WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!


Pages:     || 2 |
МЕТОДЫ ИСКУССТВЕННОГО ИНТЕЛЛЕКТА В ЗАДАЧАХ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СЕТЕЙ В.Ю. Колеватов, Е.В. Котельников Вятский государственный университет 610000, г. Киров, ул. Московская, д. 36 Аннотация. В статье приведен обзор методов искусственного интеллекта, используемых в области сетевой безопасности, в том числе многоагентные системы, продукционные правила, теорема Байеса, нейронные сети и метод опорных векторов.

1 1. Введение В настоящее время компьютерные сети представляют собой большие распределенные системы программ и устройств, взаимодействующие между собой с целью обмена, хранения и обработки информации. Компьютерная сеть – прекрасная возможность для развития бизнеса компании. Многие уже открыли свои сайтыпредставительства в Internet и практически все работники офисов используют преимущества совместной работы. Сети объединяют разные типы устройств, соединенных различными каналами связи. Усложнение структуры сетей, повышение нагрузки на них, регулярное появление новых методов нарушения работы, способы ограничения доступа к данным законных владельцев и целостности информации, превращение сферы создания нежелательного1 программного обеспечения (ПО) из любительского занятия в прибыльный бизнес определяют необходимость серьезного отношения к вопросам сетевой безопасности.

В целях обеспечения защищенности компьютерных сетей были созданы системы, которые классифицируют сетевую активность различных программ. В случае совпадения с ситуацией, определенной экспертом, такие системы предлагают пользователю прекратить действия возможно вредоносного ПО и откатить произведенные им изменения. Однако большинство современных систем сетевой безопасности не имеют возможности самообучения и оперируют только заложенными в них вручную правилами. Частое появление нежелательного ПО, использующего новые уязвимости, повысило требования к системам сетевой безопасности.

Применение методов искусственного интеллекта (ИИ) позволяет ввести в системы защиты свойство самообучения и обеспечивает обнаружение угроз «на лету».

В данной статье приводится обзор методов ИИ, используемых для защиты компьютерных сетей.

Второй раздел статьи посвящен многоагентным системам – приводятся общие сведения о многоагентном подходе, рассматриваются системы защиты и анализа Нежелательным программным обеспечением (malicious software) будем считать совокупность вредоносного, шпионского, рекламного ПО, спама, и других нежелательных для пользователя событий.

защищенности сетей, основанные на агентах. В третьем разделе описываются продукционные системы. В четвертом разделе рассматриваются теорема Байеса и системы борьбы со спамом на е основе. Пятый раздел посвящен примерам применения нейронных сетей в области сетевой безопасности. В шестом разделе выполнен обзор относительно новой технологии ИИ – метода опорных векторов, пока ещ мало применяемой для защиты сетей, но имеющей большие перспективы в этой сфере.

2. Многоагентные системы 2.1. Общие сведения Долгое время ведутся разработки персональных средств защиты, предназначенных для одной единицы оборудования. Так как защита сети – задача комплексная, то помимо средств персональной защиты (антивирусы, сетевые экраны и т. д.) ведутся разработки многоагентных систем. Каждый агент отвечает за определенную часть задания и общее решение возникает в результате их скоординированных действий. Агенты могут иметь реализованные элементы интеллекта, а могут и не иметь таковых. В процессе работы агенты обмениваются сообщениями по специальным протоколам. Обычно существует агент, который управляет действиями других. Перечислим особенности многоагентных систем, которые позволяют эффективно их использовать в системах сетевой безопасности.

1. Гибкость. Агенты могут создавать себе подобных и размещать их на новых узлах сети, поэтому многоагентные системы легко адаптируются к любой сетевой архитектуре и адекватно отвечают на изменения в конфигурации сетевого оборудования.

2. Экономичность. Система равномерно распределена по всему периметру защиты. Эта особенность обеспечивает оптимальное распределение вычислительных ресурсов сети.

