Совершенствование методики выявления аномальных
advertisement
УДК 001(06) Телекоммуникации и новые информационные технологии… М.С. ЖДАНОВА, С.В. ПЕРЫШКИН, А.П. ГУЧЕНКО1 Московский инженерно-физический институт (государственный университет), 1ООО «Лаборатория сетевых технологий» СОВЕРШЕНСТВОВАНИЕ МЕТОДИКИ ВЫЯВЛЕНИЯ АНОМАЛЬНЫХ СОСТОЯНИЙ СЕТЕВЫХ УСТРОЙСТВ В Лаборатории сетевых технологий ЦНИТ МИФИ в сотрудничестве с ООО «ЛСТ» была разработана и реализована в составе ПО «Локатор безопасности» методика выявления аномальных состояний сетевых устройств на основе методов многомерного анализа сетевого трафика. В статье анализируются ограничения методики, обнаруженные при опытной эксплуатации комплекса в сети МИФИ, и предлагаются способы совершенствования с использованием иммунного подхода. Методика выявления аномальных состояний реализует принцип построения шаблона «нормального» поведения сетевого устройства (СУ), принимая за аномалии отклонения от него [1]. Состояние СУ описывается набором интегральных показателей, формируемых по структурированной информации из заголовков пакетов. Шаблонные данные образуют кластер в пространстве интегральных показателей, центром которого является вектор наиболее вероятных значений показателей. Аномальность события определяется удаленностью его от центра «нормального» кластера, измеряемой расстоянием Махаланобиса, учитывающим как изменение значений характеристик, так и наличие зависимостей между ними: где S – вектор, характеризующий собы ( S , Sø ) ( S Sø )T K 1 ( S Sø ) , тие, S0 – центр кластера, K-1 – обратная ковариационная матрица, построенная на шаблонных данных. Событие считается аномальным, если расстояние превышает пороговое значение. Степень аномальности события зависит от границ зон аномальности, соответствующих пороговым отклонениям, вычисленным по функции плотности распределения отклонений событий в «нормальном» кластере для заданных доверительных вероятностей. Для тестирования методики в качестве интегральных показателей на основе экспертных оценок были выбраны характеристики, определяющие работу СУ: 28 для взаимодействий по протоколу IP-TCP и по 16 для IPUDP и IP-ICMP. В результате тестирования на реальных сетевых данных была обнаружена проблема, связанная с постоянством значений характеристик работы СУ и наличием линейных зависимостей, имеющих неустойчивый характер, что не позволяет автоматически определять аномальность состояний таких СУ. Другая проблема относится к способу ________________________________________________________________________ ISBN 5-7262-0710-6. НАУЧНАЯ СЕССИЯ МИФИ-2007. Том 10 24 УДК 001(06) Телекоммуникации и новые информационные технологии… построения шаблона. Область «нормальных» событий здесь описывается гиперсферой в пространстве нормированных показателей. В реальности, «нормальное» пространство может обладать более сложной формой, а «нормальные» события могут образовывать более одного кластера, что существенно при выявлении аномалий, учитывая свойственный подходу высокий процент «ложных тревог». Кроме того, задание центра кластера в виде наиболее вероятных значений показателей на шаблонных данных может привести к ошибкам, т.к. на практике при обучении используется «сырой» трафик с большой долей «шумов» (следы аномальной работы). Для решения этих проблем при построении шаблона «нормального» поведения СУ предлагается использовать масштабируемый иммунный алгоритм неуправляемого обучения для кластеризации динамических данных [2], устойчивый к «шумам» и учитывающий изменения в сетевой среде. В основе этого алгоритма лежит сетевая иммунная модель, состоящая из множества взаимосвязанных элементов (DWB – клеток), характеризующихся весом и уровнем стимуляции. Построение иммунной сети на шаблонных данных позволяет провести сжатие данных без потери информативности и снизить вычислительные затраты на обучение, выявление аномалий и адаптацию. Сопоставление событий с шаблоном базируется на некоторой мере расстояния, например, евклидовой. Методика выделяет аномальные участки работы СУ, но для выявления причин отклонений и принятия мер, администратор должен вручную проанализировать характеристики всех событий за «аномальный» период. При этом возрастает время реакции, равное периоду структуризации плюс время, необходимое для анализа аномальной ситуации, а эффективность существенно зависит от уровня специалиста, эксплуатирующего систему. Эту проблему позволит решить реализация в системе возможности классификации аномалий. Метод классификации строится на модели Т – клетки и взаимной стимуляции в биологической иммунной системе [3]. На множестве аномальных событий методами генетической оптимизации детекторы, содержащие характерные признаки и тип аномалии, которые затем используются как сигнатуры для проверки событий. Выявление отклонений от нормы с генерацией детекторов моделирует механизмы первичного и вторичного иммунного ответа, отвечающие за адаптацию к новым инфекциям и быструю реакцию на уже известные. 1. 2. 3. Список литературы Дружинин Е.Л. Методика адаптивного выявления аномальных состояний компьютерной сети. O. Nasraoui et al. A scalable artificial immune system model for dynamic unsupervised learning. D. Dasgupta. MILA – multilevel immune learning algorithm and its application to anomaly detection. ________________________________________________________________________ ISBN 5-7262-0710-6. НАУЧНАЯ СЕССИЯ МИФИ-2007. Том 10 25 УДК 001(06) Телекоммуникации и новые информационные технологии… ________________________________________________________________________ ISBN 5-7262-0710-6. НАУЧНАЯ СЕССИЯ МИФИ-2007. Том 10 26
