ІНТЕЛЕКТУАЛЬНА ІНФОРМАЦІЙНА ТЕХНОЛОГІЯ ВИЯВЛЕННЯ І КЛАСИФІКАЦІЇ АТАК НА ІНФОРМАЦІЙНІ ТЕЛЕКОМУНІКАЦІЙНІ МЕРЕЖІ Диссертация

brief description:
На правах рукопису

КОМАР МИРОСЛАВ ПЕТРОВИЧ

УДК 004.056.53 : 004.492.3

ІНТЕЛЕКТУАЛЬНА ІНФОРМАЦІЙНА ТЕХНОЛОГІЯ ВИЯВЛЕННЯ І КЛАСИФІКАЦІЇ АТАК НА ІНФОРМАЦІЙНІ ТЕЛЕКОМУНІКАЦІЙНІ МЕРЕЖІ

05.13.06 – Інформаційні технології

Дисертація на здобуття наукового ступеня

кандидата технічних наук

Наукові керівники:

Саченко Анатолій Олексійович

доктор технічних наук, професор

Головко Володимир Адамович

доктор технічних наук, професор

Тернопіль – 2012

ЗМІСТ

ПЕРЕЛІК УМОВНИХ СКОРОЧЕНЬ. 5

ВСТУП.. 6

РОЗДІЛ 1 АНАЛІЗ ВІДОМИХ ТЕХНОЛОГІЙ ВИЯВЛЕННЯ І КЛАСИФІКАЦІЇ АТАК НА ІНФОРМАЦІЙНІ ТЕЛЕКОМУНІКАЦІЙНІ МЕРЕЖІ 14

1.1 Стан розробки технологій виявлення і класифікації атак на інформаційні телекомунікаційні мережі 14

1.2 Методи штучного інтелекту як база інформаційних технологій виявлення і класифікації атак 20

1.3 Аналіз наборів тестових даних і оцінка достовірності інформаційних технологій. 28

1.4 Напрями дослідження і постановка задачі 38

Висновки до розділу 1. 40

РОЗДІЛ 2 НЕЙРОМЕРЕЖЕВІ МЕТОДИ ВИЯВЛЕННЯ І КЛАСИФІКАЦІЇ АТАК НА ІНФОРМАЦІЙНІ ТЕЛЕКОМУНІКАЦІЙНІ МЕРЕЖІ 41

2.1 Узагальнена функціональна модель прийняття рішень при виявленні і класифікації атак. 41

2.2 Вибір базової архітектури нейромережевого детектора 44

2.3 Метод побудови нейромережевого детектора атак на інформаційні телекомунікаційні мережі 52

2.3.1 Структура нейромережевого детектора 52

2.3.2 Навчання нейромережевого детектора 56

2.3.3 Структура нейронів прихованого шару і навчальної вибірки. 59

2.4 Метод побудови сукупного класифікатора для ієрархічної класифікації атак. 61

2.4.1 Стиснення вхідної інформації на основі методу головних компонент 61

2.4.2 Сукупний класифікатор для ієрархічної класифікації атак. 69

Висновки до розділу 2. 75

РОЗДІЛ 3 КОМБІНОВАНИЙ МЕТОД ВИЯВЛЕННЯ І КЛАСИФІКАЦІЇ АТАК НА ІНФОРМАЦІЙНІ ТЕЛЕКОМУНІКАЦІЙНІ МЕРЕЖІ 77

3.1 Основи технології виявлення і класифікації атак з використанням імунних систем. 77

3.2 Розробка комбінованого методу виявлення і класифікації атак на інформаційні телекомунікаційні мережі 79

3.3 Навчання і функціонування нейромережевих імунних детекторів. 85

3.4 Експериментальні дослідження комбінованого методу виявлення і класифікації атак. 89

Висновки до розділу 3. 96

РОЗДІЛ 4 ІНТЕЛЕКТУАЛЬНА ІНФОРМАЦІЙНА ТЕХНОЛОГІЯ ВИЯВЛЕННЯ І КЛАСИФІКАЦІЇ АТАК НА ІНФОРМАЦІЙНІ ТЕЛЕКОМУНІКАЦІЙНІ МЕРЕЖІ 98

4.1 Модульна структура та алгоритми функціонування нейромережевої імунної системи виявлення і класифікації атак. 98

4.2 Програмна реалізація нейромережевої імунної системи виявлення і класифікації атак. 110

4.3 Статистична оцінка достовірності розробленої інтелектуальної інформаційної технології 113

Висновки до розділу 4. 14.      Gorodetsky V. Multi-agent Technologies for Computer Network Security: Attack Simulation, Intrusion Detection and Intrusion Detection Learning / V. Gorodetsky, I. Kotenko, O. Karsaev // International Journal of Computer Systems Science and Engineering. 2003. – Vol.18, №4. – P.191–200.