3. Повышенная отказоустойчивость. Так как агенты могут существовать самостоятельно, и они распределены на всех узлах сети, то есть система защиты не имеет центра, то атаковать ее будет сложнее, нежели сеть с централизованным сервером защиты. Распределенная по сети информация и распределенная защита требуют от злоумышленника проводить атаку многих узлов одновременно.

4. Возможность централизованного администрирования. Внесение изменений в работу агентов могут производиться централизованно и по протоколам взаимодействия агентов передаваться на все точки обеспечения безопасности.

Многоагентный подход подробно рассмотрен в [1, 2].

2.2. Системы защиты сети В [3, 4] рассмотрены многоагентные системы защиты сети от внешних угроз.

Особенности подхода, описанного в этих статьях, обеспечивают защиту от сложных угроз и позволяют наглядно представить текущее состояние всех агентов и сети в целом. Агенты разделены по роду деятельности и объединены в команды. Например, в [4] выделены следующие классы агентов команд защиты: обработки информации (сэмплеры), обнаружения атаки (детекторы), фильтрации (фильтры), агенты расследования. Сэмплеры осуществляют сбор данных для последующего обнаружения сетевых аномалий или злоупотреблений детектором. Фильтры ответственны за фильтрацию трафика по правилам, представленным детектором. Агент расследования пытается обезвредить агентов атаки. Команда агентов защиты совместно реализует механизм защиты и может взаимодействовать по различным схемам. В одной из схем при обнаружении начала атаки действует детектор той команды, на чью сеть направлена атака. Он посылает запрос агентам-сэмплерам других команд с целью получения информации, которая может быть релевантной указанной атаке. Сэмплеры других команд отвечают на запрос, посылая необходимые данные. Эта информация существенно повышает шансы на обнаружение атаки. В случае обнаружения вероятного источника атаки детектор сети-жертвы посылает информацию об адресе агента атаки детектору команды, в сети которой может находиться этот агент, с целью его деактивации.



Таким образом, использование многоагентного подхода и интеллектуальных алгоритмов обработки данных при разработке систем обеспечения безопасности компьютерных сетей значительно повышает их качественные характеристики.

2.3. Системы анализа защищенности Необходимым элементом системы безопасности компьютерной сети является регулярный анализ е защищенности. В зависимости от требуемого качества проводимой проверки можно проводить сканирование либо зондирование системы [5, 6].

Сканирование – метод пассивного анализа, позволяющий определить наличие уязвимостей, не предпринимая атакующих действий. Сначала происходит сбор информации о текущем состоянии системы безопасности – открытых портах и связанных с ними блоков данных (заголовков, баннеров), которые содержат типовые отклики сетевых сервисов. Затем осуществляется поиск совпадения собранной информации с известными уязвимостями, хранящимися в базе данных. На основе проведенного поиска делается вывод о наличии или отсутствии уязвимости.

Развитием методов сканирования стало использование знаний о физической топологии устройств сети. Система сканирования в процессе сбора информации не только получает данные об уязвимостях конкретных узлов сети, но и строит граф сети.

Результатом дальнейшей работы системы является граф атаки, моделирующий компьютерную сеть; на его основе можно сделать выводы о возможностях проведения не только атак на конкретные узлы сети, но и многошаговых сложных атак. Для анализа графа атак используются интеллектуальные средства, например, экспертные системы [7].

Зондирование – метод активного анализа, при котором осуществляется имитация атаки на анализируемую систему. Зондирование часто происходит после сканирования и может использовать построенный при сканировании граф атак. Данный метод является более сложным в реализации и работает медленнее, чем сканирование, однако позволяет получить самые точные результаты. Кроме того, при зондировании возможно найти подверженности атакам, которые не могут быть обнаружены пассивными методами. Примером такой атаки является DDoS (Distributed Denial of Service – распределенный отказ в обслуживании) – атака с большого количества различных узлов, находящихся в разных подсетях, и централизованно управляемых злоумышленником.

