WWW.KONF.X-PDF.RU
БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА - Авторефераты, диссертации, конференции
 

«РАЗРАБОТКА МОДЕЛИ И АЛГОРИТМОВ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ НА ОСНОВЕ ДИНАМИЧЕСКИХ БАЙЕСОВСКИХ СЕТЕЙ ...»

На правах рукописи

ДАЙНЕКО Вячеслав Юрьевич

РАЗРАБОТКА МОДЕЛИ И АЛГОРИТМОВ

ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ НА ОСНОВЕ

ДИНАМИЧЕСКИХ БАЙЕСОВСКИХ СЕТЕЙ

05.13.19 — Методы и системы защиты информации,

информационная безопасность

АВТОРЕФЕРАТ



диссертации на соискание ученой степени

кандидата технических наук

Санкт-Петербург — 2013

Работа выполнена на кафедре проектирования и безопасности компьютерных систем федерального государственного бюджетного образовательного учреждения высшего профессионального образования «Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики»

(НИУ ИТМО).

Научный руководитель: доктор технических наук, профессор, Арустамов Сергей Аркадьевич

Официальные оппоненты: Ожиганов Александр Аркадьевич, доктор технических наук, профессор, НИУ ИТМО, профессор кафедры вычислительной техники Соколов Сергей Сергеевич, кандидат технических наук, ФГБОУ ВПО «Государственный университет морского и речного флота имени адмирала С.О. Макарова», доцент кафедры прикладной математики

Ведущая организация: Федеральное военное государственное образовательное учреждение высшего профессионального образования «Военнокосмическая академия имени А.Ф. Можайского» Министерства обороны Российской Федерации (ВКА имени А.Ф. Можайского)

Защита диссертации состоится «10» апреля 2013 года в 15 ч 50 мин на заседании диссертационного совета Д 212.227.05 при Санкт-Петербургском национальном исследовательском университете информационных технологий, механики и оптики по адресу: 197101, г. Санкт-Петербург, Кронверкский пр., д. 49.

Отзывы на автореферат, заверенные печатью, просим направлять по адресу:

197101, Санкт-Петербург, Кронверкский пр., д. 49, НИУ ИТМО, ученому секретарю диссертационного совета Д 212.227.05.

С диссертацией можно ознакомиться в библиотеке Санкт-Петербургского национального исследовательского университета информационных технологий, механики и оптики.

Автореферат разослан « 7 » марта 2013 г.

Ученый секретарь диссертационного совета Д 212.227.05 кандидат технических наук, доцент

–  –  –

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. Развитие средств защиты для компьютерных систем продиктовано применением со стороны злоумышленников новых техник проникновения и появлением новых видов использования уязвимостей в компьютерных системах. С каждым годом количество вредоносных программ, реализующих новые типы атак, увеличивается. Для построения комплексной системы защиты наравне с остальными традиционно используемыми инструментами защиты все чаще применяют системы обнаружения вторжений (СОВ).

К сожалению, низкая надежность работы СОВ приводит к необходимости частого участия человека в обслуживании СОВ для корректировки метода обнаружения. Система обнаружения вторжений после ввода в эксплуатацию способна в течение некоторого промежутка времени эффективно функционировать. Однако с течением времени эффективность системы может снижаться, что приводит к увеличению ложных срабатываний и отсутствию реакции на вторжения. Поэтому СОВ сложны в наладке и требуют высококвалифицированного обслуживающего персонала. Изложенные особенности функционирования известных СОВ делают решение проблемы автономности работы СОВ актуальной.

Автором предложен подход для построения сетевой системы обнаружения вторжений на основе вероятностной модели, которая способна описывать процессы в условиях нехватки данных. Задачи, способные решать вероятностные модели, используют процедуры вероятностного вывода. Различные процессы порождают последовательности данных, которые находят свое отражение в пространстве окружения протекания процесса.

Процесс вторжения в компьютерных системах проявляется в изменениях последовательности сетевого трафика, профиля поведения пользователя, последовательности системных вызовов к ядру операционной системы. В работе для сетевых СОВ предлагается вероятностная модель на основе последовательности характеристик сетевого трафика, так как большинство вторжений происходит с использованием компьютерных сетей.





Как правило, выделяют три этапа вторжения: сканирование сети; воздействие на уязвимость; повторное получение управления системой через загруженную программу, использующую недокументированный вход в систему. Среди разновидностей вероятностных моделей наиболее перспективным является применение динамических байесовских сетей (ДБС), которые описываются в пространстве состояний в виде ориентированных графов. Методы и алгоритмы, основанные на использовании ДБС, превосходят другие вероятностные модели в точности описания моделируемых процессов и гибкости применения, однако требуют применения более трудоемких алгоритмов, чем, например, скрытые Марковские модели или фильтр Калмана. В развитие теории ДБС большой вклад внести зарубежные ученые Murphy K., Pearl J., Zweig G. Для построения и использования динамических байесовских сетей требуется обучить параметры и структуру сети. Алгоритмы обучения структуры ДБС требуют высоких вычислительных затрат, поэтому задача разработки параллельного алгоритма обучения является также актуальной.

Таким образом, задача разработки методов и алгоритмов обнаружения вторжений с использованием ДБС также является актуальной.

Объектом исследования являются сетевые системы обнаружения процесса вторжения в компьютерную сеть.

Предметом исследования являются алгоритмы обучения и методы вероятностного вывода с использованием динамических байесовских сетей.

Цель диссертационной работы заключается в разработке модели и алгоритмов обнаружения вторжений на основе протоколирования характеристик сетевого трафика в компьютерной сети с использованием динамических байесовских сетей.

Задачи исследования. Для достижения указанной цели необходимо решить следующие задачи:

1. Разработать метод анализа информативных характеристик сетевого трафика для обнаружения вторжений.

