Статья:

Применение алгоритмов GNG и IGNG при обнаружении сетевых аномалий

Журнал: Научный журнал «Студенческий форум» выпуск №7(143)

Рубрика: Технические науки

Выходные данные
Колонтаев Д.И. Применение алгоритмов GNG и IGNG при обнаружении сетевых аномалий // Студенческий форум: электрон. научн. журн. 2021. № 7(143). URL: https://nauchforum.ru/journal/stud/143/87640 (дата обращения: 29.03.2024).
Журнал опубликован
Мне нравится
на печатьскачать .pdfподелиться

Применение алгоритмов GNG и IGNG при обнаружении сетевых аномалий

Колонтаев Дмитрий Игоревич
магистрант, Московский технический университет связи и информатики, РФ, г. Москва

 

APPLICATION OF GNG AND IGNG ALGORITHMS WHEN DETECTING NETWORK ANOMALIES

 

Dmitry Kolontaev

Master student, Moscow Technical University of Communication and Informatics, Russia, Moscow

 

Аннотация. На сегодняшний день очень важен эффективный мониторинг угроз информационной безопасности в современных компьютерных сетях для достижения стабильной и безопасной работы. Постоянно растущая скорость обмена информацией и сложность мониторинга запросов приложений, выявили недостаточную скорость обработки запросов в наиболее часто используемых методах мониторинга. Для решения этой проблемы, процесс классификации пакетов должен быть максимально быстрым. В качестве возможного подхода для фильтрации пакетов можно использовать искусственную нейронную сеть на основе алгоритмов адаптивной кластеризации входных данных. В данной статье представлены принципы применения искусственных нейронных сетей и возможности их использования в компьютерных сетях.

Abstract. Today, effective monitoring of information security threats in modern computer networks is very important to achieve stable and secure operation. The ever-increasing speed of information exchange and the complexity of monitoring application requests revealed insufficient request processing speed in the most commonly used monitoring methods. To solve this problem, the packet classification process should be as fast as possible. An artificial neural network based on adaptive clustering algorithms for input data can be used as a possible approach for packet filtering. This article presents the principles of using artificial neural networks and the possibilities of their use in computer networks.

 

Ключевые слова: Искусственная нейронная сеть; Система обнаружения вторжений; Обнаружение аномалий, Инкрементное обучение.

Keyword: Artificial neural network; Intrusion detection system; Anomaly detection, Incremental learning.

 

ВВЕДЕНИЕ

Сетевые технологии на сегодняшний день активно развиваются и уже получили очень широкое распространение. По этой причине разработка различных методов решения возможных проблем, которые могут повлиять на безопасность или работоспособность сети является актуальной и чрезвычайно важной задачей.

1. РЕШЕНИЯ В СФЕРЕ IDS

Зачастую для детектирования сети применяются целые системы обнаружения вторжений (СОВ). Чаще всего СОВ классифицируют по следующим признакам:

  • Системы уровня сети, в которых анализируется общий трафик на маршрутизаторе;
  • Системы уровня хоста, которые анализируют данные на конкретном устройстве;
  • Системы, которые основаны на оценке уязвимостей.

Так как задачей системы обнаружения вторжений является поиск и анализ проблем, то можно выделить ее основные задачи: получение и интерпретация данных, и представление результатов их анализа.

Таким образом все СОВ можно дополнительно классифицировать по таким признакам как тип собираемых данных, методы их получения и интерпретации, методы представления результатов. Кроме того, система может информировать о результатах обследования или автоматически предпринимать какие-то действия, для нейтрализации угроз.

