Анализ систем обнаружения вторжений на основе интеллектуальных технологий
Автор: Явтуховский Евгений Юрьевич
Рубрика: 1. Информатика и кибернетика
Опубликовано в
III международная научная конференция «Технические науки: теория и практика» (Чита, апрель 2016)
Дата публикации: 22.03.2016
Статья просмотрена: 2300 раз
Библиографическое описание:
Явтуховский, Е. Ю. Анализ систем обнаружения вторжений на основе интеллектуальных технологий / Е. Ю. Явтуховский. — Текст : непосредственный // Технические науки: теория и практика : материалы III Междунар. науч. конф. (г. Чита, апрель 2016 г.). — Чита : Издательство Молодой ученый, 2016. — С. 27-30. — URL: https://moluch.ru/conf/tech/archive/165/10049/ (дата обращения: 18.12.2024).
В статье рассматривается проблема актуальности применения интеллектуальных технологий в системах обнаружения вторжений, их потенциальные возможности, преимущества перед аналогами, использующими традиционные методы выявления угроз и недостатки данных систем.
Ключевые слова: система обнаружения вторжений, интеллектуальные технологии, нейронные сети, экспертные системы.
Системы обнаружения вторжений (СОВ) — это программные, аппаратные или программно-аппаратные средства и комплексы, предназначенные для выявления интернет-атак на сетевые ресурсы и попыток неправомерного доступа в компьютерную систему или сеть.
В настоящее время одними из самых распространенных способов обнаружения вторжений являются: сигнатурный анализ — высокоточный метод обнаружения уже классифицированных атак, но не способный обрабатывать новые типы вторжений; метод, основанный на аномалиях, позволяющий выявлять новые виды вторжений, но имеющий малую надёжность, ввиду высокой величины ложных срабатываний.
В большинстве случаев в состав СОВ входят:
сенсорная подсистема, отвечающая за сбор событий;
подсистему анализа, непосредственно определяющую, является ли данное событие угрозой или нет;
область хранения, необходимую для накопления первичных событий и результатов анализа;
консоль управления СОВ, служащей для её конфигурации, просмотра выявленных ею атак и наблюдения за защищаемой системой и самой СОВ.
Системы на базе эвристического и статистического анализа не получили широкого распространения из-за недостатков присущих данным методам, таких как частые ложные срабатывания. Поэтому главенствующее место среди методов обнаружения вторжений занимают экспертные системы (ЭС), искусственные нейронные сети и комбинация этих методов.
Экспертная система принимает решение о причисление произошедшего события к классу атак на основе имеющейся базы знаний. База знаний это некий набор правил необходимый для корректной работы системы, требующий регулярного обновления. Главным же преимуществом нейросетевой модели является возможность обнаружения атак «первого дня», совершенно новых видов угроз, что повышает защищенность всей системы от неизвестных источников.
В общем случае, основное применение экспертных систем, это решение трудных для человека задач с эффективностью и качеством сравнимым с решением принимаемым человеком-экспертом. К отличительным чертам таких задач относят:
задачи, которые не могут быть заданы в числовой форме;
цели нельзя выразить в терминах точно определённой целевой функции;
алгоритмического решения задачи не существует;
если алгоритмическое решение есть, то его невозможно использовать вследствие ограниченности ресурсов.
Искусственная нейронная сеть представляет собой систему взаимосвязанных друг с другом простых процессоров, называемых искусственными нейронами. Каждый отдельный процессор взаимодействует только с сигналами, получаемыми им от сенсоров или других процессоров и передаваемыми сигналами.
Возрастающее количество интернет трафика и высокая изменчивость характера сетевых атак ставят крайне трудную задачу построения системы защиты, сочетающую в себе огромную пропускную способность, эффективность выявления системой возможных, как ранее определенных, так и абсолютно новых, атак и гибкость настройки СОВ, во избежание ложных срабатываний. Потенциальным решением поставленной задачи могут служить системы обнаружения вторжений на основе метода искусственных нейронных сетей, свободные от строгого структурирования, свойственного системам основанных на правилах.
Одним из определяющих преимуществ нейронных сетей является возможность анализировать неполную информацию или зашумлённую какими-либо помехами. Другое важное отличие, это проведение нелинейного анализа произошедших событий. Каждое из этих свойств крайне важно в реальной, действующей, сети, где сигнал может искажаться умышленно либо по естественным причинам. Или же атака может происходить одновременно с множества источников. Тогда ключевую роль играет способность нелинейной обработки сразу нескольких потоков данных.
Также к особо важным характеристикам СОВ следует отнести скорость реакции, ведь промедление в минуты и секунды способно нанести непоправимый вред информационной системе предприятия или даже государственных органов. Системы обнаружения вторжений на нейросетях обладают впечатляющими показателями скорости обнаружения и принятия решения о применении защитных мер, позволяющих свести к минимуму наносимый ущерб.
