WWW.BOOK.LIB-I.RU
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - Электронные ресурсы
 

«Райх В.В., Синица И.Н., Шарашкин С.М. МАКЕТ СИСТЕМЫ ВЫЯВЛЕНИЯ АТАК НА ОСНОВЕ ОБНАРУЖЕНИЙ АНОМАЛИЙ СЕТЕВОГО ТРАФИКА ФГУП НИИ Квант, г. Москва, rvv25 В целях ...»

Райх В.В., Синица И.Н., Шарашкин С.М.

МАКЕТ СИСТЕМЫ ВЫЯВЛЕНИЯ АТАК НА ОСНОВЕ

ОБНАРУЖЕНИЙ АНОМАЛИЙ СЕТЕВОГО ТРАФИКА

ФГУП "НИИ "Квант", г. Москва, rvv25@yandex.ru

В целях проверки дееспособности нейросетевых алгоритмов выявления аномального поведения при

анализе сетевого трафика, а также ряда технологических решений был разработан макет системы выявления

аномалий сетевого трафика, осуществляющий перехват сетевого трафика, его декодирование, вычисление статистических показателей трафика и классификацию полученных векторов.

Функциональные возможности макета формировались исходя из исследовательских задач, поэтому в текущей версии данное программное обеспечение не претендует на статус самостоятельного продукта.

К возможностям созданного ПО относятся:

1. Перехват сетевого трафика одного сегмента сети Ethernet.

2. Декодирование содержания пакетов стека протоколов TCP/IP (рассматриваются протоколы ARP, IP, TCP, UDP).

3. Формирование на основе декодированных заголовков пакетов векторов статистических показателей.

4. Формирование профилей штатного сетевого трафика путем кластеризации векторов с применением модифицированных нейронных сетей адаптивного резонанса ART2M.

5. Выявление аномальной сетевой активности на основе фиксации выхода векторов показателей за пределы сформированных при обучении кластеров.

6. Сбор статистической информации о функционировании программных компонентов макета.

В состав ПО входит шесть взаимосвязанных модулей:

1. Модуль управления, реализующий конфигурирование, запуск и останов всей системы.

2. Командная текстовая консоль, предназначенная для ввода команд пользователя и отображения хода работы системы.

3. Модуль перехвата сетевого трафика.

4. Модуль декодирования сетевого трафика и формирования векторов статистических показателей.

5. Модуль нейросетевого анализа, реализующий обработку новых входных векторов обученной нейронной сетью.

6. Утилита обучения нейронной сети.

Основной интерес представляют модули, непосредственно реализующие обработку данных.

Функционирование модуля перехвата пакетов основывается на применении функций библиотеки LIBPCAP.

В бесконечном цикле функции pcap_loop библиотеки модуль принимает кадры, циркулирующие в сегменте сети, и записывает их в исходном виде в выходной буфер. При этом каждый кадр сопровождается заголовком, содержащим дату, время и длину принятого кадра. Для модуля в качестве параметров можно указывать имя интерфейса, с которого необходимо осуществлять перехват пакетов, и размер выходного буфера.

Модуль декодирования принимает данные из выходного буфера модуля перехвата пакетов, декодирует их и формирует вектор показателей, который записывает в свой выходной буфер. В качестве параметров модуль декодирования принимает адрес подсети, анализ пакетов которой требуется производить, а также дополнительные параметры в виде разрешенных номеров портов TCP и UDP, соответствий MAC и IP адресов.

Координаты результирующего вектора представляют собой флаги признаков пакетов и статистические значения, которые получаются путем усреднения значений параметров пакетов в заданном временном окне (при экспериментах использовалось окно – 8 секунд).

503 Service Unavailable

Service Unavailable

The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.