2. Разработать вероятностную модель процесса вторжения в компьютерную сеть.

3. Разработать метод поиска новых типов вторжений с использованием вероятностного вывода в динамических байесовских сетях.

4. Разработать параллельный алгоритм обучения структуры байесовских сетей.

5. Провести экспериментальное исследование и сравнительный анализ последовательного и параллельного алгоритма обучения структуры байесовских сетей.

6. Разработать систему обнаружения вторжений на основе функционирования динамических байесовских сетей и сравнить с существующими системами.

Методы исследования основаны на использовании теории вероятности, теории информации, математической статистики, математического моделирования, теории параллельных вычислений. В работе широко применяется компьютерное моделирование, в том числе с использованием самостоятельно разработанного программного обеспечения (ПО).

Информационной базой исследования являются отечественные и зарубежные литературные источники: методические рекомендации, монографии, публикации в отраслевых периодических журналах, материалы крупных исследовательских и методических центров. Также использованы материалы, размещенные в сети Интернет.

Научная новизна работы.

В результате проведенного исследования были получены следующие результаты, характеризующиеся научной новизной:

1. Разработан метод анализа информативных характеристик сетевого трафика для обучающих наборов данных при использовании в системах обнаружения.

2. Разработана вероятностная модель обнаружения вторжений на основе динамических байесовских сетей. В отличие от существующих вероятностных моделей вторжений данная модель учитывает три основных этапа вторжения в компьютерную сеть.

3. Разработан оригинальный метод поиска новых типов вторжений с использованием вероятностного вывода в динамических байесовских сетях, который в отличие от существующих методов позволяет эффективно обнаруживать как известные, так и новые типы вторжений.

4. Разработан параллельный алгоритм обучения структур байесовских сетей с использованием технологии вычислений на основе графических видеокарт.

5. Разработана структура системы обнаружения вторжений, основанная на функционировании динамических байесовских сетей.

Реализация и внедрение результатов исследования. Основные результаты исследований использованы на кафедре проектирования и безопасности компьютерных систем НИУ ИТМО при выполнении ряда научно-исследовательских работ и внедрении в образовательный процесс лабораторных работ по защите информационных процессов в компьютерных сетях.

Достоверность полученных результатов подтверждается корректностью математического аппарата и теоретических обоснований, а также результатами экспериментов, проведенных с помощью разработанного в диссертации ПО.

Практическая значимость результатов диссертации заключается в следующем.

1. Разработанный метод анализа информативных характеристик сетевого трафика позволяет сократить затраты на вычисления в обучении и вероятностном выводе при выборе числа переменных в вероятностных моделях с заданным порогом отбора.

2. Разработанная вероятностная модель адекватно работает на всех трех этапах вторжения и может быть расширена для более точного описания различных аспектов особенностей атаки на сетевую систему.

3. Разработанная система обнаружения вторжений на основе функционирования динамических байесовских сетей позволяет обнаружить новые типы вторжений.

4. Разработан параллельный алгоритм обучения структуры байесовской сети, позволяющий сократить время ее обучения, реализованный в виде нескольких программных модулей. Их можно использовать и в других задачах, решаемых ДБС, например, в других областях исследований.

Внедрение и реализация. Практические результаты работы были внедрены и использованы в НИУ ИТМО, что подтверждено соответствующим актом о внедрении.

Публикации по теме диссертации. По теме диссертации опубликовано десять научных работ, из них семь выполнено самостоятельно, три в соавторстве. Две статьи опубликованы в рецензируемом научном журнале, определенном в перечне ВАК.

Апробация работы. Основные научные положения и практические результаты работы были представлены и обсуждены на следующих научно-технических конференциях:

1) VII всероссийской межвузовской конференции молодых ученых, 2010 г.;

2) XL научной и учебно-методической конференции, 2011 г.;

3) VIII всероссийской межвузовской конференции молодых ученых, 2011 г.;

4) IX всероссийской межвузовской конференции молодых ученых, 2012 г.;

5) XLI научной и учебно-методической конференции, 2012 г.;

6) VIII mezinarodni vedecko-prakticka konference «Aktualni vymozenosti — 2012», 2012 г.;

7) XLII научной и учебно-методической конференции НИУ ИМТО, 2013 г.

Основные научные положения, выносимые на защиту:

1. Метод анализа информативных характеристик сетевого трафика для обучающих наборов данных при использовании в системах обнаружения вторжений. Метод не зависит от количества принимаемых значений для свойств.

2. Вероятностная модель обнаружения вторжений на основе динамических байесовских сетей. В отличие от существующих вероятностных моделей вторжения данная модель учитывает три основных этапа вторжения в компьютерную сеть и может быть уточнена путем включения в модель дополнительных переменных.

3. Оригинальный метод поиска новых типов вторжений с использованием вероятностного вывода в динамических байесовских сетях, который в отличие от существующих методов позволяет эффективно обнаруживать как известные, так и новые типы вторжений.

4. Параллельный алгоритм обучения структур байесовских сетей с использованием технологии вычислений на основе графических видеокарт, что позволяет добиться уменьшения времени обучения и стоимости оборудования по сравнению с применением кластерных систем.

5. Структура системы обнаружения вторжений, основанная на функционировании динамических байесовских сетей.

Структура и объем диссертации. Диссертация состоит из введения, пяти глав, заключения, списка литературы. Материал изложен на 130 страницах компьютерного текста, иллюстрирован 31 рисунком и 10 таблицами.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность темы диссертации, сформулированы цель и задачи исследования, описаны объект и предмет исследования, указаны теоретические и методологические основы, раскрыты элементы научной новизны работы, ее теоретическая и практическая значимость.

