общего вида, которые будут использоваться при определении текущего состояния сетевого трафика. Полный набор признаков должен быть сформирован экспертом, далее система может использовать весь этот набор, либо с помощью подходящих методов выделять из этого набора значимые признаки для текущего состояния потока данных, такие методы отнесем к методам первого класса. К методам этого класса требования по быстродействию должны быть самыми низкими, важной характеристикой для них будет качество сформированного набора признаков. Качество определяется минимальностью количества отобранных признаков и достаточностью сформированного набора для верного определения аномалии.
Сформированный набор признаков сетевого трафика в настоящий момент времени сопоставляется с набором характеристик нормального состояния сетевого трафика — эталоном нормального состояния. Такой числовой эталон для сформированного набора признаков может быть задан экспертом, либо переопределяться методами ГИС с некоторым временным интервалом на основе данных прошлых периодов, в которых уже точно известно об отсутствии аномалий или аномалии в них хорошо изучены. Таких эталонных наборов признаков может существовать несколько экземпляров, в соответствии с описанной выше цикличностью повышения или снижения нормальной активности (например, ночь, день, вечер, выходной и т.д.) , либо для выбора эталонного набора будет применяться признак текущей активности, который должен опираться на активность узлов заведомо защищенных от вторжения. Определение конкретных числовых значений эталона для текущего состояния потока данных будет определяться методами, которые отнесем ко второму классу. К методам этого класса требования по быстродействию должны быть средними, важной характеристикой для них будет качество предельных числовых значений сформированного набора признаков в эталоне. Качество определяется точностью числовых значений эталона для верного определения аномалии.
Следующий уровень работы ГИС – это работа с данными поступающими в реальном времени. На данном уровне необходимо применять методы с высоким быстродействием, задача которых в сравнении признаков поступающих данных с числовыми значениями сформированного набора признаков. Таки методы отнесем к методам третьего класса. При обнаружении существенного расхождения сравниваемых наборов характеристик, состояние сетевого трафика фиксируется как аномальное. При такой последовательности действий на этом уровне алгоритма не допускается даже не значительных отклонений параметров от заданных в эталоне диапазонов значений. Не может также происходить корректировка шаблона нормального состояния путем корректировки параметров шаблона с учетом текущего состояния сетевой активности как это описано в [3], любое такое отклонение расценивается как аномальное состояние сетевого трафика и осуществление вторжения.
Заключение. Изложенный подход проходит тестирование в полуавтоматическом режиме. Полностью автоматизированы методы, отнесенные к третьему классу, в этом качестве использовано дерево решений. Для решения задач методов второго класса в полуавтоматическом режиме используются статистические методы. Отсутствие полной автоматизации на данном этапе не дает необходимой скорости и не позволяет достичь достаточной эффективности. Задача следующих исследований разработать и автоматизировать методы, которые смогут решать задачи второго и первого класса.
ЛИТЕРАТУРА
- Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей. М.: ИД «ФОРУМ»: ИНФРА-М. 2008.
- Лукацкий А.В. Обнаружение атак. СПб: БХВ-Петербург. 2003.
- Анализ и классификация методов обнаружения сетевых атак / А.А. Браницкий, И.В. Котенко // Труды СПИИРАН. 2016. Вып. 45. C. 207-244.
- Колесников А.В. Гибридные интеллектуальные системы: теория и технология разработки. СПб: Изд-во СПбГТУ, 2001.
- Гаврилов А.В. Гибридные интеллектуальные системы: Монография. Новосибирск: Изд-во НГТУ, 2002.
1. Shan'gin V.F. Informacionnaya bezopasnost' komp'yuternyh sistem i setey. M.: ID «FORUM»: INFRA-M. 2008.
2. Lukackiy A.V. Obnaruzhenie atak. SPb: BHV-Peterburg. 2003.
3. Analiz i klassifikaciya metodov obnaruzheniya setevyh atak / A.A. Branickiy, I.V. Kotenko // Trudy SPIIRAN. 2016. Vyp. 45. C. 207-244.
4. Kolesnikov A.V. Gibridnye intellektual'nye sistemy: teoriya i tehnologiya razrabotki. SPb: Izd-vo SPbGTU, 2001.
5. Gavrilov A.V. Gibridnye intellektual'nye sistemy: Monografiya. Novosibirsk: Izd-vo NGTU, 2002.
