|
Разработка методики выявления сетевых атак с помощью Data Mining
Скворцов Михаил Алексеевич, магистрант
Московский государственный технический университет имени Н. Э. Баумана
В статье изложен опыт применения инструментов Data Mining при разработке методики обнаружения атак типа «отказ в обслуживании».
Ключевые слова: обнаружение вторжений, Data Mining, дерево решений, аномальная активность, DoS- атака.
И
з чисто информационной сети, предназначенной для обмена информацией и обеспечения доступа
к удаленным файловым архивам, Интернет стреми- тельно превращается в серьезный рынок услуг, в ко- торый инвестируются немалые суммы денежных средств. Повышение мобильности и доступности совре- менных глобальных сетей порождает новые проблемы в сфере безопасности. Поэтому актуальной задачей в современных компьютерных сетях является противо- действие хакерским атакам, в частности отказу в обслу- живании.
Системы обнаружения атак (СОА), как и большинство современных программных продуктов, должны удовлет- ворять ряду требований. Это и современные технологии разработки, и ориентировка на особенности современных информационных сетей, и совместимость с другими про- граммами.
Можно смело утверждать, что существуют две ос- новные технологии построения СОА. Суть их заключа- ется в том, что СОА обладают некоторым набором знаний либо о методах вторжений, либо о «нормальном» пове- дении наблюдаемого объекта.
Системы обнаружения аномального поведения (anomaly detection) основаны на том, что СОА известны некоторые признаки, характеризующие правильное или допустимое поведение объекта наблюдения. Под нор- мальным или правильным поведением понимаются дей- ствия, выполняемые объектом и не противоречащие по- литике безопасности.
Системы обнаружения злоумышленного поведения (misuse detection) основаны на том, что СОА известны некоторые признаки, характеризующие поведение злоу- мышленника. Наиболее распространенной реализацией технологии обнаружения злоумышленного поведения яв- ляются экспертные системы (например, системы Snort, RealSecure IDS, Enterasys Advanced Dragon IDS).
Краткая схема, приведенная в статье [1], обобщает эти сведения (рис. 1). Все остальные подходы являются подм- ножествами этих технологий.
Необходимость разработки новых методик выявления и противодействия атакам «отказ в обслуживании» обу- словлена тем, что на сегодняшний день не существует эф- фективных методов защиты от данного типа атак. При этом DoS-атаки широко распространены, а их реализация на информационную систему может повлечь за собой зна- чительные финансовые потери. Актуальной задачей явля- ется выявление доминантных признаков DoS-атаки на ос- нове протоколов сниффера.
Цель настоящей работы — повышение защищенности компьютерных сетей путем активного выявления реали- зуемых DoS-атак с помощью деревьев решений.
Для этого в работе были решены следующие задачи:
Проведена классификация существующих атак
«отказ в обслуживании»;
Исследованы подходы к выявлению атак «отказ в обслуживании»;
Проведен анализ признаков, характеризующих атаки «отказ в обслуживании» и их классификация;
Рис. 1. Технология обнаружения злоумышленного поведения
Проведен анализ и выбор доминантных признаков атаки «отказ в обслуживании» из протоколов работы сниффера;
Разработана методика выявления атак «отказ в об- служивании» на основе метода деревьев решений;
Оценено качество работы построенной модели для решения задачи выявления атак «отказ в обслуживании». Для решения задачи классификации DoS-атак был вы- бран алгоритм С4.5. Алгоритм C4.5 строит дерево ре-
шений с неограниченным количеством ветвей у узла [2].
Для отбора доминантных признаков использовался сниффер CommView, сами доминантные признаки вы- бирались путем экспертного анализа. Кроме того, после построения дерева решений неиспользуемые признаки
также были отсеяны. Для моделирования DoS-атаки был использован программный продукт Metasploit Framework. В качестве признаков, характеризующих наличие DoS-
атак, были использованы следующие:
количество переданных пакетов;
порт источника;
порт назначения;
объем переданных данных;
средний объем переданных данных;
частотность использования флага SYN;
частотность использования флага RST;
наличие флага RST ACK.
Построенное дерево решений представлено на рис. 2. Из рисунка видно, что самым значимым для классифи-
Рис. 2. Дерево решений для выявления сетевых атак
кации оказался доминантный признак среднее количество переданных данных, находящийся корнем дерева.
Важнейшей характеристикой системы обнаружения атак является ее способность корректно обнаруживать атаки. Существующие подходы к оценке эффективности СОА в ос- новном основаны на теории статистической проверки ги- потез, в рамках которой задача распознавания объектов двух классов сводится к задаче отнесения наблюдения выборки значений анализируемых признаков, к одному из двух ранее известных эталонов. Эта задача тесно связана с классиче- ской статистической задачей проверки простой гипотезы (Н 0) в сравнении с простой альтернативой (Н 1). Рассмотрим эти 2 гипотезы применительно к нашей работе, тогда:
Н0 (ошибка первого рода): когда система подверга- ется DoS-атаке, а СОА не обнаруживает ее;
Н1 (ошибка второго рода): когда система не подвер- жена атаке, но СОА сигнализирует об атаке.
Для определения ошибок первого и второго рода был проведен эксперимент, в результате которого была произведена оценка стойкости разработанного меха-
низма выявления DoS-атак к ошибкам первого и вто- рого рода.
Для этого была собрана тестовая выборка, включающая данные по 50 ситуациям — 36 записей, характеризующих легальный трафик и 14 записей — трафик характерный для DoS-атаки. В результате эксперимента произошла одна ошибка первого рода — разработанная система не сиг- нализировала об атаке, изначально не входящей в обуча- ющую выборку, поэтому атака была пропущена.
По итогам проделанной работы можно сделать вывод, что вероятность ошибок первого и второго рода в раз- работанном механизме обнаружения DoS-атак не пре- вышает 2%. Была пропущена одна атака, не входившая в выборку при обучении дерева решений.
По данным технической литературы, для большинства аналогичных СОА этот показатель может достигать 15– 20% [3]. Следовательно, разработанная система является эффективной, а реализация подобной системы на автома- тизированном рабочем месте позволит значительно сни- зить вероятность DoS-атаки.
Литература:
Аграновский, А. В., Хади Р. А., Балакин А. В. Обучаемые системы обнаружения и защиты от вторжений // Ис- кусственный интеллект, № 3, Донецк, Украина, 2001, стр. 440–444.
Н. Паклин, В. Орешков. Бизнес-аналитика: от данных к знаниям.— СПб.: Питер, 2009.— 624 с.
Лукацкий, А. В. Обнаружение атак — СПб. БХВ-Петербург, 2001.— 624 с.
Do'stlaringiz bilan baham: | 