В первой главе работы вводятся определения основных понятий, рассматривается типовая структура и классификация систем обнаружения вторжений. Анализируются существующие подходы и применяемые методы для решения задачи обнаружения вторжений. Исходя из приведенного анализа формулируется ряд проблем современного состояния теории обнаружений вторжений, на основании которых ставятся цели и задачи дальнейших исследований.

Система обнаружения вторжений (СОВ) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного удаленного управления ими. По типу СОВ делятся на сетевые, узловые и гибридные.

Как правило, архитектура типовой СОВ включает в себя следующие подсистемы:

а) сенсорную подсистему, собирающую информацию с защищаемой системы;

б) подсистему выявления вторжений на основе анализа данных с сенсорной подсистемы;

в) подсистему хранения, предназначенную для накопления информации о событиях и анализа;

г) подсистему управления и конфигурирования СОВ.

На практике применяют два распространенных метода обнаружения вторжений: методы, основанные на сигнатурах и на аномалиях. Сигнатурный метод производит сравнение контролируемых данных с известными шаблонами вторжений и позволяет точно обнаружить известные вторжения и классифицировать их. Метод аномалий создает профили нормального поведения контролируемого процесса и сравнивает текущее состояние процесса с его нормальным профилем.

Метод, основанный на аномалиях, позволяет выявить новые типы вторжений, но имеет низкую надежность выявления известных типов вторжений.

Наиболее перспективным является метод обнаружения вторжений, который анализирует последовательности контролируемого процесса. Анализируемые последовательности могут быть: характеристиками сетевого трафика в компьютерных сетях; профилями поведения пользователя на уровне приложения или операционной системы; последовательностями системных вызовов, поступающих к ядру операционной системы от работающих процессов и т. д. При этом в случае неизвестного или скрытого процесса не все характеристики наблюдаемы. Для описания таких скрытых последовательностей используют вероятностные модели, которые способны моделировать различные последовательности, порождаемые процессами в условиях нехватки данных.

Вторая глава работы посвящена обоснованию выбора предметной области исследования. Приводится аналитический обзор существующих вероятностных моделей и алгоритмов обучения и вероятностного вывода. Обосновывается выбор динамических байесовских сетей. Дается описание проблемы задания априорных вероятностей.

Последовательности, порождаемые процессами и динамическими системами, могут быть корректно описаны методами пространства состояний. Пространство состояний описывается тремя переменными в момент времени t как Z t (U t, X t, Yt ), где U t — состояние системы, X t — ненаблюдаемая или скрытая переменная, Yt — наблюдаемая переменная.

Вероятностные модели являются факторизованным совместным распределением вероятностей на множестве случайных величин и представляют модель предметной области. Каждый из этих факторов является функцией, определенной на некотором небольшом подмножестве переменных, и такие подмножества называют фактором областей. С вероятностной точки зрения факторизованное представление кодирует независимости отношения, в то время как с технической точки зрения ослабляет строгие требования к необходимой памяти и скорости вычислений для использования вероятностных моделей, что позволяет применять модели для широкого круга задач. Вероятностные графические модели — это вероятностные модели, представленные в виде графа, вершины которого моделируют случайные переменные, а ребра показывают взаимосвязи между ними. Вероятностные графические модели включают в себя переменные и структурные связи между ними. Переменные модели могут быть либо дискретными векторами, которые принимают конечное число значений, либо непрерывными векторами.

Скрытая Марковская модель (СММ) — статистическая модель, имитирующая работу процесса, похожего на Марковский процесс первого порядка неизвестными параметрами. Задача разгадывания неизвестных параметров на основе наблюдаемых решается СММ. Полученные параметры могут быть использованы в дальнейшем анализе, например для распознавания образов. СММ может быть рассмотрена как простейшая байесовская сеть доверия.

Фильтр Калмана — эффективный рекурсивный фильтр, оценивающий вектор состояния динамической системы, использующий ряд неполных и зашумленных измерений. Фильтр Калмана можно рассматривать как аналог скрытых моделей Маркова с тем отличием, что переменные непрерывны. Кроме того, скрытые модели Маркова могут использовать произвольные распределения для последующих значений вектора состояния, в отличие от фильтра Калмана, использующего модель нормально распределенного шума.

Байесовская сеть (БС) — это графическая вероятностная модель, представляющая собой множество переменных и их вероятностных зависимостей. БС представляют собой удобный инструмент для описания достаточно сложных процессов и событий с неопределенностями. БС оказалась особенно полезной при разработке и анализе машинных алгоритмов обучения. Основной идеей построения графической модели является понятие модульности, то есть разложение сложной системы на простые элементы. Для объединения отдельных элементов в систему используются результаты теории вероятностей.

Динамические байесовские сети являются обобщенной моделью в пространстве состояний. Название «динамические» указывает не на зависимость структуры от времени, а только на зависимость от моделирования процесса. СММ является упрощенной ДБС без причинно-следственных связей. Если пространство состояний непрерывное, то такая модель называется фильтром Кальмана, в дискретном случае — ДБС. Структура БС остается неизменной во всех временных срезах.

Срезом называют текущее состояние ДБС в дискретный момент времени. Вершина в сети может иметь родителя только в своем временном срезе или в непосредственно предшествовавшем временном срезе. Другими словами, ДБС определяется как Марковский процесс первого порядка. ДБС состоит из двух байесовских сетей B1, B2 : исходной B1, определяющей априорные распределения доступной модели P( z (1)), и транзитной B2, определяющей вероятности переходов между двумя ближайшими временными срезами. Пример ДБС в виде графической модели с двумя срезами приведен на рис. 1.

–  –  –

где Z t — срез байесовской сети в момент времени t ; Z ti — узел сети в момент времени t ; Pa ( Z ti ) — множество родительских узлов для узла сети Z ti ; N — число узлов сети в срезе. Выражение (1) задает вероятности переходов между узлами БС из предшествующего среза Z t 1 в текущий срез Z t. В случае разделения модели на множество не наблюдаемых переменных X t и множество регистрируемых переменных Yt описание вероятностной модели переходов (1) задается моделью состояния и моделью наблюдения.