Существующие решения в основном опираются на следующие технологии для анализа нарушений: сигнатурный анализ, который предполагает сравнение сигнатуры обнаруженных нарушений с существующей базой сигнатур, и экспертные системы, которые работают на основе определенных правил [1]. Эти технологии имеют определенные недостатки. Сигнатурный поиск может реагировать только на уже известные нарушения, новые атаки этот метод не обнаруживает, да и незначительная модификация старых методов, которая приведет к изменению сигнатуры может сделать невозможным их обнаружение с помощью сигнатурного метода. Экспертные системы также требуют постоянного обновления баз с правилами. Кроме того, достаточно сложно настроить такие системы на приемлемый уровень чувствительности, который при высокой эффективности позволить предотвратить ложные срабатывания.

Существуют также статистические системы (например, Байесовские классификаторы, либо системы обучаемых классификаторов), которые также имеют свои недостатки. Они часто не чувствительны к порядку, в котором следуют события. С течением времени нарушители могут переобучить такие системы, чтобы их действия не рассматривались как аномалия.

Одним из возможных решений для преодоления существующих недостатков систем обнаружения вторжений, является использование нейронных сетей, которые могут использовать как самостоятельно, так и вместе с перечисленными выше методами, создавая гибридные системы.

Нейронные сети обладают следующими преимуществами: они позволяют анализировать неполные данные или зашумленные сигналы, нейронные сети достаточно устойчивы и способны сохранять работоспособность даже в случае разрушения некоторых связей, нейронные сети достаточно самостоятельны и практически не требуют вмешательства операторов в свою работу, они могут обнаруживать еще неизвестные атаки, сеть может самостоятельно дообучаться в процессе своей деятельности [2].

Но и недостатки у данного подхода тоже имеются. Чаще всего используются эвристические методы, что приводит к неоднозначности решений. Нейронную сеть сначала нужно обучить, что требует времени и наличия определенных вычислительных мощностей. Для обучения необходимо подготовить как данные для обучения, так и данные для тестирования, поведение нейронной сети не всегда является точно предсказуемым, поэтому всегда существует вероятность ложных срабатываний или наоборот вероятность неработоспособности сети [3]. Часто невозможно однозначно объяснить решение сети в том или ином случае, что приводит к невозможности гарантирования однозначности и повторяемости результатов.

Современные системы стремятся не только к обнаружению вторжений, но и диагностировать неисправности сетей, используя методы обнаружения аномалий и известных нарушений.

В состав подобных систем входят как пассивные, так и активные сенсоры, которые распределяются по сети. Общее состояние сети анализируется исходя из показателей этих сенсоров.

Объемы и размерность данных, которые необходимо обрабатывать в этом случае, значительно возрастают.

В литературе, в основном, рассматриваются нейросетевые методы, которые основаны на перцептронах [4], или картах Кохонена [5]. Есть и разработки, которые касаются соревновательных нейросетей или свёрточных сетей. Данные методы хорошо себя показали в областях, где требуется проведение сложного анализа.

Таким образом существующие решения не могут полностью удовлетворить растущие потребности пользователей сетей.

2. ОБЗОР КОНЦЕПТ-МОДУЛЯ IDS

Рассмотрим возможные решения по усовершенствованию СОВ.

Детектор разрабатываемого модуля должен обнаруживать аномалии и известные атаки. Желательно чтобы СОВ периодически запускала активное сканирование чтобы могли быть обнаружены потенциальные уязвимости.

Предположим, что данные поставляются модулем декодирования в виде набора признаков, которые могут быть поданы на входы сети (это база NSL-KDD). Данные хостов также будут сгенерированы.

Сетевая активность при атаках отлична от нормальной активности сети. Предлагается обнаружение аномалий с помощью кластеризации "картины сетевой активности".

Обучение детектора предлагается провести на нормальных данных. Для данных, получаемых от узлов, рассчитываются среднеквадратичные отклонения. При поступлении нового измерения будет определяться ближайший к нему узел, если разница не выходит за стандартные отклонения данные будут считаться нормальными, в противном случае будет увеличиваться значение суммарного отклонения и сравниваться с пороговым. При превышении порогового значения система будет сигнализировать об аномалии.

