XIII Международная студенческая научная конференция Студенческий научный форум - 2021

В статье представлен обзор существующих методов обнаружение аномальной активности в сетевом трафике. Данные методы основаны на особенностях атак и поведении злоумышленников. Описаны типы атак и классификация обнаружения.

Введение

С развитием открытых сетей угрозы безопасности для сети значительно возросли за последние несколько лет. Различные типы атак обладают различными типами угроз для сети и сетевых ресурсов. Многие механизмы обнаружения были предложены различными исследователями. В данной статье рассматриваются различные типы возможных сетевых атак и механизмы обнаружения.

Атаки могут быть классифицированы в широком смысле на следующие два типа:

Пассивная Атака

Пассивная атака включает в себя анализ сетевого трафика, расшифровку слабо зашифрованного содержимого в трафике,мониторинг незащищенных коммуникаций и захват аутентификационной информации, такой как пароль.

Активная Атака

Активная атака включает в себя попытки обхода или взлома функций, реализованных для защиты, внедрения вредоносного кода, а также изменения или кражи информации. Активные атаки приводят к обнаружению или распространению файлов данных, DoS (отказ в обслуживании) или модификации данных.

КЛАССИФИКАЦИЯ СИСТЕМ ОБНАРУЖЕНИЯ АТАК

Обнаружение на основе хоста

Системы обнаружения на базе хоста отслеживают и анализируют внутренние компоненты вычислительной системы, а не ее внешние интерфейсы. Такие системы могут обнаруживать внутреннюю активность, например, какая программа обращается к каким ресурсам и пытается получить незаконный доступ. Примером может служить текстовый процессор, который внезапно и необъяснимо начинает изменять базу данных системных паролей.

Обнаружение на основе сети

Сеть подключена к остальному миру через Интернет. Сетевая система обнаружения считывает все входящие пакеты или потоки, пытаясь найти подозрительные паттерны. Например, если в течение короткого времени наблюдается большое количество запросов TCP-соединения к очень большому количеству различных портов, мы можем предположить, что кто-то совершает "сканирование портов" на каком-то компьютере(компьютерах) в сети.

СИСТЕМЫ ОБНАРУЖЕНИЯ

Алгоритмы машинного обучения

Применяется несколько известных алгоритмов машинного обучения, таких как дерево решений, правило пульсаций, случайный лес и байесовская сеть.

Рассмотрены только 12 признаков данных сетевого трафика, которые эффективны для обнаружения и классификации 17 типов атак зондирования и отказа в обслуживании, а также нормальной сетевой активности. Система начинает обнаруживать пакет из Ethernet и отправлять пакетные данные в часть предварительной обработки для извлечения важных функций для формирования записи данных в течение определенного интервала времени.

Сниффер пакетов на языке Java используется для захвата пакетной информации между IP-парой источник-назначение, включая IP-заголовок, TCP-заголовок, UDP-заголовок и ICMP-заголовок с интерфейсной платы Ethernet.

Затем предварительно обработанные данные отправляются вклассификационную часть для идентификации типов атак, или же данные являются нормальной сетевой активностью. Предварительно обработанные данные классифицируются алгоритмами машинного обучения, написанными на java из библиотеки Weka. Для классификации используются известные алгоритмы, состоящие из правила пульсации, случайного леса,дерева решений C4.5 и байесовской сети. Результат от части обнаружения затем отправляется в часть защиты. Сетевые пакеты данных блокируются с помощью IPtable при обнаружении сетевых атак. Если результатом работы сетевых типов является Probe, система записывает IP-адрес отправителя как IP-адрес атакующего и блокирует или отбрасывает все пакеты с IP-адреса атакующего. Если результатом является DoS, система записывает номер порта соединения, который был атакован, а затем блокирует или отбрасывает все пакеты, проходящие черезномер порта atta cked. Их экспериментальные результаты показали, что правило пульсации, дерево решений, байесовские сетевые алгоритмы имеют очень высокую скорость обнаружения, в то время как случайный лес не так хорош, как другие, особенно для обнаружения зонда.

Многомерная корреляция

Zhiyuan Tan разработал систему обнаружения DoS-атак. Вся система работает в три этапа. На этапе 1 Основные функции генерируются из входящего сетевого трафика во внутреннюю сеть, где находятся защищенные серверы, и используются для формирования записей трафика в течение четко определенного интервала времени. На этапе 2 выполняется многомерный корреляционный анализ, в котором применяется модуль “генерация карты площади треугольника” для извлечения корреляций между двумя различными признаками внутри каждого сигнала трафика, поступающего с первого шага, или записи трафика, нормализованной модулем “нормализация признаков”.

