ПРИМЕНЕНИЕ НЕЙРОННЫХ СЕТЕЙ ДЛЯ ПОВЫШЕНИЯ БЕЗОПАСНОСТИ ЛОКАЛЬНЫХ СЕТЕЙ

USING NEURAL NETWORKS FOR IMPROVING THE LOCAL NETWORKS SECURITY

Kolcherin Dmitriy

 postgraduate student, Department of Computer System Design and Security, Saint Petersburg National Research University of Information Technologies, Mechanics and Optics,

Russia, Saint Petersburg

Pecherkin Sergei

postgraduate student, Department of Computer System Design and Security, Saint Petersburg National Research University of Information Technologies, Mechanics and Optics,

Russia, Saint Petersburg

АННОТАЦИЯ

В статье рассмотрены вопросы безопасности локальных сетей. Рассмотрены IDS-системы, описаны основные принципы нейронных сетей. Рассмотрена возможность применения нейронных сетей в IDS-системах обнаружения аномалий, выделены плюсы и минусы такого использования.

ABSTRACT

The article considers the local networks information security problems. Intrusion Detection Systems (IDS) are considered, the basic principles of neural networks are described. The possibility of using neural networks in the anomaly detection IDS is considered, advantages and disadvantages are presented.

Ключевые слова: локальные сети; нейронные сети; информаци­онная безопасность.

Keywords: local networks; neural networks; information security.

Защита интеллектуальной собственности, в том числе цифровых активов, становится всё более и более сложной задачей для организаций. Угрозы безопасности локальных сетей существовали всегда с момента их появления, а с включением в такие сети беспроводных устройств их количество, а также разнообразие вариантов их реализации, только приумножилось [1]. Последние исследования выделяют внешний взлом как основную угрозу для корпоративных данных, поэтому организациям необходимо принимать соответствующие меры для защиты данных от кражи, потери или искажения. Часто встречаются ситуации, что организа­ции не рассматривают должным образом все риски для информационной безопасности, что в итоге является причиной неожиданных кибератак. Эффективным решением в данном случае может стать IDS-система (Intrusion Detection System, система обнаружения вторжений), которая представляет собой инструмент для обнаружения попытки вторжения и защиты данных от атак.

Искусственные нейронные сети играют все более важную роль в системах обеспечения безопасности. Большая часть исследований IDS-систем, направленных на разработку, внедрение, и улучшение систем мониторинга безопасности, опираются на методы искусственного интеллекта. Кроме того, исследования показали, что IDS-системы обнаружения аномалий не достигают достаточной точности и скорости обнаружения из-за присутствия ложных срабатываний. В данной статье представлены инструменты улучшения обнаружения ложного срабатывания IDS-систем с использованием нейросетевого подхода. Благодаря применению этих инструментов IDS-система может достичь четко определенного уровня обеспечения информационной безопасности, и адаптивная система искусственного интеллекта сделает её более гибкой для решения новых задач.

IDS-системы

IDS-система – программное или аппаратное средство, предназна­ченное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими. IDS-системы подразделяются на 4 основных категории:

• Сетевые (Network-based IDS, NIDS) – анализируют потоки информации между сетью узлами сети, а также внешний сетевой трафик. Примерами таких систем являются: RealSecure, NetRanger, Snort.
• Узловые (Host-based IDS, HIDS) – анализируют действия конкретного узла сети, используя информацию из лога приложений, и отслеживая модификации файлов и системные вызовы. Примерами таких систем являются: Cybercop, KaneSecurity Monitor, OSSEC.
• Протокольные (Protocol-based IDS, PIDS) – анализируют информацию, передаваемую с использованием определенных протоколов (например, HTTP или HTTPS для веб-сервера). Примерами таких систем являются: PHPIDS, GreenSQL-FW.
• Гибридные – совмещают два и более подхода к разработке IDS-систем. Данные от хостов объединяются с общей сетевой информацией для более полного и точного анализа. Примером такой системы является Prelude.

Кроме того, по типу работы IDS-системы делятся на 2 категории: обнаружения неправильного использования и обнаружения аномалий.

IDS-системы обнаружения неправильного использования – обнаруживают вторжение путем поиска активности, которая соответ­ствует известным сигнатурам вторжений или уязвимостей. Такие системы могут представлять собой:

• Экспертные системы, содержащие набор правил, описывающих атаки на сеть.
• Сигнатурная проверка – в случае если сценарии атаки соответствуют определенной последовательности событий аудита.
• Сети Петри – в случае если известные атаки можно представить в виде графических сетей Петри.
• Диаграммы состояний, представляющие атаки как набор целей и изменений состояния, которые достигаются стандартными путями использования системы.

IDS-системы обнаружения аномалий – обнаруживают вторжения, путем поиска активности, которая отличается от установленного шаблона конкретного пользователя. Такие системы могут представлять собой:

• Обнаружение превышения порогового значения – анализируются показатели функционирования сети или её узлов на предмет выхода за границы допустимого диапазона значений (например, повышенный уровень нагрузки центрального процессора конкретного сервера в сети).
• Анализ статистики – полученные в реальном времени данные о функционировании сети сравниваются с сохраненными в истории такими же данными.
• Правила, сформированные с помощью экспертных систем.
• Нелинейные алгоритмы, такие как искусственные нейронные сети или генетические алгоритмы.