Ядром детектора является объект, который реализует один из алгоритмов "растущего нейронного газа" или GNG [6], обученный на сетевой активности при нормальном функционировании сети.

GNG позволяет кластеризовать данные, самостоятельно определяя необходимое количество кластеров.

В частности, это может быть один из следующих алгоритмов:

  • GNG — классический растущий нейронный газ. Это алгоритм, который позволяет осуществлять адаптивную кластеризацию входных данных, то есть не только выделять кластеры в пространстве, но и определять количество необходимых кластеров основываясь на особенностях самих данных. Это новый класс вычислительных методов. Расположение и количество нейронов в пространстве признаков заранее не задается, а вычисляется во время обучения моделей в соответствии с особенностями входных данных, самостоятельно подстраиваясь под них.
  • IGNG [7] — инкрементальный растущий нейронный газ, который достаточно сильно отличается от классического. Имеет более высокую скорость сходимости.

Для написания модуля использовался язык Python.

В результате реализации модуля были сделаны следующие выводы:

скорость обучения практически не меняется при добавлении дополнительных полей, IGNG показал худшие результаты, что может быть связано с некорректным подбором коэффициентов. GNG использовать проще из-за наличия готовых реализаций, эффективность обнаружения превышает ложные срабатывания в 1,5-2 раза, и систему с использованием данного метода можно признать рабочей. Рассматриваемую систему можно улучшить если подобрать нужные параметры для IGNG, улучшить адаптивное обучение. Существует технология fast GNG, использование которой может дать пятидесятикратное преимущество в скорости, возможно использование данной технологии также повысит эффективность рассматриваемой системы.

ВЫВОДЫ

В данной работе представлен обзор систем обнаружения вторжений и сравнение результатов работы алгоритмов обнаружения вторжений на основе нейронных сетей. На основе изучения существующих технологий в системах обнаружения вторжений, рассмотренный модуль использует нейронные сети на основе алгоритмов адаптивной кластеризации GNG и IGNG, что в перспективе, при объединении с экспертной системой обнаружения и обучающим набором данных, позволит повысить точность и увеличить скорость обнаружения в реальном времени.

 

Список литературы:
1. J.Rubina Parveen – «Neural networks in cyber security-2017» [Электронный ресурс] http://www.irjcs.com/volumes/vol4/iss09/08.SISPCS10095.pdf
2. R. K. Vigneswaran, R. Vinayakumar, K. P. Soman and P. Poornachandran, "Evaluating Shallow and Deep Neural Networks for Network Intrusion Detection Systems in Cyber Security," 2018 9th International Conference on Computing, Communication and Networking Technologies (ICCCNT), Bangalore, 2018, pp. 1-6, doi: 10.1109/ICCCNT.2018.8494096.
3. Балахонцев А.Ю., Сидорик Д.В., Сидоревич А.Н., Якутович М.В. –«Нейросетевая система для обнаружения атак в локальных вычислительных сетях»
4. Halenar, Igor & Juhásová, Bohuslava & Juhás, Martin & Martin, Nesticky. (2014). Application of Neural Networks in Computer Security. Procedia Engineering. 69. 1209-1215. 10.1016/j.proeng.2014.03.111.
5. Талалаев А.А., Тищенко И.П., Фраленко В.П., Емельянова Ю.Г. « Нейросетевая технология обнаружения сетевых атак на информационные ресурсы» [Электронный ресурс] http://psta.psiras.ru/read/psta2011_3_3-15.pdf
6. Fritzke, Bernd. A Growing Neural Gas Network Learns Topologies. Neural Information Processing Systems. 7.
7. Y. Prudent and A. Ennaji, "An incremental growing neural gas learns topologies," Proceedings. 2005 IEEE International Joint Conference on Neural Networks, 2005., Montreal, QC, Canada, 2005, pp. 1211-1216 vol. 2, doi: 10.1109/IJCNN.2005.1556026.