Дипломная работа
Скачать 0.55 Mb.
|
Московский Государственный Университет им. М.В. Ломоносова. Факультет Вычислительной Математики и Кибернетики. Дипломная работа. “ Разработка анализатора системы обнаружения атак, основанного на методах кластерного анализа” студент 522 гр. Наградов Е.А Научный руководитель: д.ф.-м.н., проф. Смелянский Р.Л. Москва, 2007 г. АннотацияВ данной работе исследуется эффективность применения алгоритмов кластерного анализа для решения задачи обнаружения сетевых атак и рассматривается реализация анализатора системы обнаружения атак на основе методов кластерного анализа. СодержаниеАннотация 2 Содержание 3 1. Введение 5 2. Цель дипломной работы 10 3. Модель предметной области 11 4. Постановка задачи обнаружения атак 13 5. Применение методов кластерного анализа для обнаружения атак 15 5.1. Этап обучения 15 5.2. Этап обнаружения 16 6. Обзор методов кластерного анализа 18 6.1. Цели обзора 18 6.2. Классификация методов 19 6.3. Иерархические методы 21 6.4. Методы разбиения 22 6.4.1. Методы минимизации квадратичной ошибки 22 6.4.2. Методы построения графа 23 6.4.3. Методы, использующие нечеткие кластеры 24 6.5. Результаты обзора 25 7. Тестирование алгоритмов 26 7.1. Исследование применимости инкрементальных алгоритмов 26 7.2. Исследование применимости иерархических алгоритмов 30 7.3. Исследование применимости неинкрементальных алгоритмов 32 7.4. Тестирование алгоритма Fuzzy c-means 35 7.5. Результаты тестирования алгоритмов 36 8. Программная реализация анализатора системы обнаружения атак 37 8.1. Инфраструктура анализатора 37 8.2. Схема работы анализатора 39 8.2.1. Этап обучения 40 8.2.2. Этап обнаружения 42 9. Тестирование реализованного анализатора на данных KDD 45 9.1. Тестирование анализатора на обучающей выборке, не содержащей векторов, соответствующих атакам 45 9.2. Тестирование анализатора на обучающей выборке, содержащей вектора, соответствующие атакам 46 9.3. Анализ результатов 48 10. Интеграция анализатора в состав СОА МРВС-И 50 10.1. Описание входных данных 50 10.2. Функционирование анализатора в составе СОА 50 10.3. Интеграция анализатора в состав системы обнаружения атак 50 10.4. Тестирование в составе СОА 52 10.4.1. Обучение анализатора 52 10.4.2. Тестирование 52 11. Полученные результаты 54 12. Заключение 55 12.1. Ограничения применимости 55 12.2. Дальнейшее развитие разработанного подхода 55 13. Список литературы 57 1.ВведениеВ данной работе рассматривается применение методов кластерного анализа для решения задачи обнаружения атак. Оба направления имеют некоторую предысторию, также существуют предположения о применимости кластерного анализа для обнаружения атак. Далее в этом разделе приводится описание принципов функционирования систем обнаружения атак, их основных достоинств и недостатков. В связи с широким распространением информационных систем, в 90-х годах появилась необходимость обеспечения безопасности информационных систем и обнаружения атак на информационные системы. Бурное развитие систем обнаружения атак началось в середине 90-х годов. В конце 90-х годов появляются две системы обнаружения атак: система с открытым исходным кодом Snort [1], и коммерческая система RealSecure [2]. Эти системы использовали в своей работе базу знаний, задаваемую экспертом, поэтому они получили название экспертных систем [3]. Экспертные системы обнаружения атак, как правило, используют сигнатурные методы для обнаружения атак. При условии своевременного обновления базы сигнатур, такие системы показывают высокую эффективность обнаружения атак, вследствие чего они широко распространены в настоящий момент. Например, существуют высокопроизводительные системы обнаружения атак, такие как Sentarus IPS [4], использующие код системы Snort. Сигнатурные методы описывают атаку на систему с помощью правил специального вида, называемых сигнатурами. В качестве сигнатуры может применяться строка символов, семантическое выражение на специальном языке или формальная математическая модель [5]. Принцип работы сигнатурных методов основан на проверке наличия сигнатур, представленных в базе сигнатур системы обнаружения атак, в анализируемых входных данных. В том случае, когда в анализируемых входных данных обнаруживается сигнатура атаки, система фиксирует факт совершения атаки. Сигнатурные методы обладают высокой эффективностью при обнаружении известных атак. Кроме того, достоинством сигнатурных методов является высокая скорость работы при небольшом размере базы сигнатур. Но, сигнатурные методы обладают рядом недостатков: проблемы выделения сигнатур, проблемы одновременного использования большого количества сигнатур. Существенным недостатком