Не менее важное качество нейронных сетей, это их способность прогнозировать дальнейшие события и возможные угрозы, так как результатами проведенных ранее анализов являются вероятности. В ходе «самообучения» система, постоянно набирая опыт, улучшает свои способности по выявлению закономерностей между отдельными событиями, их последовательностью, какими-либо связками, что позволяет либо в более короткие сроки локализовать проблему, либо заранее предпринять защитные меры и полностью отразить нападение без вреда.
Сама способность к «самообучению» играет ключевую роль в выборе искусственных нейронных сетей в качестве базы для анализирующего аппарата системы обнаружения вторжений. С её помощью происходит классификация и заданных изначально событий — списка, на котором проходило «обучение» сети, и «изученных» сетью в процессе эксплуатации сигнатур вероятных угроз, и атак, с которыми система сталкивается впервые, не совпадающими с ранее произошедшими инцидентами. Для уменьшения числа ложных срабатываний, сигнализирование о предполагаемом нападении может происходить только после превышения им пороговой вероятности — момента, когда угроза принимается как потенциально значимая.
Несмотря на перспективность использования и функциональные возможности искусственных нейронных сетей в системах обнаружения вторжений готовые реализации данных комплексов на настоящий момент крайне трудно обнаружить по ряду присущих им недостатков. В первую очередь, это большая стоимость построения, наладки, эксплуатации и ремонта интеллектуальных технологий. Во-вторых, сложность первоначального «обучения» системы, ведь именно от него будет зависеть качество дальнейшей работы. Колоссальные объемы требуемых для «обучения» данных могут составлять тысячи последовательностей индивидуальных атак — труднодостижимые величины.
Но одним из самых значимых недостатков использования нейронных сетей не только в СОВ, но и как интеллектуальной технологии в целом, является выдача результата «обученной» системой, который не может быть заранее однозначно определён. Другими словами, после достижения удовлетворяющего уровня успеха классификации зафиксированных событий, точность идентификации становится величиной не всегда известной. Поиск решения данной проблемы является актуальнейшей областью исследования в теории искусственных нейронных сетей.
В настоящее время существует два основных вида реализации систем обнаружения вторжений на базе нейронных сетей. К первому относят комбинацию экспертной системы и нейросетевого метода. Данный метод представляет собой систему двухступенчатого анализа. Весь объём сетевого трафика проходит через нейронную сеть, при фиксации вероятной угрозы, информация о ней передаётся для анализа экспертной системе, которая уже принимает окончательное решение. Преимуществом данной реализации является повышение чувствительности ЭС, поскольку она получает данные только о событиях уже расцененных как вероятные угрозы. Недостатком же является необходимость регулярного обновления базы знаний экспертной системы. В противном случае все новые виды нападений, фиксируемые с помощью нейронных сетей, не смогут быть распознаны экспертной системой как атаки.
Другим видом реализации является построение СОВ на основе нейронных сетей в качестве автономной системы. В сравнении с вышеописанным, данный метод обладает более высокой скоростью реакции, поскольку присутствует всего одна ступень анализа. Также этот метод реализации позволяет нейронной сети полностью использовать потенциал «самообучения» и выходить за пределы базы знаний экспертной системы. Ещё одно преимущество это, отсутствие потребности регулярного обновления базы знаний, как для систем, основанных на правилах.
Таким образом, использование интеллектуальных технологий расширяет спектр возможностей ординарной системы обнаружения вторжений и является актуальной, развивающейся, сферой в защите информации, требующей поиска новых решений обозначенных выше проблем.
На основе проведенного исследования показано, что применение интеллектуальных технологий в системах обнаружения вторжений позволяет:
обеспечить близкий к максимальному уровень защищенности информационной системы;
минимизировать время реакции системы на угрозы, следовательно, и наносимый системе вред, или же принять превентивные меры защиты полностью блокирующие атаку;
увеличить объемы анализируемого трафика;
вести противодействие большому количеству атак одновременно.
Литература:
- Москаленко Ю. С. Организация систем, основанных на знаниях — Владивосток: Издательский дом Дальневосточного федерального университета, 2013. — 242 с.
- Джарратано Дж., Райли Г. Экспертные системы. Принципы разработки и программирование Москва: Издательский дом «Вильямс», 2007–1152 с.
- Ясницкий Л. Н., Введение в искусственный интеллект. — Москва: Издательский центр «Академия», 2005. — 176 с.
- Kohlenberg, Toby (Ed.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael, and Poor, Mike, Snort IDS and IPS Toolkit, Syngress, 2010. — 768 с.
Ключевые слова
нейронные сети, экспертные системы, интеллектуальные технологии, система обнаружения вторженийПохожие статьи
Сравнение основных видов интеллектуальных технологий для использования в антивирусных программах
В данной статье рассматривается возможность реализации антивирусного ПО с использованием интеллектуальных технологий, их потенциальные возможности, преимущества перед аналогами, использующими традиционные методы выявления угроз и недостатки данных си...
