Система обнаружения вторжений с использованием нечеткого вывода

СОДЕРЖАНИЕ

Введение

Актуальность разрабатываемой методики

1. Анализ структуры систем обнаружения вторжений

1.1 Структура системы обнаружения вторжений

1.2 Классификация систем обнаружения вторжений от ФСТЭК

1.3 Направления и группы методов обнаружения вторжений

1.4 Анализ методов обнаружения аномалий

1.5 Недостатки существующих систем обнаружения

1.6 Анализ базы данных сетевых атак UNSW-NB15. Характеристики и признаки

1.7 Выводы

2. Разработка алгоритма обнаружения вторжений с использованием нечеткого вывода

2.1 Выводы

3. Реализация алгоритма обнаружения вторжений с использованием нечеткого вывода

1.1 Метод центра тяжести.

3.2 Выводы

2. Оценка качества работы системы обнаружения вторжений с использованием нечеткого вывода путем имитационного моделирования

4.1 Выводы

Заключение

5. Список литературы

Приложение

Список литературы

1) Городецкий В.И., Котенко И.В., Карсаев О. В., Хабаров А.В. Многоагентные технологии комплексной защиты информации в телекоммуникационных системах. ISINAS – 2000. Труды. – СПб., 2000.

2) D. Denning, An Intrusion Detection Model. // IEEE Transactions on Software Engineering, v. SE-13, № I, 1987, pp. 222-232,

3) J. Allen, A. Christie, W. Fithen, J. McHuge, J. Pickel, E. Stoner, State of Practice of intrusion detection technologies // Technical Report CMU/SEI-99-TR-028. Carnegie Mellon Software Engineering Institute. 2000,

4) Yao, J. T., S.L. Zhao, and L.V. Saxton, “A Study On Fuzzy Intrusion Detection”, In Proceedings of the Data Mining, Intrusion Detection, Information Assurance, And Data Networks Security, SPIE, Vol. 5812, pp. 23-30, Orlando, Florida, USA, 2005.

5) Wang Z: Deep learning-based intrusion detection with adversaries. IEEE Access. 2018;6:38367–384.

6) Ingre B, Yadav A. Performance analysis of NSL-KDD dataset using ANN. In: 2015 international conference on signal processing and communication engineering systems, IEEE; 2015. pp. 92–6.

7) Janarthanan T, Zargari S. Feature selection in UNSW-NB15 and KDDCUP’99 datasets. In: 2017 IEEE 26th international symposium on industrial electronics (ISIE). IEEE; 2017. pp. 1881–1886.

8) UNSW-NB15, Intrusion Detection Dataset. https://www.unsw.adfa.edu.au/unsw-canberra-cyber/cybersecurity/ADFA-NB15-Datasets/. Accessed 26 Sept 2020.

9) Бахрушин В. Е. Методы оценивания характеристик нелинейных статистических связей // Системные технологии. — 2011.

10) Городецкий В.И., Котенко И.В., Карсаев О. В., Хабаров А.В. Многоагентные технологии комплексной защиты информации в телекоммуникационных системах. ISINAS – 2000. Труды. – СПб., 2000.

11) J. Allen, A. Christie, W. Fithen, J. McHuge, J. Pickel, E. Stoner, State of Practice of intrusion detection technologies // Technical Report CMU/SEI-99-TR-028. Carnegie Mellon Software Engineering Institute. 2000,

12) D. Denning, An Intrusion Detection Model. // IEEE Transactions on Software Engineering, v. SE-13, № I, 1987, pp. 222-232,

13) R. Heady, G. Luger, A. Maccabe, M. Servilla. The Architecture of a Network Level Intrusion Detection System. // Technical report, Department of computer since, University of New Mexico, August 1990.

14) D. Anderson et al. Next Generation Intrusion Detection Expert System (NIDES). // Software Design, Product Specification and Version Description Document, Project 3131, SRI International, July 11, 1994.

15) С.А. Терехов. Байесовы сети // Научная сессия МИФИ – 2003, V Всеросийская научно - техническая конференция «нейроинформатика-2003»: лекции по нейроинформатике. Часть 1.-М.:МИФИ, 2003.-188с

16) H. Debar, M. Becker,D. Siboni. A neural network component for intrusion detection systems // In proceeding of the 1992 IEEE Computer Society Symposium on Research in Security and Privacy, pages 240 – 250, Oakland, CA, USA, May 1992.

