УДК 001(06) Телекоммуникации и новые информационные технологии… А.А. КОРОБКА1, М.С. ЖДАНОВА Московский инженерно-физический институт (государственный университет), 1ООО «Лаборатория сетевых технологий» АНАЛИЗ ЛОКАЛЬНЫХ СЕТЕЙ И ВЫЯВЛЕНИЕ АНОМАЛИЙ НА ОСНОВЕ НЕЙРОСЕТЕВЫХ ТЕХНОЛОГИЙ В последнее время наметился всплеск интереса к средствам обнаружения атак. Главная задача средств, реализующих технологии обнаружения атак заключается в том, чтобы автоматизировать функции по обеспечению информационной безопасности корпоративной сети, и сделать их понятными для тех, кто не является экспертом в области защиты информации. Практически все атаки можно обнаружить путем "ручного" анализа журналов регистрации операционных систем, приложений или сетевого оборудования. Однако время на осуществление этого процесса возрастет многократно. Кроме того, "ручной" анализ не позволит своевременно обнаружить и предотвратить многие атаки. Используя нейросетевые методы можно создать автоматизированную систему обнаружения атак. Для решения проблемы выявления сетевых атак была предложена методика адаптивного выявления аномальных состояний компьютерной сети [1]. Однако эта методика не обеспечивает высокую точность определения аномалий в результате проблемы, связанной с точностью определения области «нормальных» событий, а также постоянством значений характеристик работы сетевых устройств (СУ) и наличием линейных зависимостей, имеющих неустойчивый характер, не позволяющих автоматически определять аномальность состояний таких СУ [2]. Нейросетевые методы позволяют решать задачи, характеризуемые большими объемами входной информации, или когда данные неполны или зашумлены. Проблема выявления аномалий в работе СУ относится к данному виду задач. Поэтому в качестве инструмента для определения аномалий были выбраны нейросетевые методы. Существует множество архитектур нейронных сетей, но т.к. локальная сеть может меняться динамически, была выбрана архитектура нейросети, представляющая собой самоорганизующуюся карту (сеть Кохонена). Она использует динамически изменяемую иерархическую структуру слоев нейронов. Сеть Кохонена предназначена для изучения характеристик обычной деятельности компьютерной сети и идентификации отклонений от нормы, что может указывать на атаку. Преимущество слоя Кохонена с динамической иерархической организацией кластеров от обычного одно________________________________________________________________________ ISBN 5-7262-0710-6. НАУЧНАЯ СЕССИЯ МИФИ-2007. Том 10 19 УДК 001(06) Телекоммуникации и новые информационные технологии… слойного слоя Кохонена заключается в следующем. В однослойной сети Кохонена качество кластеризации зависит больше от оператора, который должен оценить, какое количество нейронов необходимо создать в слое для четкой кластеризации, т.к. кластеризация будет осуществляться только нейронами первого слоя. В случае динамически изменяемой иерархической структуры слой Кохонена помогает решить данную проблему. В процессе обучения каждый нейрон будет дробиться на большее число нейронов, более четко и полно покрывая область данных. Чтобы построить сеть Кохонена, нужно правильно подобрать данные для обучения, т.к. качество работы нейронной сети зависит от начальных данных. Никакой из методов построения не даст сеть нужного качества, если имеющийся набор примеров не будет достаточно полным и представительным для той задачи, с которой придется работать системе. Правильно подобрать данные можно в несколько этапов: 1. Составить базу данных из примеров, характерных для данной задачи; 2. Разбить всю совокупность данных на два множества: обучающее и тестовое (возможно разбиение на 3 множества: обучающее, тестовое и подтверждающее). Для получения обучающих данных можно использовать разработанную в ООО «ЛСТ» Систему Аудита Вычислительных Сетей (САВС), осуществляющую захват сетевого трафика физической среды Ethernet. Захваченные пакеты структурируются, что позволяет извлечь информацию, необходимую для выявления аномалий, сократив общий объем обрабатываемых данных. Структуризация пакетов выполняется дискретно, через одинаковые интервалы времени, что дает возможность формировать временные ряды, описывающие сетевые взаимодействия. Сохранив эти данные в базе, появляется возможность формировать новые массивы характеристик, определяющие поведение объектов в сети. В результате из имеющейся базы данных нейронная сеть будет определять степень аномальности события, и тем самым, может являться инструментом, позволяющим администратору диагностировать работу сети и выявлять степень ее защищенности. Список литературы 1. Дружинин Е.Л. Методика адаптивного выявления аномальных состояний компьютерной сети. 2. Жданова М.С., Перышкин С.В., Гученко А.П., Чернышев Ю.А. Совершенствование методики выявления аномальных состояний сетевых устройств. ________________________________________________________________________ ISBN 5-7262-0710-6. НАУЧНАЯ СЕССИЯ МИФИ-2007. Том 10 20