Загрузка...

В третьей главе описываются методы и модели, которые позволяющие использовать ДБС в решении задач обнаружения вторжений. Дается описание разработанному методу анализа информативных характеристик сетевого трафика для выбора оптимальной структуры ДБС. Разрабатывается вероятностная модель обнаружения вторжений, применяемая для моделирования процесса вторжения в динамических байесовских сетях. Описывается метод поиска новых типов вторжений с использованием вероятностного вывода.

При тестировании и сравнении с другими СОВ разрабатываемых подходов для обнаружения сетевых вторжений часто применяют два стандартных набора данных: KDD 99 и NSL-KDD. Сетевой трафик данных наборов протоколирован на основании 41 свойства, что является избыточным для использования байесовской сети и приводит к значительному увеличению вычислительной сложности обучения и вероятностного вывода. Для решения проблемы избыточности свойств сетевого трафика предлагается метод анализа информативных характеристик сетевого трафика, призванный сократить число используемых свойств в БС.

В основу метода анализа информативных характеристик сетевого трафика положен критерий из теории информации — прирост информации (от англ. information gain). Прирост информации I (Y, X ) атрибута X по отношению к атрибуту Y класса показывает снижение неопределенности относительно значения Y, когда известно значение X. Неопределенность значения Y измеряется через энтропию H (Y ). Относительная неопределенность значения Y, когда известно значение X, определяется по условной энтропии Y относительно X, H (Y | X ). Если прирост информации равен энтропии атрибута Y, то I (Y, X ) H (Y ), тогда два атрибута являются независимыми.

Прирост информации рассчитывается по формуле (3):

I (Y, X ) H (Y ) H (Y | X ). (3)

Когда Y и X представляют собой дискретные переменные, которые принимают значения в диапазоне { y1... yk } и {x1...xk }, то энтропия атрибута Y определяется как:

ik H (Y ) P(Y yi ) log 2 ( P(Y yi )). (4) i 1

–  –  –

Поскольку прирост информации рассчитывается только для дискретных значений, непрерывные значения из набора данных следует дискретизировать. В работе применяется метод дискретизации равных интервалов частот. В методе равных интервалов частот значения пространства разбиваются на произвольное число разделов, каждый раздел содержит одинаковое количество точек данных, то есть одинаковую частоту. Метод равных интервалов частот позволяет добиться лучшей классификации значения данных, чем классический метод разбития интервалов по значениям.

Прирост информации зависит от количества значений для атрибута. Чем больше количество значений, тем меньше получается энтропия для атрибутов и больший прирост информации. Для решения данной проблемы применяется коэффициент усиления информации (от англ. gain ratio). Коэффициент усиления информации G (Y, X ) учитывает не только количество информации, требуемое

–  –  –

1 0,8 0,6 0,4 0,2 № Рис. 2. Диаграмма коэффициента усиления информации для свойств набора данных KDD 99, файла обучения 10% KDD и файла тестирования Whole KDD

–  –  –

1,2 0,8 0,6 0,4 0,2 40 41 № Рис. 3. Диаграмма прироста информации I для всех свойств набора данных NSL-KDD, I1 — KDDTrain+, I2 — KDDTrain+_20Percent, I3 — KDDTest+, I4 — KDDTrain-21

–  –  –

0,7 0,6 0,5 0,4 0,3 0,2 0,1 № Рис. 4. Диаграмма коэффициента усиления информации G для всех свойств набора данных NSLKDD, G1 — KDDTrain+, G2 — KDDTrain+_20Percent, G3 — KDDTest+, G4 — KDDTrain21 В результате задания уровней пороговых значений для рассчитанных коэффициентов было выбрано четыре набора свойств (табл. 1), имеющих наиболее информативные значения коэффициента усиления информации.

–  –  –

Исходя из анализа применяемых злоумышленниками техник по вторжению в компьютерные сети, была разработана вероятностная модель вторжения.

Вторжения на компьютерные сети представляют следующую последовательность:

а) сканирование (от англ. scan) сети;

б) воздействие на уязвимость (от англ. exploiting);

в) повторное получение управления системой через загруженную программу, использующую недокументированный вход в систему (от англ. backdoor).

Как правило, злоумышленник не обладает достаточной информацией об атакуемой системе. Для того чтобы не перебирать все известные уязвимости вслепую, злоумышленнику требуется собрать о ней недостающую информацию. Сбор недостающих данных ведется при помощи сканирования доступных каналов передачи данных, то есть компьютерной сети. Процесс сканирования находит свое отражение в изменении сетевого трафика компьютерной сети. После получения всей собранной информации злоумышленник, используя свою квалификацию, реализует потенциальные уязвимости в сетевых устройствах, в различных службах и программах и операционных системах. Злоумышленник также может сузить поиск и целенаправленно воздействовать только на предполагаемую уязвимость, используя типовые или нестандартные запросы для получения более полной информации о цели. Процесс воздействия на целевую систему сети также вызывает изменение трафика. Этап воздействия на уязвимость зависит от результатов сканирования. В случае успеха на этапе воздействия на уязвимость злоумышленник получает возможность использовать найденную уязвимость. На целевую систему могут быть загружены программные модули, способные автоматизировать действия злоумышленника по поднятию своих прав до требуемого уровня. Тем самым система полностью захватывается злоумышленником и может стать отправной точкой для последующего захвата и вторжения во всю сеть.