сигнатурных методов является невозможность обнаружения модифицированных и неизвестных системе атак. С этим недостатком связана необходимость постоянного обновления базы сигнатур системы обнаружения атак, использующей сигнатурные методы. Однако даже периодические обновления системы не обеспечивают «защиты нулевого дня» [6] - возможность обнаружения атаки на систему до появления сигнатуры соответствующей атаки. В связи с этим возникает необходимость в исследовании альтернативных подходов к обнаружению атак. Альтернативой экспертных систем являются статистические системы обнаружения атак [7]. Принцип работы статистических систем обнаружения атак основан на построении статистической модели активности наблюдаемой системы и сравнении текущего состояния наблюдаемой системы с построенной моделью активности системы. Состояние наблюдаемой системы задается совокупностью вычисляемых статистических характеристик системы. Статистические системы обнаружения атак основаны на предположении о том, что сходные действия, совершаемые в системе, осуществляются сходным набором наблюдаемых операций (например, системные вызовы, сетевые взаимодействия), и при наблюдении таких операций могут быть получены сходные статистики. Кроме того, предполагается, что нормальное поведение системы, т.е. функционирование системы в тот период времени, когда она не подвержена атакам, может быть статистически отличимым от поведения системы в момент совершения атаки на систему. Таким образом, среди состояний наблюдаемой системы можно выделить нормальные состояния и состояния системы во время атаки на систему. Методы, применяемые в системах обнаружения атак, обычно используют один из следующих подходов:
Подход обнаружения злоупотреблений заключается в обнаружении атак на основании информации об атаках, примеры которых были представлены системе при обучении. Накопление информации об атаках выполняется посредством построения статистической модели атак на информационную систему – модели, описывающей поведение наблюдаемой системы в процессе совершения атаки. Обучение систем обнаружения атак, использующих подход обнаружения злоупотреблений, обычно проводится на примерах атак и нормального поведения. Функционирование таких систем заключается в выявлении состояний системы, которые сходны с примерами атак, представленными при обучении. Примером такой системы обнаружения атак является СОА Невод [8] в которой используются механизмы нейронных и иммунных сетей. К достоинствам методов, использующих подход обнаружения злоупотреблений, можно отнести высокую точность обнаружения известных системе атак, а также способность обнаруживать некоторые неизвестные атаки, воздействие которых на систему сходно с примерами атак, которые представлены системе во время обучения. Подход обнаружения аномалий заключается в обнаружении аномалий активности системы на основании информации только лишь о нормальном поведении системы. Обучение систем обнаружения атак, использующих такой подход, проводится только на примерах, соответствующих нормальным состояниям системы. В процессе функционирования система обнаружения атак анализирует состояния наблюдаемой системы и выявляет аномальные состояния - состояния, сильно отличающиеся от состояний, представленных системе при обучении. В отличие от подхода обнаружения злоупотреблений, методы, основанные на подходе обнаружения аномалий, могут лишь обнаружить аномальное поведение системы, но не могут классифицировать обнаруженную аномалию (например, как атаку одного из классов атак). Достоинством подхода обнаружения аномалий является способность обнаруживать ранее неизвестные атаки в том случае, когда поведение системы в процессе атаки является статистически отличимым от нормального поведения системы, отраженного в построенной модели нормального поведения. Особенность подхода обнаружения аномалий заключается в том, что обучение производится только на примерах нормального поведения, что позволяет производить сбор данных для обучения системы (обучающую выборку) в процессе работы системы. Методы, использующие подход обнаружения аномалий, используют предположение о том, что в обучающей выборке содержится достаточно малое количество статистических данных, характерным атакам. Основными недостатками, характерными подходу обнаружения аномалий, являются высокая степень ошибок второго рода и неспособность работать в средах, для которых характерна высокая изменчивость, т.