Анализ систем обнаружения вторжений на основе интеллектуальных технологий



В статье рассматривается проблема актуальности применения интеллектуальных технологий в системах обнаружения вторжений, их потенциальные возможности, преимущества перед аналогами, использующими традиционные методы выявления угроз и недостатки данных систем.

Ключевые слова: система обнаружения вторжений, интеллектуальные технологии, нейронные сети, экспертные системы.

Системы обнаружения вторжений (СОВ) — это программные, аппаратные или программно-аппаратные средства и комплексы, предназначенные для выявления интернет-атак на сетевые ресурсы и попыток неправомерного доступа в компьютерную систему или сеть.

В настоящее время одними из самых распространенных способов обнаружения вторжений являются: сигнатурный анализ — высокоточный метод обнаружения уже классифицированных атак, но не способный обрабатывать новые типы вторжений; метод, основанный на аномалиях, позволяющий выявлять новые виды вторжений, но имеющий малую надёжность, ввиду высокой величины ложных срабатываний.

В большинстве случаев в состав СОВ входят:

 сенсорная подсистема, отвечающая за сбор событий;

 подсистему анализа, непосредственно определяющую, является ли данное событие угрозой или нет;

 область хранения, необходимую для накопления первичных событий и результатов анализа;

 консоль управления СОВ, служащей для её конфигурации, просмотра выявленных ею атак и наблюдения за защищаемой системой и самой СОВ.

Системы на базе эвристического и статистического анализа не получили широкого распространения из-за недостатков присущих данным методам, таких как частые ложные срабатывания. Поэтому главенствующее место среди методов обнаружения вторжений занимают экспертные системы (ЭС), искусственные нейронные сети и комбинация этих методов.

Экспертная система принимает решение о причисление произошедшего события к классу атак на основе имеющейся базы знаний. База знаний это некий набор правил необходимый для корректной работы системы, требующий регулярного обновления. Главным же преимуществом нейросетевой модели является возможность обнаружения атак «первого дня», совершенно новых видов угроз, что повышает защищенность всей системы от неизвестных источников.

В общем случае, основное применение экспертных систем, это решение трудных для человека задач с эффективностью и качеством сравнимым с решением принимаемым человеком-экспертом. К отличительным чертам таких задач относят:

 задачи, которые не могут быть заданы в числовой форме;

 цели нельзя выразить в терминах точно определённой целевой функции;

 алгоритмического решения задачи не существует;

 если алгоритмическое решение есть, то его невозможно использовать вследствие ограниченности ресурсов.

Искусственная нейронная сеть представляет собой систему взаимосвязанных друг с другом простых процессоров, называемых искусственными нейронами. Каждый отдельный процессор взаимодействует только с сигналами, получаемыми им от сенсоров или других процессоров и передаваемыми сигналами.

Возрастающее количество интернет трафика и высокая изменчивость характера сетевых атак ставят крайне трудную задачу построения системы защиты, сочетающую в себе огромную пропускную способность, эффективность выявления системой возможных, как ранее определенных, так и абсолютно новых, атак и гибкость настройки СОВ, во избежание ложных срабатываний. Потенциальным решением поставленной задачи могут служить системы обнаружения вторжений на основе метода искусственных нейронных сетей, свободные от строгого структурирования, свойственного системам основанных на правилах.

Одним из определяющих преимуществ нейронных сетей является возможность анализировать неполную информацию или зашумлённую какими-либо помехами. Другое важное отличие, это проведение нелинейного анализа произошедших событий. Каждое из этих свойств крайне важно в реальной, действующей, сети, где сигнал может искажаться умышленно либо по естественным причинам. Или же атака может происходить одновременно с множества источников. Тогда ключевую роль играет способность нелинейной обработки сразу нескольких потоков данных.

Также к особо важным характеристикам СОВ следует отнести скорость реакции, ведь промедление в минуты и секунды способно нанести непоправимый вред информационной системе предприятия или даже государственных органов. Системы обнаружения вторжений на нейросетях обладают впечатляющими показателями скорости обнаружения и принятия решения о применении защитных мер, позволяющих свести к минимуму наносимый ущерб.