Анализ систем мониторинга вычислительных сетей
В статье рассматриваются основные принципы построения и функционирования систем мониторинга вычислительных сетей, посредством которых осуществляется выявление уязвимостей контролируемых информационных систем. Выделены основные преимущества и недостат...
Использование искусственных нейронных сетей для решения задач информационной безопасности
В статье автор исследует возможности применения искусственных нейронных сетей в решении некоторых задач информационной безопасности. В статье рассматривается модель ИНС для обнаружения вредоносного ПО на Android и потенциал методов машинного обучения...
Особенности современных систем защиты информации
Современные информационные технологии привнесли ряд новых вызовов в область защиты информации. В данной статье анализируются ключевые особенности современных систем защиты информации, включая угрозы, методы обнаружения и предотвращения атак, а также ...
Применение инструментов OSINT для повышения безопасности предприятия
В настоящее время обеспечение информационной безопасности играют важнейшую роль в предприятиях разного масштаба. Данная тенденция стала наиболее актуальной с применением инструментов OSINT. В данной статье рассмотрены несколько вариантов применения д...
Аспекты использования различных методов распознавания лиц в современных системах безопасности
В статье авторы стараются обозреть существующие аспекты использования различных методов распознавания лиц в современных системах безопасности.
Применение инструментов OSINT для выявления уязвимостей информационной сети предприятия
В настоящее время обеспечение информационной безопасности играют важнейшую роль в предприятиях разного масштаба. Данная тенденция стала наиболее актуальной с применением инструментов OSINT. В данной статье способ применения данных инструментов для вы...
Искусственный интеллект и анализ больших данных в работе с банковскими картами
В статье рассмотрены методы и технологии применения искусственного интеллекта в банковской сфере. Проанализирована классификация банков в России, по степени применения искусственного интеллекта. Рассмотрены современные банковские платформы, которые о...
Применение экспертных систем для анализа и оценки информационной безопасности
В статье рассматривается вариант применения экспертной системы в роли составляющей комплекса мероприятий для обеспечения информационной безопасности.
Исследование систем обнаружения вторжений
В статье авторы проводят исследование систем обнаружения вторжений, описывая их характеристики, классификации и особенности.
Похожие статьи
Сравнение основных видов интеллектуальных технологий для использования в антивирусных программах
В данной статье рассматривается возможность реализации антивирусного ПО с использованием интеллектуальных технологий, их потенциальные возможности, преимущества перед аналогами, использующими традиционные методы выявления угроз и недостатки данных си...
Анализ систем мониторинга вычислительных сетей
В статье рассматриваются основные принципы построения и функционирования систем мониторинга вычислительных сетей, посредством которых осуществляется выявление уязвимостей контролируемых информационных систем. Выделены основные преимущества и недостат...
Использование искусственных нейронных сетей для решения задач информационной безопасности
В статье автор исследует возможности применения искусственных нейронных сетей в решении некоторых задач информационной безопасности. В статье рассматривается модель ИНС для обнаружения вредоносного ПО на Android и потенциал методов машинного обучения...
Особенности современных систем защиты информации
Современные информационные технологии привнесли ряд новых вызовов в область защиты информации. В данной статье анализируются ключевые особенности современных систем защиты информации, включая угрозы, методы обнаружения и предотвращения атак, а также ...
Применение инструментов OSINT для повышения безопасности предприятия
В настоящее время обеспечение информационной безопасности играют важнейшую роль в предприятиях разного масштаба. Данная тенденция стала наиболее актуальной с применением инструментов OSINT. В данной статье рассмотрены несколько вариантов применения д...
Аспекты использования различных методов распознавания лиц в современных системах безопасности
В статье авторы стараются обозреть существующие аспекты использования различных методов распознавания лиц в современных системах безопасности.
Применение инструментов OSINT для выявления уязвимостей информационной сети предприятия
В настоящее время обеспечение информационной безопасности играют важнейшую роль в предприятиях разного масштаба. Данная тенденция стала наиболее актуальной с применением инструментов OSINT. В данной статье способ применения данных инструментов для вы...
Искусственный интеллект и анализ больших данных в работе с банковскими картами
В статье рассмотрены методы и технологии применения искусственного интеллекта в банковской сфере. Проанализирована классификация банков в России, по степени применения искусственного интеллекта. Рассмотрены современные банковские платформы, которые о...
Применение экспертных систем для анализа и оценки информационной безопасности
В статье рассматривается вариант применения экспертной системы в роли составляющей комплекса мероприятий для обеспечения информационной безопасности.
Исследование систем обнаружения вторжений
В статье авторы проводят исследование систем обнаружения вторжений, описывая их характеристики, классификации и особенности.