аааааа. Физикоматематические наукивестник ВолГУ. Серия Вып. 2007

ФИЗИКО-МАТЕМАТИЧЕСКИЕ НАУКИ
Вестник ВолГУ. Серия 9. Вып. 6. 2007
163

А
.С
К
о ч
ет ков а
,
2 007
ПРИМЕНЕНИЕ НЕЙРОННЫХ СЕТЕЙ ДЛЯ МОНИТОРИНГА
БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ
А.С. Кочеткова
Большинство существующих систем об- наружения атак (СОА), применяемых для мо- ниторинга безопасности информационных си- стем (ИС), основаны на использовании пра- вил и сигнатур, с помощью которых анализи- руется вектор входных данных и на основа- нии чего делается вывод о наличии или от- сутствии атаки. Для эффективного обнаруже- ния атак базы данных (БД) сигнатур и правил требуют постоянного обновления. Эти обнов- ления выполняются вручную или автомати- зированно через определенный промежуток времени. При малейшем отклонении сигна- туры атаки от сигнатуры или правила, имею- щегося в БД, эта атака обнаружена не будет.
Такая ситуация может возникнуть вследствие того, что БД не может быть обновлена, так как для данной атаки еще не существует сиг- натуры. Поэтому из-за большого разнообра- зия атак обычные СОА не всегда способны обеспечить идентификации атаки.
В разработанной СОА эта проблема ре- шается за счет применения нейронных сетей.
Целевое назначение нейросети в СОА –
обнаружение атак на системном и сетевом уровне: подбор пароля, вирусы и трояны,
сниффинг и спуфинг пакетов, сетевую раз- ведку, DoS-атаки, несанкционированные вход пользователя, запуск программ, работа с про- граммами, файлами, каталогами, с админис- траторскими утилитами; неправильные имя и пароль, и прочие события безопасности.
Следующие особенности нейросети по- зволяют использовать ее для обнаружения атак:
- нейросеть предварительно обучается для обнаружения атак путем настройки ар- хитектуры сети и весов синапсов;
- нейросеть способна обнаруживать атаки по неполным и даже частично недосто- верным исходным данным, то есть она обладает ассоциативной памятью;
- на основе накопленных данных об ата- ках нейросеть способна производить но- вые данные, то есть обнаруживать но- вые виды атак.
Основная задача нейросети в СОА – пре- образование определенного набора входных данных к определенному набору выходных дан- ных, то есть по исходным данным о сетевых пакетах или системных событиях нейросеть должна сделать заключение об атаке (решить задачу классификации). Эффективность реше- ния задачи зависит от выбора архитектуры ней- росети и ее обучения. Выбор оптимальной ар- хитектуры нейросети сводится к нахождению такой сети, которая решает поставленную за- дачу с минимальной целевой ошибкой:




p
j
j
j
d
y
w
E
1
)
(
2 1
)
(
,
(1)
где y
j
– значение j-го выхода нейросети;
d
j
– целевое значение j-го выхода;
р
– число нейронов в выходном слое.

ФИЗИКО-МАТЕМАТИЧЕСКИЕ НАУКИ
164
А.С. Кочеткова. Применение нейронных сетей для мониторинга безопасности
Анализ показывает, что наиболее подхо- дящими для этого являются следующие виды нейронных сетей: многослойный персептрон,
сеть с радиальными базисными элементами,
вероятностная, обобщенно-регрессионная и линейная сети.
Нейросеть обучается методом обратного распространения. Обучение проводится так же с минимизацией целевой ошибки (1). Алгоритм обучения нейросети включает следующие шаги:
1. Подать на вход нейросети входной век- тор и определить значения выходов нейросети.
2. Рассчитать вспомогательную переменную

(N)
для выходного слоя нейросети по формуле
i
i
i
N
i
N
j
dS
dy
d
y




)
(
)
(
)
(
,
(2)
где
)
( N
i
y
– значение i-го выхода нейрона вы- ходного слоя;
S
i
– взвешенная сумма выходных сиг- налов;
N – число слоев,
и рассчитать изменения весов
)
(n
ij
w

i-го слоя
j-го нейрона по формуле
n
i
n
j
n
ij
x
w







)
(
)
(
,
(3)
где  – параметр, определяющий скорость обучения;
n
i
x
– значение i-го входа нейрона n-го слоя.
3. Рассчитать по формулам
j
j
k
n
jk
n
k
n
j
dS
dy
w