Теория нейронных сетей

Искусственная нейронная сеть - это сеть с конечным числом слоев из однотипных элементов - аналогов нейронов с различными типами связей между слоями [2]. Нейронная сеть состоит из слоя входных нейронов, слоя выходных нейронов и одного или более скрытых слоев, каждый из которых может состоять из разного количества нейронов. Чем сложнее рассматриваемая задача, тем большее количество скрытых слоев необходимо использовать для её корректного решения. Связь между двумя нейронами называется синапсом. Каждый синапс имеет свой вес, который в конечном итоге и определяется алгоритм работы сети. Для установления значений весов синапсов используется обучение нейронной сети. Можно выделить два типа обучения нейронных сетей:

• Контролируемое обучение – имеются наборы входных данных и соответствующие им наборы выходных данных, которые используются для обучения. Одной из наиболее популярных парадигм обучения в данном случае является обучение с обратным распространением ошибки. Нейронные сети, обучаясь на обучающих выборках, настраивают свои адаптивные внутренние коэффициенты для минимизации расхождения между выходными сигналами сети и эталонными значениями и затем могут интер- и экстраполировать аппроксимированную зависимость [3]. Примером задач, для которых подходит такой тип обучения, является распознавание образов (для чего используется нейронная сеть по типу многоуровневого персептрона).
• Неконтролируемое обучение – обучение сети происходит без известного множества выходных сигналов. Нейронные сети с таким типом обучения могут использоваться для решения задач классификации.

Применение нейронных сетей в IDS-системах

В настоящий момент было проведено очень ограниченное количество исследований в области применения нейронных сетей для обнаружения атак по типу вторжения. Искусственные нейронные сети могут решить ряд проблем, возникающих в современных подходах обнаружения вторжений. Предлагается использовать нейронные сети в качестве альтернативы методам статистического анализа IDS-систем обнаружения аномалий.

Плюсы использования нейронных сетей:

• Использование искусственных нейронных сетей может расширить поле для применения распознавания поведения по некоторому шаблону благодаря тому, что нейронная сеть может работать в поле заранее не определенных правил.
• Нейросетевой подход может быть адаптирован для выполнения определенных целей, таких как распознавание шаблонов, или сравни­вание текущих действий пользователя с его обычными действиями. Таким образом, можно выявлять как вторжения в систему, так и отклонение действий пользователя от его обязанностей, например, злоупотребление положением и доступ к конфиденциальной информа­ции. За счет обнаружения таких злоупотреблений администратор сети может получить больше данных о проблемных местах локальной сети, и на основе этих данных принять дополнительные меры защиты.
• Эксперты считают, что применение нейронных сетей позволяет с большей точностью и надежностью выявлять вторжения в небезопасные сети, чем при использовании методов статистического анализа.

Минусы использования нейронных сетей:

• Способность нейронной сети правильно выявлять вторжения и другие аномалии напрямую зависит от качества её обучения, то есть в данном случае присутствует влияние человеческого фактора при отборе обучающих данных.
• Для получения обучающих данных в большинстве случаев потребуется неоднократная имитация вторжения, для выполнения которой необходимо знать слабые места конкретной локальной сети.
• Наиболее значительным недостатком, ограничивающим возмож­ность использования нейронных сетей в ряде IDS-систем, является их устройство по типу «черного ящика», не дающее заранее точно спрогнозировать поведение алгоритма в любой ситуации.

Заключение

Решения для безопасности бизнеса организаций включают в себя новейшие технологии, в том числе применяются методы автоматизации интеллектуального поведенческого анализа и алгоритмы машинного обучения. Такое сочетание передовых технологий может быть достигнуто за счет применения искусственных нейронных сетей, которые достигают самых высоких результатов в решении задач распознавания образов или поведения. В настоящее время продолжаются исследования в данной области для повышения точности обнаружения существующих типов атак, и разработки метода обнаружения более сложных, комплексных атак.

Список литературы:

1. Кольчерин Д.В., Лебедев И.С. Метод выявления потенциально небезопасного состояния локального сегмента сети // Сборник тезисов докладов конгресса молодых ученых. Электронное издание [Электронный ресурс]. - Режим доступа: URL http://openbooks.ifmo.ru/ru/file/4998/4998.pdf, своб. (Дата обращения: 15.06.2018).
2. Комашинский В.И., Смирнов Д.А. Нейронные сети и их применение в системах управления и связи. - М.: Горячая линия-Телеком, 2003 - 94 с.
3. Царегородцев В.Г. Конструктивный алгоритм синтеза структуры много­слойного персептрона // Вычислительные технологии, 2008. Т. 13 - Вестник КазНУ им. Аль-Фараби, серия "математика, механика, информатика", 2008. № 4 (59). (Совм. выпуск). Часть 3. - с.308-315.