е. высокая степень изменения нормального поведения в процессе функционирования системы. Например, эффективность СОА, наблюдающих за поведением процессов системы, уменьшится при добавлении в систему новых процессов либо при изменении конфигурации системы, и для дальнейшего функционирования потребуется дообучить систему. К недостаткам подхода обнаружения аномалий также можно отнести сильное влияние шума в обучающей выборке – статистических данных характерных поведению системы при атаке, на эффективность обнаружения атак. Одним из методов, реализующих подход обнаружения аномалий, является метод, использующий представление модели нормального поведения системы в виде математического ожидания и дисперсии различных характеристик наблюдаемой системы [9]. В системе NIDES [10] используется χ2 распределение для сравнения статистической модели и состояния наблюдаемой системы. Также существуют примеры применения сетей Кохонена [11] и методов опорных векторов [12] для обнаружения аномалий. Но, кроме перечисленных выше методов, для решения задачи обнаружения атак могут применяться и другие классы методов интеллектуального анализа данных. В данной работе рассматривается класс методов анализа данных, использующих подход обнаружения аномалий – методы кластерного анализа. ^ Термин «кластерный анализ» [13], впервые введенный Трионом (Tryon) в 1939 году, включает в себя множество различных алгоритмов (более 100). Кластерный анализ представляет собой один из методов интеллектуального анализа данных, позволяющий группировать объекты в кластеры на основании выбранной меры схожести между объектами. Общая идея алгоритмов основана на определении степени сходства объектов на основании расстояния между объектами. Расстояние между объектами вычисляется на основе численных параметров объектов. Степень схожести объектов обратно пропорциональна расстоянию между объектами. Техника кластеризации, то есть группирования схожих объектов в кластеры, применяется в самых разнообразных областях. Например, в области медицины кластеризация заболеваний, лечения заболеваний или симптомов заболеваний приводит к широко используемым таксономиям. В области психиатрии правильная диагностика кластеров симптомов, таких как паранойя, шизофрения и т.д., является решающей для успешной терапии. В археологии с помощью кластерного анализа исследователи пытаются установить таксономии каменных орудий, похоронных объектов и т.д. Известны разработки, использующие методы кластерного анализа в маркетинговых исследованиях. ^ В контексте решения задачи обнаружения атак на информационные системы, кластерный анализ может применяться как один из методов, использующих подход обнаружения аномалий. В качестве входных данных применяемые методы кластерного анализа используют вектора, содержащие статистические характеристики активности системы, например, такие как параметры сетевых соединений системы, степень загруженности ресурсов системы или активность процессов, выполняющихся на узле системы. На основании анализа векторов обучающей выборки производится построение кластеров, описывающих нормальное поведение системы, после чего построенная совокупность кластеров используется для обнаружения аномалий. Пример использования методов кластерного анализа для решения задачи обнаружения атак приводится в работе [14]. В работе приводится описание реализации системы обнаружения атак CLAD, использующего один из методов кластерного анализа – incremental k-means. Система CLAD в качестве входных данных получает вектора, характеризирующие состояния наблюдаемой системы, содержащие информацию по сетевым соединениям системы. В процессе обучения система описывает нормального поведение системы в виде совокупности кластеров, после чего выполняет поиск аномалий – состояний, сильно удаленных от выделенных кластеров нормального поведения. |
Добавить документ в свой блог или на сайт
Похожие:
 | Заголовок «Дипломная работа» или «Курсовая работа»: Times New Roman, 14 (вопреки П. 113), по центру. Затем – 2 пустые строки | | Степень удовлетворенности пользователей в документах по музыкальному искусству 25 |
| Состояние, тенденции и проблемы развития народного образования в Новом Уренгое | | Удостоверение подлинности участников интернет-голосований на основе анализа сетевых сессий |
| Удостоверение подлинности участников интернет-голосований на основе анализа сетевых объектов | | Удостоверение подлинности участников интернет-голосований на основе анализа сетевых объектов |
| Удостоверение подлинности участников интернет-голосований на основе анализа сетевых объектов | | Повышение качества результатов анонимного интернет-голосования методом анализа сетевых объектов |
| Использование средств olap-технологий для построения системы Бизнес Интеллекта факультета | | Умение ладить с реальным положением дел, перекрывая выходы: отказ от бегства, сопротивление и осуждение |