Описание процесса вторжений, которые подразумевают получение несанкционированного доступа в защищаемую систему в результате последовательных действий атакующего на целевую систему, может быть описано в виде вероятностной модели ДБС. Так как этапы процесса вторжений scan, exploit, backdoor непосредственно не наблюдаемы, то они считаются скрытыми. На рис. 5 показана графическая модель состояний в виде ДБС из двух срезов, описывающая процесс вторжения. На рис. 5 и рис. 6 этап сканирования обозначен буквой S, этап воздействия на уязвимость буквой E и получения управления системой буквой B соответственно. Этапы вторжений являются скрытыми, поэтому их требуется определить при помощи вероятностного вывода на основании наблюдаемых свойств сетевого трафика (рис. 6), которые порождаются в процессе вторжения.

–  –  –

Данный массив рассчитывается каждый раз до вычисления функции ядра cudaIndependent;

б) cudaIndependent — вычисление теста на независимость Ind ( X ; Y | Z ) двух переменных X и Y при данной переменной Z, используя статистический тест на независимость. Предварительно рассчитанные частоты функцией cudaFreq используются для вычислений результата независимости тестируемых переменных;

в) cudaScore — вычисление меры качества сети на основании байесовского информационного критерия, рассчитываемого из уравнения (16) d BIC L(G, D) log N, (16) где L(G, D ) — логарифм функции правдоподобия структуры сети G и набора данных D ; d — число параметров. Вычисление меры качества сети производится для целевого узла T относительно множества родителей и потомков PCT.

Вспомогательный алгоритм MMCPC (от англ. Max-Min Candidate Parents and Children) используется в алгоритме MMPC. Блок-схемы применяемых алгоритмов представлены на рис. 9.

Начало

–  –  –

В пятой главе приводятся результаты тестирования разработанной системы обнаружения вторжений на основе разработанных в диссертации алгоритмов и методов. Представлено сравнение разработанной системы с другими СОВ. Описана программная реализация разработанной системы. Приводятся рекомендации по практическому внедрению разработанной СОВ.

Разработанная структура системы обнаружения вторжений (см. рис. 12) включает в себя пять модулей.

В модуле байесовского вывода применяется разработанный метод поиска известных и новых типов вторжений на основании собранной информации с сенсоров о свойствах сетевых сессий в защищаемой сети и выбранной обученной модели ДБС. Под сеансом связи понимается промежуток времени между запросом на соединение и запросом на разрыв соединения, в течение которого между двумя адресатами посылаются потоки данных по определенному протоколу.

Модуль обучения отвечает за обучение ДБС. Возможен выбор критерия обучения для применяемого алгоритма обучения структуры БС, который производится модулем конфигурации СОВ.

Модуль конфигурации СОВ управляет работой СОВ и отвечает за выбор алгоритма обучения и использование процедуры вывода.

Модуль базы моделей ДБС содержит обученные модели ДБС, применяемые в модуле вывода.

Модуль сбора и обработки информации с сенсоров устанавливается в контролируемые узлы сети, формируя последовательности свойств сессий для модуля байесовского вывода. На рис. 12 данный модуль объединен с группой внешних сенсоров. Сетевым сенсором является программный комплекс, который включает использование сетевой библиотеки WinPcap для захватывания и сбора сетевого трафика. Собранный сетевой трафик агрегируется, обрабатывается в виде свойств сетевых сессий и передается на вход модуля байесовского вывода в форматированном виде.

Рис. 12. Структура СОВ С обучения ДБС начинается период инициализации работы СОВ. Используя один из алгоритмов обучения и обучающих данных, в модуле обучения формируется модель ДБС. После обучения модель добавляется в базу моделей СОВ. В базе моделей каждая модель ранжируется по убыванию в зависимости от размера и оценки качества при обучении. Далее СОВ переходит в режим эксплуатации. Модуль байесовского вывода на основании лучшей модели ДБС, наблюдаемым свойствам сетевых сеансов и выбранного алгоритма вывода производит оценку байесовского вывода о наличии признаков вторжений в последовательностях скрытых переменных ДБС. На этапе вывода модулем конфигурации СОВ производится оценка корректности описания наблюдаемых свойств сессий для текущей модели ДБС и вычисляются будущие состояния на основе разработанного метода обнаружения вторжений. Если перебор моделей ДБС не дал желаемых результатов, то модуль конфигурации СОВ производит обучение новой модели ДБС путем изменения алгоритма обучения. В случае обнаружения вторжений задача модуля конфигурации СОВ заключается в занесении обнаруженной последовательности в обучающие данные и обучении новой модели ДБС для получения лучшей модели описания вторжений. Также модуль конфигурации может включать в себя функцию блокирования источников вторжений путем добавления выявленного источника вторжений в черный список или выработки дополнительных правил для межсетевого экрана. В этом случае взаимодействие между СОВ и межсетевым экраном позволяет СОВ работать в режиме предотвращения вторжений.

Для тестирования работы СОВ была построена тестовая доменная сеть (рис. 13), развернутая в виртуальном окружении VMware. Тестовая доменная сеть состоит из контроллера домена на Windows 2003 R2 и пяти клиентов с операционной системой Windows XP SP3. Сетевые сенсоры СОВ установлены на каждую клиентскую машину тестовой сети и контроллер домена. На контроллере домена развернута служба Active Directory, хранящая критическую информацию, и запущены следующие серверы: DNS-сервер доменных имен, сервер службы принтеров, база данных Microsoft SQL.

Рис. 13. Схема тестовой доменной сети Как правило, атаки на доменную сеть проводят в три этапа вторжений: первоначальное сканирование сети, проведение атак на найденные уязвимости для получения доступа к узлам сети, поднятие своих прав до уровня администратора домена. Для тестирования были реализованы несколько видов сканирований и атак на домен. Для создания обучающих данных были проведены вторжения на защищаемую доменную сеть и запротоколированы свойства сетевого трафика.

Вторжения выполнялись в ручном режиме.