На этапе 3 в процессе принятия решений используется механизм обнаружения аномалий. Принятие решений осуществляется с использованием двухфазного процесса.

Модуль "генерация нормальных профилей “работает в” фазе обучения" для генерации профилей для различных типов законных записей трафика, и сгенерированные нормальные профили хранятся в базе данных. Модуль "генерация тестируемого профиля “используется на” тестовой фазе" для построения профилей для отдельных наблюдаемых записей трафика. Затем протестированные профили передаются в модуль "обнаружение атак". В этом модуле все протестированные профили сравниваются с соответствующими сохраненными нормальными профилями. В модуле “обнаружение атак” используется пороговый классификатор, позволяющий отличать DoS-атаки от законного трафика.

Наивный Байесовский Классификатор

A. Kumaravel разработал сетевую систему обнаружения вторжений. Система анализирует данные дампа TCP с использованием методов интеллектуального анализа данных для классификации сетевых записей как обычных, так и аномальных, а также определяет тип атаки. Система состоит из двух этапов. На первом этапе обнаружение атак осуществляется с помощью наивного байесовского классификатора, а на втором этапе, состоящем из четырех последовательных слоев, по одному для каждого типа класса (R2L, U2R, Dos, Probe) классификация атак осуществляется с помощью слоя, отвечающего за идентификацию типа атаки приходящей записи в соответствии с ее классовым типом.

Ристо Вааранди представил два алгоритма обнаружения аномалий в частных сетях. Оба алгоритма используют метод обнаружения служб , который обнаруживает сетевые службы на основе TCP и UDP из наборов данных недавнего прошлого (например, данные за последние 30 дней). Эта информация используется для создания профилей поведения для каждого клиента. Предлагаемые алгоритмы обнаружения аномалий используют эти профили для обнаружения аномальных сетевых потоков почти в реальном времени, а также для ежедневного обнаружения зависаний поведения узлов с помощью кластеризации данных. Для обнаружения аномальных сетевых потоков был разработан метод, который строит профили использования услуг для каждого клиента из прошлых наборов данных, а затем использует эти профили для различения аномальной сетевой активности от нормального трафика в режиме почти реального времени.

Интеллектуальный Анализ Данных

Shin-Ying Huang предложил подход для обнаружения сетевой аномалии. Этот подход состоит из двух этапов: этапа разработки и этапа идентификации.

Во-первых, обучающие выборки собираются из данных сетевого трафика посредством агрегирования оповещений. Этап интеллектуального анализа данных включает в себя кластеризацию данных, визуализацию данных и этап маркировки паттернов атак

Эти два этапа могут быть интегрированы в автономную оценку обнаружения вторжений, а полученные знания об обнаружении сетевых аномалий могут быть интегрированы в IDS.

P. Jongsuebsuk использовал подход нечеткого генетического алгоритма для обнаружения неизвестных или новых типов сетевых атак. Он применил подход алгоритм для реализации системы обнаружения вторжений в реальном времени. В своих экспериментах он рассматривал различные атаки типа "отказ в обслуживании" (DoS) и зондирующие атаки. Он оценил свои идентификаторы с точки зрения частоты обнаружения, времени обнаружения и частоты ложных тревог. Он получил среднюю частоту обнаружения примерно более 97% в результате своего эксперимента

Kapil Wankhade описал различные методы интеллектуального анализа данных, такие как классификация, кластеризация и гибридные подходы к обучению, такие как комбинация методов кластеризации и классификации для обнаружения attacks. Он использовал метод классификации для обнаружения только известных атак и метод кластеризации для обнаружения неизвестных атак.

ЗАКЛЮЧЕНИЕ

Были рассмотренны различные методы и методы обнаружения атакующих пакетов в сети. Большинство представленных результатов зависят от результатов, наблюдаемых на тренажерах. Внедрение некоторых из предложенных систем в живую сеть является непростой задачей. Некоторые из существующих системных подходов могут быть объединены для обнаружения известных, а также новых атак. Для принятия превентивных мер против сетевых атак наиболее подходящая система, должна анализировать данные в режиме реального времени. Автономный анализ всех полученных пакетов может быть полезен для обнаружения новых атак, которые в дальнейшем могут быть использованы для создания сигнатур атак. Эти сигнатуры затем могут быть использованы для обнаружения таких атак в реальном времени в будущем.

Код для цитирования: Скопировать