Разработка алгоритма для системы обнаружения вторжений на основе искусственных иммунных систем

Система обнаружения вторжений (СОВ) – совокупность программного и аппаратного обеспечения, позволяющая осуществлять мониторинг сетевой активности для предотвращения атак извне. Использование СОВ позволяет получать отчеты в реальном времени о взломах сети, а также идентифицировать злоумышленников по следам вторжений.

Определение несанкционированных пользователей осуществляется в СОВ сравнением поведенческой модели – профиля пользователя с его действиями в текущем сеансе работы. Такие системы используют два подхода. Если детектируется такое поведение пользователя, которое совпадает с любой из сигнатур, обозначающих вторжение, то фиксируется факт злоупотребления. Известные системные уязвимости составляют основу базы данных шаблонов сигналов тревоги. Полнота и актуальность правил в этом случае имеют решающее значение. Новые типы атак такой механизм детектировать не сможет.

Если поведение пользователя не соответствует установленному нормальному, то при этом СОВ детектирует атаку. При этом сразу возникает множество проблем: создание полного множества профилей нормального поведения затруднителен, за короткий промежуток времени сложно принять решение о поведении, а использо- вание средств маскировки затрудняет выявление злоумышленников. Но такой механизм легко настроить и детектировать неизвестные системе типы вторжений.

В СОВ используются различные методы и технологии, например, такие как Support Vector Machines (SVM), Multivariative Adaptive Regression Splines (MARS), и другие. Все они обладают определенными достоинствами: одни позволяют работать в режиме реального времени, другие – обладают большей точностью. Но в связи с ростом сложности объектов защиты, традиционные методы обнаружения вторжений теряют свою эффективность.

Применение алгоритмов на основе био-инспирированных подходов, – генетического программирования и искусственных иммунных систем (ИИС) позволяет снизить затраты и повысить эффективность анализа и обнаружения сетевых вторжений злоумышленников.

Первые работы, посвященные ИИС, появились достаточно давно, в 80-х годах [1, 2], но, как и многие теории, лишь относительно недавно эта концепция стала стремительно развиваться и обрела прикладной характер. Уже в 2005 году была предложена многоуровневая СОВ с использованием теории ИИС для защиты сетевых ресурсов [3].

Исследования показали, что, несмотря на хорошие результаты использования ИИС в составе СОВ, вычислительная сложность иммунных алгоритмов достаточно высока, поэтому для сложных сетевых систем необходим поиск компромисса между точностью обнаружения вторжений и быстродействием СОВ.

Отметим, что быстродействие при обнаружении вторжений определяется количеством параметров, анализируемых СОВ. Поэтому разработка механизма отбора параметров также является важной задачей, затрагиваемой в данном исследовании.

Следовательно, задача данного исследования: разработка алгоритмов работы СОВ на основе ИИС является актуальной.

Постановка задачи

Известны шесть типов сетевых вторжений: злоупотребление – несанкционированные действия, которые совершают авторизованные пользователи, разведка – поиск уязвимости сети, попытка проникновения – попытка получить доступ к вычислительным ресурсам, проникновение – получение доступа к ресурсам компьютера, троянизация – внедрение несанкционированных процессов в атакуемую систему, отказ в обслуживании: атака на систему с целью ее перегрузки.

Эффективность работы СОВ оценим с помощью терминологии, используемой в методологии прогнозирования событий:

• -    TruePositive (ТР) – срабатывание механизма тревоги при наличии атаки;

• -    FalsePositive (FP) – событие, сигнализирующее СОВ о возникновении тревоги при отсутствии атаки;

• -    FalseNegative (FN) – отказ СОВ обнаружить фактическую атаку.

• -    TrueNegative (ТN) – нападение не произошло, и тревога не поднимается.

Качество работы СОВ можно оценить по показателям эффективности, адаптивности и масштабируемости. СОВ должна иметь максимум по обнаружению атак ТrueРositive и минимум по FalseРositive.

Биологическая иммунная система имеет сложную многоуровневую структуру с горизонтальными и вертикальными связями распределенного типа и использует различные механизмы ответа на воздействия на организм возбудителя: либо уничтожение патогенного эффекта, либо инфицированных клеток [4].

При попадании неизвестного антигена в организм небольшое количество клеток способно его распознать, но, стимулируя процессы размножения и дифференцировки лимфоцитов, иммунная система формирует множество клонов идентичных клеток – антител. Популяция антителопродуцирующих клеток способна разрушить или нейтрализовать антиген. Причем часть таких образованных клеток сохраняется, что позволяет быстро реагировать механизму защиты при повторной атаке.

Несмотря на то, что биологическая иммунная система до конца не изучена, ее механизмы легли в основу работы СОВ. Моделирование процесса иммунного ответа на воздействия представляют собой сложную, но интересную задачу теории динамических систем.

Результаты исследования

Исследования по ИИС для СОВ проводятся по нескольким направлениям: моделирование естественной иммунной системы, обнаружение аномалий и имитационные эксперименты.