После обучения и включения СОВ в режиме эксплуатации с компрометирующего ресурса запускался диспетчер атак, который осуществлял вторжения в случайной последовательности на фоне легитимного трафика. Время между ата

–  –  –

В заключение подводятся основные итоги диссертационной работы и приводятся основные результаты, полученные в ходе выполненной работы.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ ДИССЕРТАЦИИ

На основании полученных результатов диссертационной работы можно сделать вывод, что цель диссертации, сформулированная во введении, достигнута и поставленная задача решена.

Основные научные и практические результаты диссертационной работы:

1. Разработан метод анализа информативных характеристик сетевого трафика для обучающих наборов данных при использовании в системах обнаружения вторжений.

2. Разработана вероятностная модель обнаружения вторжений на основе динамических байесовских сетей. В отличие от существующих вероятностных моделей вторжения, данная модель учитывает три основных этапа вторжения в компьютерную сеть.

3. Разработан оригинальный метод поиска новых типов вторжений с использованием вероятностного вывода в динамических байесовских сетях, который в отличие от существующих методов позволяет эффективно обнаруживать как известные, так и новые типы вторжений.

4. Разработан параллельный алгоритм обучения структур байесовских сетей с использованием технологии вычислений на основе графических видеокарт.

5. Разработано и внедрено программное обеспечение, реализующее модели и алгоритмы системы обнаружения вторжений, основанная на функционировании динамических байесовских сетей.

СПИСОК ПУБЛИКАЦИЙ ПО ТЕМЕ ДИССЕРТАЦИИ

Опубликовано в рецензируемых изданиях из списка ВАК:

1. Арустамов С. А., Дайнеко В. Ю. Применение динамической байесовской сети в системах обнаружения вторжений // Научно-технический вестник информационных технологий, механики и оптики. — СПб.: НИУ ИТМО, № 3(79), 2012. — С. 128–133.

2. Арустамов С. А., Дайнеко В. Ю. Параллельный алгоритм обучения структуры байесовской сети // Научно-технический вестник информационных технологий, механики и оптики. — СПб.: НИУ ИТМО, № 2(84), 2013. — С. 170–171.

Опубликовано в других изданиях:

3. Дайнеко В. Ю. Временной фактор в системах обнаружения вторжения //

Сборник тезисов докладов конференции молодых ученых. Вып. 1. — СПб.:

СПбГУ ИТМО, 2010. — С. 177.

4. Дайнеко В. Ю. Разработка комплексной системы защиты информации линейно-производственного управления газотранспортного предприятия // Сборник трудов молодых ученых, аспирантов и студентов научно-педагогической школы кафедры ПКС «Информационная безопасность, проектирование и технология элементов и узлов компьютерных систем» / Под ред. Ю. А. Гатчина. — СПб.:

СПбГУ ИТМО, 2010. — С. 21–22. — 60 с.

5. Дайнеко В. Ю. Разработка комплексной системы защиты информации информационно-управляющей системы производственно хозяйственной деятельности линейно-производственного управления газотранспортного предприятия // Аннотируемый сборник научно-исследовательских выпускных квалификационных работ студентов СПбГУ ИТМО, 2010. — С. 30–31.

6. Дайнеко В. Ю. Динамическая байесовская сеть в системах обнаружения вторжения // Сборник тезисов докладов конференции молодых ученых. Вып. 1. — СПб.: СПбГУ ИТМО, 2011. — С. 122–123.

7. Дайнеко В. Ю. Динамические байесовские сети в системах обнаружения вторжений // Альманах научных работ молодых ученых. — СПб.: НИУ ИТМО, 2012. — С. 54–59. — 348 с.

8. Дайнеко В. Ю. Модель автономной системы обнаружения вторжений // «Актуальные научные достижения — 2012»: Materily VIII mezinrodn vdeckopraktick konference «Aktuln vymoenosti vdy — 2012». Praha: Publishing House «Education and Science» s.r.o. — 2012. — С. 64–66.

9. Арустамов С. А., Дайнеко В. Ю. Система обнаружения вторжения с использованием байесовских сетей // Сборник трудов молодых ученых, аспирантов и студентов научно-педагогической школы кафедры ПБКС «Информационная безопасность, проектирование и технология элементов и узлов компьютерных систем» / Под ред. Ю. А. Гатчина. — СПб.: НИУ ИТМО, 2012. — С. 13–14. — 59 с.

10. Дайнеко В. Ю. Эффективные алгоритмы обучения динамических байесовских сетей в системах обнаружения вторжений // Сборник тезисов докладов конгресса молодых ученых. Вып. 1. — СПб.: СПбГУ ИТМО, 2012. — С. 128–129. — 246 с.

Формат 60х841/16 Подписано в печать 05.03.13 Цифровая Печ. л. 1.0 Тираж 100 Заказ 04/03 печать Отпечатано в типографии «Фалкон Принт»

(197101, г. Санкт-Петербург, ул. Большая Пушкарская, д. 54, офис 2, тел. 313-26-39, e-mail: fc2003@mail.ru)



Похожие работы:

«МИТИН Игорь Николаевич ПСИХОФИЗИОЛОГИЧЕСКАЯ АДАПТАЦИЯ КАК ВЕДУЩИЙ ФАКТОР ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ДОРОЖНОГО ДВИЖЕНИЯ 05.26.02. Безопасность в чрезвычайных ситуациях (медицина катастроф) АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата медицинских наук Москва -2015 Работа выполнена в ФГБУ «Всероссийский центр медицины катастроф «Защита» Министерства здравоохранения Российской Федерации Научный руководитель: доктор биологических наук, профессор, заведующий...»

