Самообучающиеся системы обнаружения вторжения на основе

УДК 004.056:378(06) Проблемы информационной безопасности в системе высшей школы
А.Б. СПЛОШНОВ
Московский инженерно-физический институт (государственный университет)
САМООБУЧАЮЩИЕСЯ СИСТЕМЫ ОБНАРУЖЕНИЯ
ВТОРЖЕНИЯ НА ОСНОВЕ НЕЙРОННЫХ СЕТЕЙ
В настоящей работе рассматривается проблема создания системы обнаружения вторжения в сетях TCP/IP, действующей по принципу обнаружения аномалий
и обладающей способностью к самообучению. В качестве детектора аномалий
предлагается использовать нейронную сеть Кохонена, известную как «самоорганизующаяся карта памяти».
В современных условиях, с ростом сложности систем обработки данных, наблюдается экспоненциальный рост угроз этим системам, что ограничивает или делает невозможным применение традиционных средств
защиты, основанных на правилах (rule-based IDS). Возникла необходимость в создании средств, которые обладали бы достаточной гибкостью
для того, чтобы адекватно реагировать на вновь возникающие угрозы, без
существенного повышения затрат на поддержку.
Идеальным вариантом решения этой проблемы является создание самообучающихся систем, которые могут накапливать знания о поведении
подконтрольной системы и на основе собственного опыта выявлять атаки
на эту систему.
В настоящее время существует множество алгоритмов машинного
обучения, но наиболее перспективным направлением является использование нейронных сетей, как элементов, способных к самостоятельному,
без вмешательства оператора, обучению. Задачей нейронной сети в этом
случае является классификация всех событий в системе как нормальных,
либо аномальных, свидетельствующих о проведении атаки.
Нейронные сети типа SOM, рассматриваемые в настоящей работе были специально разработаны для решения задач автоматической классификации. Поэтому для построения СОВ оптимален выбор именно этого типа
нейронной сети.
Изучение систем обнаружения вторжения (в том числе работающих по
принципу обнаружения аномалий), имеющихся на данный момент, показывает, что разработка этих систем велась эмпирическим способом и сразу начиналась с построения ядра системы, без учета особенностей данных, с которой этой системе предстоит работать. Полученные в результате решения имели узкую направленность на решение конкретных задач в
ISBN 5-7262-0711-4. XIV Всероссийская научная конференция
124
УДК 004.056:378(06) Проблемы информационной безопасности в системе высшей школы
заданных окружениях и оказывались неработоспособными при изменении
внешних условий.
Настоящая работа посвящена иному подходу в построении систем обнаружения вторжения, в котором данные, с которыми работает система, и
структура системы рассматриваются как единые и взаимосвязанные сущности. Цель работы – создание самообучающейся системы обнаружения
вторжения для сетей TCP/IP, работающей по принципу обнаружения аномалий и использующей нейронную сеть Кохонена в качестве детектора
аномалий.
ISBN 5-7262-0711-4. XIV Всероссийская научная конференция
125