По аналогии с работой биологической иммунной системы по уничтожению вредных антител исследователями был разработан алгоритм отрицательного отбора для обнаружения аномалий. Биоинспириро-ванный алгоритм позволяет генерировать детекторы, которые и участвуют для обнаружения аномалий.

Алгоритм, осуществляющий отрицательный отбор состоит из следующих шагов:

• 1.    Создание массива собственных строк S .

• 2.    Генерация случайным образом множества строк R .

• 3.    Для строки r ij □ R j , i =0,…, m , j =0,…, m при наличии алгоритмов поиска совпадений, если □ s ij □ S j , s ij ≠ r ij , то строка R j сохраняется в набор детектора D . В противном случае строка R j отбрасывается.

Алгоритм был реализован в среде MATLAB [5,6].

Таким образом, алгоритм отрицательного отбора определяет факт совпадения между случайной строкой множества R и строкой из множества S , а аффинность между R и S определяется с помощью расчета расстояния по Евклиду, по Хэммингу или r -смежного алгоритма битовых правил. Тогда, если сумма расстояний между R и S будет меньше некоторого порогового значения, то R сохраняется в D .

Приведенный алгоритм отрицательного отбора выгодно отличается от алгоритмов клонального отбора и иммунного сетевого алгоритма при решении задачи обнаружения сетевых аномалий и злоупотреблений в сети, поэтому лег в основу разрабатываемой СОВ.

Обнаружение сетевых вторжений производится в несколько этапов.

• 1.    Сбор данных при нормальном функционировании системы. Эта информация будет использована в алгоритме отрицательного отбора.

• 2.    Генерация детекторов, при которой алгоритм отрицательного отбора формирует банк данных.

• 3.    Мониторинг сетевой активности в реальном масштабе времени. При этом сетевые данные сравниваются с детекторами для выявления аномалий.

Для получения экспериментальных данных для дальнейшего анализа можно: либо использовать утилиты для перехвата сетевых пакетов в виртуальной сети, например, tcpdump, которые будут содержать время, сетевые адреса источника и получателя, номера портов источника и получателя и т.д., либо воспользоваться готовым набором данных, предоставляемых лабораторией специально для целей тестирования, например, KDDCup 99 dataset. Авторы выбрали второй путь, так как виртуальные сети не отражают реальных событий в конкретных условиях, а готовые наборы содержат данные при отсутствии и наличии атак. Выбранный набор содержит данные мониторинга работы типичной локальной вычислительной сети типа ВВС (США), 24 распространенных и 14 дополнительных типов атак, в том числе DDoS (Land, Mailbombing, SYNFlood, Pingofdeath, Processtable, Smurf), Remotetolocal, Usertoroot, Probing.

Структурно каждая запись в наборе KDDCup состоит из набора из 41 параметра и типа активности сети.

Несмотря на то, что предварительная обработка данных, содержащихся в наборе, уже производилась, потребовалось дополнительное преобразование символьной информации в числовую форму в виде категорий. Но квантования данных оказалось недостаточно, так как, было необходимо сократить число параметров для ускорения работы алгоритма отрицательного отбора.

Сокращение количества данных производилось в несколько этапов.

Во-первых, необходимо отфильтровать сырые данные (что уже сделано в наборе). Во-вторых, в многомерном массиве некоторые параметры могут иметь отрицательную корреляцию, что будет препятствовать работе СОВ. В-третьих, разные параметры по-разному влияют на результат работы СОВ. Здесь надо отметить, что до сих пор не определена связь между значениями сетевых параметров с различными типами атак, хотя на эту проблему сфокусировано множество исследований.

В работе были использованы алгоритмы отбора параметров сетевой активности, основанные на теории приближенных (грубых) множеств и линейного генетического программирования (здесь их описания опущены для экономии места) применительно к записям, относящихся к нормальной работе локальной сети [7].

Затем, на этапе генерации детекторов, с использованием алгоритма отрицательного отбора было определено пространство D с порогом 0,4.

Этап обнаружения аномалий заключался в построении процедуры сравнения данных по сетевой активности со строками, содержащимися в массиве D . При совпадении какого-либо элемента детектировалась аномалия. В противном случае активность считалась нормальной.

При сравнении алгоритмов (см. таблицу) видно, что СОВ при использовании алгоритма приближенных множеств дает лучший результат по ложным тревогам, но и худший по детектированию атак, а СОВ с линейным генетическим алгоритмом показывает, что наоборот – выявленных атак стало больше, а нормального поведения – меньше.

Таблица. Сравнение алгоритмов для построения СОВ

Алгоритм	TP	FN	FP	TN	TP, %	TN, %
Приближенных множеств	192121	47116	17	60746	80,31	99,97
Линейный генетический	238880	357	9209	51554	99,85	84,84

Заключение

В заключении хочется отметить, что приведенные методы и алгоритмы не являются окончательными для использова- ния их в СОВ, а, наоборот, требуют всестороннего исследования, направленного на повышение производительности и эффективности СОВ на основе ИИС.