МЕТОДЫ ОБНАРУЖЕНИЯ СЕТЕВЫХ АНОМАЛИЙ В ОБЛАЧНЫХ СРЕДАХ

Активное формирование рынка техники информационных технологий и облачных вычислений усиливает возникшую проблему компьютерной защищенности, резко увеличивает необходимые требования к наблюдению за состоянием облачных сред, возникает необходимость появления новых качественных методов поиска аномалий и сбоев в ее работе. Аппаратная и программная инфраструктура облаков все больше усложняются, вместе с чем становится куда проблематичнее и детектировать и анализировать аномалии в их работе. Одной и самых серьезных проблем, с которой встречаются разработчики современных систем детектирования аномалий в функционировании информационных систем, является то, что на данный момент сегодняшние способы организации информационных атак и других противоправных действий характеризуются большой сложностью и запутанностью. В процессе детектирования этих схем необходимо выявлять сложные комбинации сетевых транзакций и сопутствующих им факторов, что превращает нблюдение за состоянием вычислительной сети очень проблематичным из-за высокой нагрузки или вообще невозможным без применения специализированных автоматизированных средств.

В настоящий момент, систем обнаружения аномалий как самостоятельных продуктов программного обеспечения практически не существует, но высоко распространены системы обнаружения вторжений, основанные на анализе сигнатур, которые обнаруживают аномалии, связанные с атаками и вторжениями. Однако этот подход обладает следующими недостатками:

1.      фактическая отсутствующая способность детектировать новые, не встречавшиеся до этого момента несанкционированные действия;

2.      невосприимчивость к измененным известным атакам;

3.      невосприимчивость к распределенным во времени атакам и прочим аномалиям.

При создании новых систем детектирования сетевых аномалий возможно применять огромное количество разных технологий. В последнее время пристальное внимание направлено на изучение способов моделирования искусственного интеллекта, таких как искусственные нейронные сети и искусственные иммунные системы, являющиеся одним из самых перспективных подходов для решения задач обнаружения аномалий.

Использование нейронных сетей в системе обнаружения аномалий обосновывается тем, что они обладают свойством обучаемости или адаптивности к новым условиям постановки задачи, при этом, что самое главное, сохраняется архитектура сети и алгоритм ее функционирования. Это в свою очередь, позволяет использовать одну и ту же модель в различных задачах.

На сегодняшний день исследователями предлагаются огромное количество методов анализа для выявления сетевых аномалий, среди которых можно выделить следующие основные категории. [7]

Рисунок 1. Титульный лист

Выявление аномалий трафика на основе анализа особенностей. Для того чтобы преодолеть недостатки поиска аномалий на основе мониторинга интенсивности сетевого трафика предлагается анализировать особенности трафика (характеристики протоколов). Например, как известно, многочисленные аномалии, вызванные неправильным использованием портов или адресов (например, сканирование портов), не обнаруживаются методами на основе анализа интенсивности трафика.

Выявление аномалий трафика на основе анализа контента. Наиболее полный мониторинг состояния сетевого трафика может быть обеспечен путем анализа всего содержимого сетевых пакетов, включая их заголовки и области данных. Однако с практической точки зрения эта задача является трудоемкой из-за огромного объема анализируемых данных. Поэтому в большинстве случаев целесообразно использовать для выявления атак методы анализа сетевого трафика, в некоторых случаях сочетая их с анализом контента.

Выявление аномалий трафика на основе мониторинга интенсивности сетевого трафика. Подход осуществляет мониторинг показателей трафика, характеризующих его объем: количество байтов, пакетов или потоков, передаваемых в течение некоторого времени и направлен на выявление аномальных отклонений, которые представляют случаи злоупотреблений в использовании сетевых ресурсов или сбоев в ресурсах. Некоторые методы были предложены для эффективного выявления локальных и глобальных отклонений объемов трафика, вызванных соответственно короткими и продолжительными аномалиями.