Системы зондирования, так же как и системы защиты, могут быть основаны на многоагентном подходе. Такой подход позволяет производить имитационное моделирование противостояния системы защиты и системы моделирования атаки на уровне пакетов. Имитационное моделирование имеет следующие преимущества:

- экономия расходов на тестирование, поскольку не требуется использование реальных сетей;

- при появлении новых видов распределенных атак достаточно изменить сценарий работы агента, который координирует атаку, для тестирования системы в новых условиях.

Системы анализа защищенности рассматриваются в [6, 8–11].

Системы моделирования атаки с использованием многоагентного подхода описаны в [12–15].

3. Продукционные системы Продукционными называют системы, основанные на правилах вида ЕСЛИ <условие> ТО <действие>.

Такие правила именуются продукциями. Левая часть продукции, <условие>, описывает предпосылки применения правила и может включать несколько простых условий, объединенных логическими операциями И, ИЛИ, НЕ. Часто продукции являются эвристиками, т. е. правилами, не требующими исчерпывающей исходной информации, и не гарантирующими стопроцентную правильность результата.

Эвристики в виде продукций обычно вырабатываются экспертами на основе многолетнего опыта, поэтому такого рода системы называются экспертными2.

Любая продукционная система должна содержать три основных компонента [1, 16, 17]:

– базу знаний;

– рабочую память;

– механизм вывода.

Структура продукционной системы представлена на рис. 1.

Механизм вывода База знаний Рабочая память Рис. 1. Структура продукционной системы База знаний содержит продукции, описывающие предметную область. В рабочей памяти хранится множество фактов, соответствующих текущей ситуации. Содержимое Ещ одно название – системы, основанные на знаниях (knowledge-based system).

рабочей памяти может изменяться, т. е. увеличиваться (это происходит чаще) или уменьшаться по мере применения правил.

Механизм вывода служит для реализации логического вывода путем просмотра правил и фактов, нахождения соответствия между ними и изменения рабочей памяти. В случае если левая часть продукции оказывается истинной, происходит срабатывание продукции и возникает событие одного из двух типов:

1) получение нового знания – в рабочую память добавляется факт из правой части продукции;

2) выполнение некоторого действия по изменению конфигурации компьютерной сети.

В области сетевой безопасности продукционные системы стали использоваться для обнаружения известных уязвимостей в проверяемой системе по формальным признакам, выявленным экспертами. Производители экспертных систем по сетевой безопасности формируют и поддерживают базу данных эвристик в Интернете для поддержания системы в актуальном состоянии.





Например, в бесплатной утилите AVZ [18] реализована функция эвристической проверки системы, которая позволяет проводить поиск известных Spyware3 и вирусов по косвенным признакам – на основании анализа реестра, файлов на диске и в памяти.

Регулярно выходят обновления программы, в которых содержится обновленный набор эвристик.

Приведем пример продукционного правила:

ЕСЛИ процесс использует библиотеки для работы с сетью И количество обнаруженных сигнатур, типичных для отправки почты > X ТО записать в рабочую память факт “программа работает с электронной почтой” Spyware – шпионское программное обеспечение, предназначенное для слежения за действиями пользователя на его компьютере.

В данном случае выполнение составного условия приводит к занесению в рабочую память нового факта, который может быть использован другими правилами.

К преимуществам продукционного подхода можно отнести устойчивость таких систем и точность обнаружения известных типов угроз сетевой безопасности.

К недостаткам относят поражение сети атаками zero-day (атака через уже обнаруженные, но еще не закрытые бреши в программных продуктах). Кроме того, в связи с частым появлением новых угроз эксперты должны ежедневно работать над качественным пополнением базы знаний. Поскольку в области сетевой безопасности продукционные системы применяются для обнаружения известных угроз, количество которых возрастает с каждым днем, то подход становится все менее эффективным, ввиду необходимости регулярной передачи набора новых правил.