«МАКАРОВА ЕЛЕНА АЛЕКСАНДРОВНА КОМПЬЮТЕРНЫЙ ПРОГНОЗ И ЭКСПЕРИМЕНТАЛЬНОЕ ОБОСНОВАНИЕ ПОИСКА СОЕДИНЕНИЙ С НЕЙРОТРОПНОЙ АКТИВНОСТЬЮ СРЕДИ ВЕЩЕСТВ, СОДЕРЖАЩИХ ЧЕТЫРЕХКООРДИНИРОВАННЫЙ АТОМ ФОСФОРА 14.03.06. – фармакология, клиническая фармакология Автореферат диссертации на соискание ученой степени кандидата биологических наук Казань – 2015 г. Работа выполнена в Государственном бюджетном образовательном учреждении высшего профессионального образования «Казанский государственный...»

«БЫКОВА Ирина Викторовна РАЗВИТИЕ СИСТЕМЫ УПРАВЛЕНЧЕСКОГО УЧЕТА РИСКОВ ФИНАНСОВО-ХОЗЯЙСТВЕННОЙ ДЕЯТЕЛЬНОСТИ ПРЕДПРИЯТИЯ 08.00.12 – Бухгалтерский учет, статистика АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата экономических наук Екатеринбург – 2015 Работа выполнена на кафедре финансов и экономической безопасности факультета экономики и менеджмента Федерального государственного бюджетного образовательного учреждения высшего профессионального образования «Вятский...»

«УДК 621.7 КУРМАНГАЛИЕВ ТИМУР БОЛАТОВИЧ Повышение производительности и экологической безопасности инерционной виброабразивной обработки деталей на основе оксида бериллия 05.03.01 – Технологии, оборудование механической и физико-технической обработки Автореферат диссертации на соискание ученой степени кандидата технических наук Республика Казахстан Алматы, 2010 Диссертационная работа выполнена в Республиканском государственном казенном предприятии «Восточно-Казахстанский...»

«Кирилов Игорь Вячеславович Военная политика, военно-политические процессы и проблемные аспекты в системе обеспечении военной безопасности в современной России 23.00.02 – политические институты, процессы и технологии АВТОРЕФЕРАТ диссертации на соискание учёной степени кандидата политических наук Нижний Новгород Работа выполнена на кафедре прикладного политического анализа и моделирования Института международных отношений и мировой истории ФГАОУ ВО «Нижегородский...»

«Заец Мирослав Владимирович Функции с вариационно-координатной полиномиальностью над примарным кольцом вычетов и их приложения в задачах защиты информации 05.13.19 Методы и системы защиты информации, информационная безопасность АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата физико-математических наук Москва – 201 Работа выполнена в войсковой части № 33965 Научный руководитель: Никонов...»

«Аль-Ашвал Мохаммед Салех Али УПРАВЛЕНИЕ КАЧЕСТВОМ МОБИЛЬНЫХ КОРПОРАТИВНЫХ СЕТЕЙ 05.13.01 – Системный анализ, управление и обработка информации (промышленность) АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук Волгоград – 2015 Работа выполнена на кафедре «Системы автоматизированного проектирования и поискового конструирования» в федеральном государственном бюджетном образовательном учреждении высшего профессионального образования «Волгоградский...»

«ТОПОЛЕВ АЛЕКСАНДР ЮРЬЕВИЧ ОТНОШЕНИЯ РОССИИ С ГОСУДАРСТВАМИ ПОСТСОВЕТСКОГО ПРОСТРАНСТВА (1992-2008 ГГ.) В ОЦЕНКАХ АМЕРИКАНСКИХ И БРИТАНСКИХ ИССЛЕДОВАТЕЛЕЙ Специальность 07.00.02 – Отечественная история АВТОРЕФЕРАТ диссертации на соискание учёной степени кандидата исторических наук Москва 201 Работа выполнена на кафедре Отечественной истории XX века Исторического факультета Московского государственного университета имени М.В.Ломоносова Научный руководитель: доктор исторических...»

«ЧЕБОТАРЕВА ОЛЬГА ИГОРЕВНА МЕТОДИКА АДАПТАЦИИ УЧЕБНЫХ МАТЕРИАЛОВ ДЛЯ ОЧНОДИСТАНТНОГО ОБУЧЕНИЯ АНГЛИЙСКОМУ ЯЗЫКУ Специальность 13.00.02 – Теория и методика обучения и воспитания (русский язык как иностранный и иностранные языки в общеобразовательной и высшей школе) АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата педагогических наук Москва 201 Работа выполнена на кафедре английского языка ГОУ ВПО «Академия Федеральной службы безопасности Российской Федерации»...»

«РАХМАНИН АРТЕМ ИГОРЕВИЧ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ РЕЗЕРВУАРОВ ДЛЯ ХРАНЕНИЯ СЖИЖЕННОГО ПРИРОДНОГО ГАЗА С УЧЕТОМ НЕГАТИВНЫХ ЭКСПЛУАТАЦИОННЫХ ФАКТОРОВ Специальность: 05.26.02 – “Безопасность в чрезвычайных ситуациях” (нефтегазовая промышленность) (технические науки) Автореферат диссертации на соискание ученой степени кандидата технических наук Москва – 2015 Работа выполнена на кафедре «Сооружение и ремонт газонефтепроводов и хранилищ» ФГБОУ ВПО «Российский государственный...»

«Тахо-Годи Аркадий Зямович УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ СЛОЖНЫХ ТЕХНИЧЕСКИХ ОБЪЕКТОВ 05.26.02 – Безопасность в чрезвычайных ситуациях АВТОРЕФЕРАТ диссертации на соискание ученой степени доктора технических наук Москва – 2013 Работа выполнена на кафедре «Управление эколого-экономическими системами» Российского университета дружбы народов и на кафедре «Безопасность жизнедеятельности, механизация и автоматизация технологических процессов и производств» Донского государственного...»