Анализ существующих исследований показывает, что одним из самых перспективных подходов является использование многофункционального подхода, выполнение анализа сетевого трафика в различных временных масштабах и на разных уровнях агрегирования трафика. Потенциальным решением, при разработке наиболее эффективных средств поиска аномалий является использование интеллектуального анализа.

Главная идея интеллектуального анализа заключается в извлечении набора характеристик, которые описывают каждое сетевое соединение или сессию, и их прогона через нейронную сеть. Этот подход обеспечит максимальную адаптивность системы к обнаружению новых видов аномалий.

Разрабатываемая программная система для анализа трафика на наличие сетевых аномалий будет способна перехватывать весь сетевой трафик, проходящий через контейнер виртуализации, выделять в нем определенные характеристики, формировать из них вектор статистики, включающего 18 характеристик, это: длительность подключения в секундах; тип протокола; сетевой сервис места назначения; статус подключения; Количество данных от источника, количество данных от адресата; количество битых фрагментов; количество срочных пакетов; число горячих индикаторов; число неудачных попыток входа; число скомпрометированных условий; число входов под рутом; число операций создания файлов, число подсказки оболочки, число операций с файлами доступа, число подключений к тому же хосту; число подключений к тому же сервису. Эти параметры сетевого трафика будут использоваться в дальнейшем, они отправляются модулю программы, которая будет отвечать за обнаружение аномалий, непосредственно нейросетевой детектор будет пропускать этот вектор через себя.

В результате проделанной работы было предложено разработать систему мониторинга сетевого трафика на наличие аномалий.

Также в рамках данной работы предлагается использовать нейросетевые детекторы, что позволит ей иметь высокую адаптивность к новым видам атак, что обеспечит качество выявления аномалий в сетевом трафике.

Список литературы:

1. Балахонцев А.Ю., Сидорик Д.В., Сидоревич А.Н., Якутович М.В. Нейросетевая система для обнаружения атак в локальных вычислительных сетях. [Электронный Ресурс] — Режим доступа. — URL: http://elib.bsu.by/bitstream/123456789/7368/1/34.pdf 6
2. Васютин С.В., Завьялов С.С. Нейросетевой метод анализа последовательности системных вызовов с целью обнаружения компьютерных атак и классификации режимов работы приложений. [Электронный Ресурс] — Режим доступа. — URL: http://old.lvk.cs.msu.su/files/mco2005/vasytin.pdf
3. Гончаров В.А., Пржегорлинский В.Н. Исследование возможностей противодействия сетевым информационным атакам со стороны защищенных ОС и систем обнаружения информационных атак // Вестник Рязанского государственного радиотехнического университета. 2012. № 20. С. 10-14
4. Комар М. Методы искусственных нейронных сетей для обнаружения сетевых вторжений // Сборник тезисов седьмой международной научно технической конференции “Интернет – Образование - Наука” (ИОН-2013). – Винница: Виницкий национальный технический университет, 2013. – С. 410-413 2
5. Осовский С. Нейронные сети для обработки информации. – М.: Финансы и статистика, 2002. – 344 с.
6. Райх В.В., Синица И.Н., Шарашкин С.М. Макет системы выявления атак на основе обнаружения аномалий сетевого трафика. http://old.lvk.cs.msu.su /files/mco2005/raih.pdf.
7. Тишина, Н.А. Тенденции развития технологии обнаружения аномалий сетевого трафика (статья) / Н.А. Тишина // Современные информационные технологии в науке, образовании и практике. Материалы XI всероссийской научно-практической конференции. – Оренбург: ООО ИПК«Университет», 2014. – С. 99 – 101. 1
8. Cannady J. Artificial Neural Networks for Misuse Detection. [Электронный Ресурс] — Режим доступа. — URL: http://csrc.nist.gov/nissc/1998/proceedings/paperF13.pdf.