15.      Многоагентная система обучения обнаружению атак / В.И. Городецкий, О.В. Карсаев, И.В. Котенко, [и др.] // Материалы Межрегиональной конференции «Информационная безопасность регионов России» (ИБРР-2003). Часть 1. СПб, 2003. – С.118.

16.      Городецкий В.И. Программный прототип многоагентной системы обнаружения вторжений в компьютерные сети / Городецкий В.И., Карсаев О.В., Котенко И.В. // Труды Международного конгресса «Искусственный интеллект в XXI веке». Том 1. М.: Физматлит, 2001. – С. 280–293.

19.      Котенко И.В. Многоагентное моделирование механизмов защиты от распределенных компьютерных атак / И.В.Котенко, А.В. Уланов // Информационные технологии. – 2009. – № 2. – C.38–44.

20.      Котенко И.В. Интеллектуальные механизмы управления кибербезопасностью / И.В. Котенко // Управление рисками и безопасностью. Труды Института системного анализа Российской академии наук (ИСА РАН). М.:, 2009. – Т.41.– С.74–103.

[Електронний ресурс] – Режим доступу : http://www.ruscrypto.ru.

– 2003. – № 2. – P. 151–156.

23.      Широчин В.П. Методы и средства анализа безопасности корпоративных сетей / В.П. Широчин, В.Е. Мухин В.Е., Ху Чженбин // Труды 4-ой международной научно-практической конференции «Современные информационные и электронные технологи», Одесса (Украина), 2003. – С.64.

24.      Широчин В.П. Два подхода к обнаружению попыток НСД в компьютерных системах / В.П. Широчин, Ху Чженбин // Труды 5-ой международной научно-практической конференции «Современные информационные и электронные технологи», Одесса (Украина), 2004. – С.81.

25.      Широчин В.П. Обнаружение аномалий на основе неконтролируемой кластеризации / В.П. Широчин, Ху Чженбин, Д.Г. Гундарцев // Труды 6-ой международной научно-практической конференции «Современные информационные и электронные технологи», Одесса (Украина), 2005. – С.116.

26.      Широчин В.П. Средства сопровождения адаптивных комплексных систем защиты информации / В.П. Широчин, Ху Чженбин // Сборник трудов IV международной научно-практической конференции «Проблемы внедрения информационных технологий в экономике и би знесе», Ирпень (Украина), 2003. – С. 661–664.

27.      Широчин В.П. Механизмы и средства мониторинга безопасности информационных систем / В.П. Широчин, В.Е. Мухін, Ху Чженбин // Сборник трудов IV международной научно-практической конференции «Проблемы внедрения информационных технологий в экономике и би знесе», Ирпень (Украина), 2004. – С. 519–522.

28.      Shyrochin V.P. Users Behavior Model in Tasks of Computer Systems Security Analysis / V.P. Shyrochin, V.E. Mukhin, Hu Zhengbing // Proceedings IEEE Second International Workshop on Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications (IDAACS’2003), Lviv (Ukraine), 2003. – Р. 463–466.

29.      Shyrochin V.P. Data Mining Approaches for Signatures Search In Network Intrusion Detection / V.P. Shyrochin, Hu Zhengbing // Proceedings IEEE Second International Workshop on Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications (IDAACS’2005), Sofia (Bulgaria), 2005. – P. 363–367.

China, 2005. – P. 258–261.

Arlington, VA, USA, 1998. – October, 5–8. – Р. 368–381.

D. A Comparison of Negative and Positive Selection Algorithms in Novel Pattern Detection / D. Dasgupta, F. Nino // In the Proceedings of the IEEE International Conference on Systems, Man and Cybernetics (SMC). – Nashville, 2000. – October, 8–11. – Р. 125–130.

De Castro, J. Timmis // Soft Computing Journal. – 2003. – Vol. 7, Issue 7. – Р. 268–284.

34.      De Castro L. N. Artificial Immune Systems: Part I – Basic Theory and Applications / L. N. De Castro, F. J. Von Zuben // Technical Report – RT DCA 01/99, FEEC/UNICAMP. – Brazil, 1999. – 95 p.

De Castro, F. J. Von Zuben // Technical Report – RT DCA 02/00, FEEC/UNICAMP. – Brazil, 2000. – 64 p.

/ A. Grediaga, F. Ibarra, F. García [et al.] // Springer: Lecture Notes in Computer Science. – 2006. – Vol. 3973. – Р. 208–213.

// Journal of Engineering Science and Technology. – 2010. – Vol. 5, № 4. – P. 457–471.