Не менее важное качество нейронных сетей, это их способность прогнозировать дальнейшие события и возможные угрозы, так как результатами проведенных ранее анализов являются вероятности. В ходе «самообучения» система, постоянно набирая опыт, улучшает свои способности по выявлению закономерностей между отдельными событиями, их последовательностью, какими-либо связками, что позволяет либо в более короткие сроки локализовать проблему, либо заранее предпринять защитные меры и полностью отразить нападение без вреда.

Сама способность к «самообучению» играет ключевую роль в выборе искусственных нейронных сетей в качестве базы для анализирующего аппарата системы обнаружения вторжений. С её помощью происходит классификация и заданных изначально событий — списка, на котором проходило «обучение» сети, и «изученных» сетью в процессе эксплуатации сигнатур вероятных угроз, и атак, с которыми система сталкивается впервые, не совпадающими с ранее произошедшими инцидентами. Для уменьшения числа ложных срабатываний, сигнализирование о предполагаемом нападении может происходить только после превышения им пороговой вероятности — момента, когда угроза принимается как потенциально значимая.

Несмотря на перспективность использования и функциональные возможности искусственных нейронных сетей в системах обнаружения вторжений готовые реализации данных комплексов на настоящий момент крайне трудно обнаружить по ряду присущих им недостатков. В первую очередь, это большая стоимость построения, наладки, эксплуатации и ремонта интеллектуальных технологий. Во-вторых, сложность первоначального «обучения» системы, ведь именно от него будет зависеть качество дальнейшей работы. Колоссальные объемы требуемых для «обучения» данных могут составлять тысячи последовательностей индивидуальных атак — труднодостижимые величины.

Но одним из самых значимых недостатков использования нейронных сетей не только в СОВ, но и как интеллектуальной технологии в целом, является выдача результата «обученной» системой, который не может быть заранее однозначно определён. Другими словами, после достижения удовлетворяющего уровня успеха классификации зафиксированных событий, точность идентификации становится величиной не всегда известной. Поиск решения данной проблемы является актуальнейшей областью исследования в теории искусственных нейронных сетей.

В настоящее время существует два основных вида реализации систем обнаружения вторжений на базе нейронных сетей. К первому относят комбинацию экспертной системы и нейросетевого метода. Данный метод представляет собой систему двухступенчатого анализа. Весь объём сетевого трафика проходит через нейронную сеть, при фиксации вероятной угрозы, информация о ней передаётся для анализа экспертной системе, которая уже принимает окончательное решение. Преимуществом данной реализации является повышение чувствительности ЭС, поскольку она получает данные только о событиях уже расцененных как вероятные угрозы. Недостатком же является необходимость регулярного обновления базы знаний экспертной системы. В противном случае все новые виды нападений, фиксируемые с помощью нейронных сетей, не смогут быть распознаны экспертной системой как атаки.

Другим видом реализации является построение СОВ на основе нейронных сетей в качестве автономной системы. В сравнении с вышеописанным, данный метод обладает более высокой скоростью реакции, поскольку присутствует всего одна ступень анализа. Также этот метод реализации позволяет нейронной сети полностью использовать потенциал «самообучения» и выходить за пределы базы знаний экспертной системы. Ещё одно преимущество это, отсутствие потребности регулярного обновления базы знаний, как для систем, основанных на правилах.

Таким образом, использование интеллектуальных технологий расширяет спектр возможностей ординарной системы обнаружения вторжений и является актуальной, развивающейся, сферой в защите информации, требующей поиска новых решений обозначенных выше проблем.

На основе проведенного исследования показано, что применение интеллектуальных технологий в системах обнаружения вторжений позволяет:

 обеспечить близкий к максимальному уровень защищенности информационной системы;

 минимизировать время реакции системы на угрозы, следовательно, и наносимый системе вред, или же принять превентивные меры защиты полностью блокирующие атаку;

 увеличить объемы анализируемого трафика;

 вести противодействие большому количеству атак одновременно.

Литература:

1. Москаленко Ю. С. Организация систем, основанных на знаниях — Владивосток: Издательский дом Дальневосточного федерального университета, 2013. — 242 с.
2. Джарратано Дж., Райли Г. Экспертные системы. Принципы разработки и программирование Москва: Издательский дом «Вильямс», 2007–1152 с.
3. Ясницкий Л. Н., Введение в искусственный интеллект. — Москва: Издательский центр «Академия», 2005. — 176 с.
4. Kohlenberg, Toby (Ed.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael, and Poor, Mike, Snort IDS and IPS Toolkit, Syngress, 2010. — 768 с.