4. Теорема Байеса Другим подходом к обработке не полностью определенной информации является вероятностное моделирование предметной области. В этой сфере широкое распространение получили системы, основанные на теореме Байеса (Bayes' Theorem).

Теорема выражается формулой Байеса:

PХ | HPH, PH | Х PХ где P(H | Х) – вероятность гипотезы H при наступлении причины Х;

P(Х | H) – вероятность присутствия причины Х при истинности гипотезы H;

P(H) – априорная вероятность гипотезы H;

P(Х) – вероятность наступления причины Х.

Эта простая формула лежит в основе многих современных систем искусственного интеллекта, предназначенных для работы в условиях неопределенности [1, 2]. Такие системы дают вероятностную оценку, поэтому обычно не заменяют эксперта, а оказывают ему поддержку в принятии решения.

На практике, когда имеется n гипотез, используется формула Байеса в общей форме:

PХ | Hi PHi PHi | Х, n PХ | Hk PHk kгде P(Hi | Х) – вероятность истинности гипотезы Hi при заданной причине Х;

P(Hi) – априорная вероятность гипотезы Hi;

P(Х | Hi) – вероятность присутствия причины Х, если истинна гипотеза Hi;

n – число возможных гипотез.

Если причину можно представить в виде вектора:

X = (X1, X2, …, Xm), каждый компонент которого имеет условную вероятность относительно гипотезы Hi P(Xj | Hi), то для вычисления условных вероятностей P(Х | Hi) используется «наивное» Системы классификации, построенные на таком предположении, называются наивными байесовскими классификаторами (Naive Bayes Classifiers).

предположение об условной независимости компонентов вектора Х. В этом случае условная вероятность вычисляется по формуле [19]:

m PX | Hi X | Hi.

(1) P j jРассмотрим пример спам-фильтра5 на основе теоремы Байеса [20]. При обучении фильтра массив электронных писем делится на два класса: спам и полезная корреспонденция. Для каждого слова вычисляется частота его встречаемости в обоих классах писем.

Обозначим FS(Wi) – количество спам-писем, в которых встретилось слово Wi, а FNS(Wi) – количество полезных писем, в которых встретилось слово Wi. В задаче присутствуют две гипотезы: HS – письмо является спамом, HNS – полезное письмо.

Тогда вероятность того, что появление слова Wi в письме означает спам, вычисляется по формуле:

FSWi PWi | HS FSWi FNS Wi, а вероятность того, что слово Wi не указывает на спам в письме:

FNS Wi PWi | HNS FSWi FNS Wi.

Вектор W включает все слова нового письма. Тогда для нового письма вероятность того, что оно спам, вычисляется по формуле Байеса следующим образом:

PW | HS PHS PHS | W PW | HS PHS PW | HNS PHNS.

Учитывая формулу (1) и считая априорные вероятности обеих гипотез одинаковыми, получаем:

m PWj | HS jPHS | W.

m m PWj | HS PWj | HNS j1 j Спам-фильтр – разновидность фильтрации сообщений электронной почты, при которой отсеиваются нежелательные письма, чаще всего рекламного содержания.

Отнесение письма к спаму или к полезным письмам производится обычно с учетом заданного пользователем порога, значения которого составляют 0,6 0,8. После принятия решения по письму в базе данных обновляются вероятности для входящих в него слов.

Рассмотренный метод прост в реализации, эффективен (после обучения на достаточно большой выборке писем отсекает до 95–97 % спама), обладает возможностью дообучения. Указанные достоинства объясняют тот факт, что на основе теоремы Байеса построено множество современных спам-фильтров.

Для обхода традиционных спам-фильтров спамеры стали вкладывать рекламную информацию в картинку, а текст в письме либо отсутствует, либо не несет смысла.

Pages:     || 2 |










© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.