)
1
(
)
1
(
)
(
(4)
и (3) соответственно 
(N)
и
)
( N
ij
w

для осталь- ных слоев нейросети, n = N – 1 ... 1.
4. Скорректировать все веса синапсов нейросети по формуле:
)
(
)
1
(
)
(
)
(
)
(
)
(
t
w
t
w
t
w
n
ij
n
ij
n
ij




(5)
5. Найти ошибку по формуле (1). Если ошибка существенна, то перейти на шаг 1.
Обучение сети вручную является дли- тельным и трудоемким процессом, поэтому разработанная СОА интегрирована с програм- мой по обучению нейросети – Statistica Neural
Networks.
Обобщенная структура созданной СОА
представлена на рис. 1.
Обучение нейросети с помощью програм- мы Statistica Neural Networks ведется на осно- ве обучающей выборки, которая содержит для каждого набора входных данных правильный ответ (определенные выходные данные).
Модуль «источники данных» формиру- ет вектор входных данных на основе работы программы Snort и записей в журнале безо- пасности Windows. Входными данными для первой нейросети, отвечающей за мониторинг сетевых атак, является информация о сетевых пакетах: время, IP адрес отправителя и полу- чателя, вид протокола, время жизни, длина заголовка, длина данных. Входными данны- ми для второй нейросети, отвечающей за мо- ниторинг системных событий, является ин- формация о событиях: категория события, ID
события, дата, время, тип события.
Модуль набора статистики по сетевым пакетам предназначен для создания обучающей выборки, которая используется для создания нейросети, осуществляющей анализ исходных данных для мониторинга на сетевом уровне.
Пользовательский интерфейс
Модуль центра- лизованного мониторинга ИС
Модуль набора статистики по сетевым пакетам
Модуль набора статистики по системным событиям
Вспомога- тельные мо- дули
Нейросеть 1
Нейросеть 2
Источники данных
Рис. 1. Обобщенная структура СОА

ФИЗИКО-МАТЕМАТИЧЕСКИЕ НАУКИ
Вестник ВолГУ. Серия 9. Вып. 6. 2007
165
Этот модуль выдает для анализа относи- тельное число сетевых атак. Относительное чис- ло сетевых атак на основе протоколов TCP, UDP,
IP и ICMP за промежуток времени с 11.00 по
23.00 20.12 2006 г. приведено на рис. 2.
Так же этот модуль набирает обучающую выборку для нейронной сети, предназначен- ной для мониторинга сетевых пакетов. Обу- ченная сеть имеет семь входов, один выход и имеют вид, представленный на рис. 3 слева.
Модуль набора статистики по системным событиям позволяет проанализировать на гра- фике динамику возникновения любых опас- ных событий, за любой промежуток времени.
График динамики возникновения опасного со- бытия с ID 529 (неправильное имя или па- роль) за промежуток времени с 19.04 по 19.08 20.12 2006 г. приведен на рис. 4.
Этот модуль предназначен для обучения второй нейросети, предназначенной для мо- ниторинга системных событий. Нейросеть, по- строенная на основе обучающей выборки,
имеет пять входов и представлена на рис. 3
справа.
Модуль централизованного мониторин- га ИС перехватывает сетевые пакеты в ре- альном времени и подает информацию о них на вход первой нейросети. Нейросеть делает вывод о наличие атаки на основе этой ин- формации. Так же этот модуль в реальном времени перехватывает системные события и подает информацию о них на вход второй нейросети, которая определяет степень опас- ности события.
Результаты работы СОА при мониторин- ге ИС представлены на рис. 5.
Рис. 2. Относительное число сетевых атак
Рис. 3. Нейросети, используемые в СОА

ФИЗИКО-МАТЕМАТИЧЕСКИЕ НАУКИ
166
А.С. Кочеткова. Применение нейронных сетей для мониторинга безопасности
Рис. 4. График динамики возникновения события с ID 529
Рис. 5. Результаты работы СОА
Темно-серым выделены пакеты или со- бытия, указывающие на атаку, светло-се- рым – неопасные пакеты и события. Колон- ка BAD содержит выход нейросети. Если вы- ход превышает заданное пороговое значение,
то событие или пакет считается опасным.
Практика показывает, что применение нейросетей в СОА позволяет повысить эф- фективность мониторинга за счет ее возмож- ности обнаруживать атаки, сигнатура кото- рых частично отличается от находящейся в
БД СОА.