«Загарских Вера Валерьевна РАЗВИТИЕ УПРАВЛЕНЧЕСКОГО УЧЕТА И БЮДЖЕТИРОВАНИЯ В ПРОИЗВОДСТВЕННЫХ ПОДРАЗДЕЛЕНИЯХ КАЗЕННЫХ УЧРЕЖДЕНИЙ УГОЛОВНО-ИСПОЛНИТЕЛЬНОЙ СИСТЕМЫ 08.00.12 – Бухгалтерский учет, статистика АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата экономических наук Екатеринбург – 2014 1 Работа выполнена на кафедре финансов и экономической безопасности факультета экономики и менеджмента Федерального государственного бюджетного образовательного учреждения...»

«ЯКУТИНА НАТАЛЬЯ ВЛАДИМИРОВНА ИССЛЕДОВАНИЕ СВОЙСТВ МОДИФИЦИРОВАННЫХ ЛЬНЯНЫХ ТКАНЕЙ, ОБЕСПЕЧИВАЮЩИХ УЛУЧШЕНИЕ ГИГИЕНИЧЕСКИХ И ЭКОЛОГИЧЕСКИХ ПОКАЗАТЕЛЕЙ Специальность 05.19.01 – «Материаловедение производств текстильной и легкой промышленности» АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук Москва Работа выполнена в ФГБОУ ВПО «Московский государственный университет дизайна и технологии» на кафедре «Материаловедения» и «Промышленной экологии и...»

«МЕГАЕВ КИРИЛЛ АНДРЕЕВИЧ СПЕЦИАЛИЗИРОВАННЫЕ АЛГОРИТМЫ ОБМЕНА И ОБРАБОТКИ ДАННЫХ В КОРПОРАТИВНОМ ПОРТАЛЕ ТЕРРИТОРИАЛЬНО РАСПРЕДЕЛЕННЫХ ПРЕДПРИЯТИЙ 05.13.06 – Автоматизация и управление технологическими процессами и производствами (промышленность) АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук Орёл 2014 Работа выполнена в федеральном государственном бюджетном образовательном учреждении высшего профессионального образования «Государственный...»

«Бурачевская Марина Викторовна ФРАКЦИОННЫЙ СОСТАВ СОЕДИНЕНИЙ ТЯЖЕЛЫХ МЕТАЛЛОВ В ЧЕРНОЗЕМАХ ОБЫКНОВЕННЫХ НИЖНЕГО ДОНА Специальность 03.02.13 – почвоведение АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата биологических наук Воронеж – 2015 Работа выполнена в Федеральном государственном автономном образовательном учреждении высшего образования «Южный федеральный университет» доктор биологических наук, профессор Научный руководитель: Минкина Татьяна Михайловна...»

«Михеев Алексей Александрович МЕТОДЫ И СРЕДСТВА АВТОМАТИЗИРОВАННОГО УПРАВЛЕНИЯ СУШИЛЬНОЙ КАМЕРОЙ Специальность 05.13.06 – Автоматизация и управление технологическими процессами и производствами (промышленность) АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук Иркутск 2015 Работа выполнена в Федеральном государственном бюджетном образовательном учреждении высшего образования «Иркутский национальный исследовательский технический университет» (ФГБОУ...»

«Кузнецов Андрей Вадимович ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ СЕТЕЙ ГАЗОРАСПРЕДЕЛЕНИЯ ПУТЕМ УСОВЕРШЕНСТВОВАНИЯ МЕТОДОВ ПРОГНОЗИРОВАНИЯ РЕСУРСА ЗАПОРНОЙ АРМАТУРЫ Специальность 05.26.03 – Пожарная и промышленная безопасность (нефтегазовый комплекс) АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук Уфа – 2015 Работа выполнена в Открытом акционерном обществе «Головной научно-исследовательский и проектный институт по распределению и использованию газа»...»

«Захарова Марина Ивановна АНАЛИЗ И ОЦЕНКА РИСКА АВАРИЙ РЕЗЕРВУАРОВ И ГАЗОПРОВОДОВ ПРИ НИЗКИХ ТЕМПЕРАТУРАХ Специальность 05.26.03 – Пожарная и промышленная безопасность (нефтегазовая отрасль) Автореферат диссертации на соискание ученой степени кандидата технических наук Уфа 2015 Работа выполнена в Федеральном государственном бюджетном учреждении науки Институт физико-технических проблем Севера им. В.П. Ларионова Сибирского отделения Российской академии наук (ФГБУН ИФТПС СО РАН)...»

«Краснопевцев Антон Андреевич ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО КОПИРОВАНИЯ ПРИЛОЖЕНИЙ, КОМПИЛИРУЕМЫХ В ПРОМЕЖУТОЧНОЕ ПРЕДСТАВЛЕНИЕ Специальность: 05.13.19 – методы и системы защиты информации, информационная безопасность АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук Автор: _ Москва – 2011 Работа выполнена в Национальном исследовательском ядерном университете «МИФИ» (НИЯУ МИФИ) Научный руководитель: кандидат технических наук, доцент Петрова Тамара...»

«Иванова Юлия Анатольевна ИССЛЕДОВАНИЕ БЕЗОПАСНОСТИ ДВИЖЕНИЯ КОЛЕСНЫХ ТРАНСПОРТНЫХ СРЕДСТВ С УЧЕТОМ НЕРОВНОСТЕЙ ПУТИ Специальность 05.26.02 – Безопасность в чрезвычайных ситуациях (транспорт) Автореферат диссертации на соискание ученой степени кандидата технических наук Москва 2009 Работа выполнена в отделе нелинейного анализа и безопасности систем Учреждения российской академии наук Вычислительный центр им. А.А. Дородницына РАН Научный руководитель: доктор...»









 
2016 www.konf.x-pdf.ru - «Бесплатная электронная библиотека - Авторефераты, диссертации, конференции»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.