Интеллектуальная система обнаружения атак на основе многоагентного подхода

Интеллектуальная система обнаружения атак на основе многоагентного подхода

Автор: Никишова Арина Валерьевна

Журнал: НБИ технологии @nbi-technologies

Рубрика: Технические инновации

Статья в выпуске: 5, 2011 года.

Бесплатный доступ

Рассмотрены особенности современных атак. Предложена модель системы обнаружения атак, учитывающая эти особенности. Данная система обнаружения атак реализует сбор информации на нескольких уровнях информационной системы и использует для анализа системы искусственного интеллекта (нейронные сети).

Атака, система обнаружения атак, нейронная сеть, интеллектуальный агент, многоагентная система

Короткий адрес: https://sciup.org/14968193

IDR: 14968193

Текст научной статьи Интеллектуальная система обнаружения атак на основе многоагентного подхода

На кафедре информационной безопасности ВолГУ проводятся исследования в рамках темы «Многоагентная интеллектуальная система обнаружения атак на информационную систему». В них принимают участие студенты III, IV и V курсов в ходе выполнения курсовых и дипломных работ.

Системы обнаружения атак применяются как дополнение к разработанной и примененной политике безопасности, которые являются относительно статическими.

В связи с широким распространением сетей общего пользования все большее чис- ло компьютеров подвергается атакам. Согласно статистике «Лаборатории Касперского» за 2010 г., несмотря на стабилизацию количества новых атакующих воздействий (см. рис. 1), общее количество инцидентов продолжает увеличиваться. В 2010 г. общее число зафиксированных инцидентов типа атаки через Интернет и локальные инциденты превысили 1,9 миллиарда.

В настоящее время основными особенностями атак является то, что:

Как показывает анализ современных бесплатных СОА, ни одна из них в полной мере не удовлетворяет поставленным требованиям, однако тенденция показывает, что большинство из них выполняют анализ на нескольких уровнях информационной системы или обладают возможностью расширяться. Кроме этого, осуществляются попытки реализовать возможность СОА адаптироваться к новым видам атакующих воздействий.

Исходя из анализа различных методов, применяемых для анализа данных при выяв- лении атакующих воздействий, нейронные сети и генетические алгоритмы являются наиболее предпочтительными для решения поставленной задачи. В рамках данного исследования применяются нейронные сети.

Так как сбор данных необходимо проводить на нескольких уровнях и информационной системы, то были выбраны следующие источники информации, анализ которой позволит выявлять атакующие воздействия:

  • -    данные о сетевых пакетах;

  • -    сведения журнала маршрутизатора;

  • -    сведения журнала безопасности операционной системы;

  • -    сведения из реестра операционной системы;

  • -    сведения о процессах операционной системы.

Применение адаптивных методов анализа данных, подобных нейронным сетям, обладает большим числом ложных срабатываний. Для уменьшения данного показателя в рамках проводимого исследования применяются интеллектуальные агенты, которые взаимодействуют между собой для нахождения совместного решения в рамках состояния всей информационной системы, а не отдельного события. Архитектура данной СОА представлена на рисунке 2.

Рис. 2. Архитектура многоагентной СОА

  • 3 6 А.В. Никишова. Интеллектуальная система обнаружения атак на основе многоагентного подхода

Каждый агент обнаружения атак описывается состоянием ( P , B , S , G , I ), где:

  • - P – ощущение. Представляет собой информацию об окружающей среде, собираемую агентом, то есть набор входных данных агента.

  • - B – убеждения. Множество убеждений, то есть сведений и знаний об окружающей агента среде. Убеждения агента представляют собой нейронную сеть. На первом этапе агенты собирают сведения о функционировании информационной системы, и на их основе создается обучающая выборка для нейронной сети.

  • - S – ситуация. Конкретное состояние среды, то есть конкретные значения входных данных и результата классификации их нейронной сетью.

  • -    G – цели. Определяется как желаемое состояние среды.

  • - I – намерения. Множество возможных планов действий агента.

Соответственно агенты обнаружения атак обладают следующими базовыми функциями:

  • -    порождение и пересмотр убеждений. Данная функция отвечает за сбор сведений для обучения и в случае необходимости переобучения нейронной сети и само обучение;

  • -    оценка ситуации. Получение результатов оценки собранных сведений об информационной системе нейронной сетью;

  • -    активация цели. В зависимости от значения выхода нейронной сети агент выбирает набор элементарных действий, которые необходимо выполнить в данной ситуации;

  • -    назначение. Агент определяет окончательный план действий, определяя последовательность элементарных действий;

  • -    выполнение. Выполнение агентом выбранных элементарных действий.

Взаимодействие агентов между собой позволяет принимать совместные решения, уменьшая ошибки отдельно взятой нейронной сети.

В настоящее время проводятся экспериментальные исследования на разработанном для данной архитектуры программном комплексе.

INTELLIGENT INTRUSION DETECTION SYSTEM

ON BASIS OF MULTI-AGENT APPROACH

Статья научная
QR-код для установки приложения SciUp Наведите камеру и скачайте бесплатное приложение SciUp