Jing. A new Immunity Intrusion Detection Model Based on Genetic Algorithm and Vaccine Mechanism / Jing Xiao-Pei, Wang Hou-Xiang // Computer Network and Information Security. – 2010. – Vol. 2. – P. 33–39.

/ M. Moradi, M. Zulkernine // IEEE International Conference on Advances in Intelligent Systems – Theory and Applications. – Luxembourg-Kirchberg, 2004. – [Електронний ресурс]. – Режим доступу: http://research.cs.queensu.ca/~moradi/148-04-MM-MZ.pdf.

Journal of Network and Computer Applications. – 2005. – Vol. 28, № 2. – Р. 167–182.

. Intrusion Detection System Using Unsupervised Immune Network Clustering with Reduced Features / Murad Abdo Rassam, Mohd. Aizaini Maarof, Anazida Zainal // Int. J. Advance. Soft Comput. Appl. – 2010. – Vol. 2, № 3. – P. 244–263.

USA, 2010. – P. 142–147.

43.      Detecting anomalous network traffic with self-organizing maps / M. Ramadas, S. Ostermann, B. Tjaden // Springer: Lecture Notes in Computer Science. – 2003. – Vol. 2820. – Р. 36–54.

I. Saroit // Proceedings of the 5th international conference INFO2007. – [Електронний ресурс]. – Режим доступу: http://www.academia.edu/1419323/ Artificial_Neural_Networks_Architecture_For_Intrusion_Detection_Systems_and_Classification_of_Attacks.

№ 5. – P. 2335–2339.

49.      Комар М.П. Нейромережевий метод ідентифікації комп’ютерних атак / М.П. Комар // Оптико-електронні інформаційно-енергетичні технології. – 2010. – №2. – С. 105–109.

Інтелектуальна інформаційна технологія виявлення
мережевих атак у системі реального часу / М.П. Комар // Радіоелектронні і комп’ютерні системи. – 2011. – № 4(52). – С. 92-98.

Метод построения совокупного классификатора трафика информационно-телекоммуникационных сетей для иерархической классификации компьютерных атак / М.П. Комар // Системи обробки інформації. – 2012. – №3(101). – С. 134–138.

. Principles of neural network artificial immune system design to detect attacks on computers / V. Golovko, M. Komar, A. Sachenko // Proceedings of the X^th International Conference «Modern Problems of Radio Engineering, Telecommunications and Computer Science» (TCSET’2010). – Lviv-Slavsko (Ukraine), 2010. – P. 237.

М.П. Інтелектуалізована інформаційна технологія виявлення комп’ютерних атак / М.П. Комар, Д.І. Боднар, А.О. Саченко // Вимірювальна та обчислювальна техніка в технологічних процесах. – 2010. – №2. – С. 133–137.

Prague (Czech Republic), 2011. – V1. – Р. 374-377.

V. Evolution of Immune Detectors in Intelligent Security System for Malware Detection / V. Golovko, S. Bezobrazov, V. Melianchuk, M. Komar // Proceedings of the 6th IEEE International Conference on Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications (IDAACS-2011). – Prague (Czech Republic), 2011. – V1. – Р. 722–726.

Нейросетевой подход к обнаружению компьютерных атак на информационные ресурсы / М.П. Комар, И.О. Палий, Р.П. Шевчук, Т.Б. Федысив // Інформатика та математичні методи в моделюванні. – 2011. – Т. 1, №2. – С. 156–163.

Інтеграція нейромереж та штучних імунних систем для виявлення комп’ютерних атак / М.П. Комар, А.О. Саченко, В.А. Головко, Т.Г. Фортуна // Матеріали І-ої Міжнародної науково-технічної конференції «Захист інформації і безпека інформаційних систем». – Львів (Україна), 2012. – С. 108–109.

Komar, V. Golovko, O. Lyashenko, A. Sachenko // Proceedings of the XX Ukrainian-Polish conference «CAD in Machinery Design. Implementation and Educational Issues» (CADMD 2012. – Lviv, Ukraine, 2012. – P. 80–82.

. Спосіб виявлення комп’ютерних атак нейромережевою штучною імунною системою / Комар М.П., Саченко А.О., Головко В.А., Безобразов С.В.; заявник і патентовласник Тернопільський національний економічний університет. – № u201205349 ; заявл. 28.04.12 ; опубл. 12.11.12, Бюл. № 21.

издание / В.Г. Олифер, Н.А. Олифер. – СПб: Питер, 2010. – 943 с.

: НД ТЗІ 1.1-003-99 . – [Чинний від 01.07.99]. – К.: – ДСТСЗІ СБ України, 1999. – 24 с. – (Нормативний документ).

ний ресурс] – Режим доступу : http://web-protect.net/attack.htm.

. – М. : Солон – Р, 2005. – 368 с.

Г.А. Безопасность автоматизированных информ