17) K. Cheng. An Inductive engine for the Acquisition of temporal knowledge. // Ph. D. Thesis, Department of computer science, university of Illinois at Urbana-Champain 1988.

18) P. A. Porras, P.G. Neumann, EMERLAND: Event Monitoring Enabling Response to Anomalous Live Disturbance // Proceeding of the IEEE Symposium on Research in Security and Privacy, Oakland, CA, May 1997.

19) K. Ilgun, R.A. Kemmerer, P.A. Porras, State Transition Analysis: A Rule-Based Intrusion Detection System // IEEE Trans. Software Eng. vol. 21, no. 3, Mar. 1995.

20) K. Ilgun, USTAT: A Real-time Intrusion Detection System for UNIX // Proceeding of the IEEE Symposium on Research in Security and Privacy.

21) T. Heberlein, G Dias, K. Levitt, B. Mukherjee, J. Wood. A network security monitor. // In Proceeding of the 1990 IEEE Symposium on Research in Security and Privacy, pages 296 – 304.

22) T.D. Garvey, T.F. Lunt, Model-based Intrusion Detection // Proceeding of the 14 th Nation computer security conference, Baltimore, MD, October 1991.

23) J.P. Anderson, Computer Security Threat Monitoring and Surveillance // James P. Anderson Co., Fort Washington, PA, April. 1980.

24) Sandeep Kumar, Eugene H. Spafford. An application of pattern matching in intrusion detection // Technical Report CSD-TR-94-013, The COAST Project, Dept. Of Computer Sciences, Purdue University, West Lafayette, IN, USA, 17 june 1994.

25) Vern Paxon. Bro: A system for detection network intruders in real time // Proceeding of the 7 th USENIX Security Symposium, San Antonio, TX, USA, January 1998.

26) MIT Lincoln Lab. 1999 DARPA Data Sets. - 1999. - URL: http://www.ll.mit.edu/IST/ideval/data/1999/1999_data_index.html. 

27) Mahoney M.V. PbPHAD: Packet Header Anomaly Detection for Identifying Hostile Network Traffic. Tech. rep. Florida CS-2002-4 (April 2002).

28) Solahuddin Michael E. Woodward. Modeling Protocol Based Packet Header Anomaly Detector for Network and Host Intrusion Detection Systems / Dep. of Computing, School of Inf. Un. of Bradford, U.K. - January 2008.

29) McLeod J., Aickelin U. Danger theory: the link between AIS and IDS // Proc. ICARIS-2003: 4nd International Conf. on Artificial Immune Systems. - 2003. - P. 130-160.

30) Mahboubian M., A naturally inspired statistical intrusion detection model // Proc. of ICINC. - Malaysia, 2010.

31) Mahboubian M. A novel intrusion detection model based on combination of artificial immune system and data mining approaches // Proc. WEC-2010. - Malaysia, 2010.

32) Li X., Duan S.R. The anomaly intrusion detection based on immune negative selection algorithm // Proc. IEEE International Conference on Granular Computing. - 2009.

33) Shamsuddin S.B. Applying knowledge discovery in database techniques in modeling packet header anomaly intrusion detection systems // Journal of Software. - 2008. - Vol. 2, № 9.

34) Stolfo S.J. Anomalous Payload-based Network Intrusion Detection // Heidelberg. - 2004. - Vol. 3. - P. 190-240.

35) Chan P.K. Learning Rules for Anomaly Detection of Hostile Network Traffic // Proc. of the 3rd IEEE Int. Conf. on Data Mining. - 2003.

36) Marin G.A. Modeling Networking Protocols to Test Intrusion Detection Systems // LCN 2005. IEEE Intern. Conf. on Local Comp. Net. - 2005.

37) Detection of Novel Network Attacks Using Data Mining / L. Ertoz, E. Eilertson, A. Lazarevic, P.N. Tan, P. Dokas, V. Kumar, J. Srivastava // Proc. of SIAM Conf. Data Mining. - 2003.

38) Etalle D., Zambon P. POSEIDON: A 2-Tier Anomaly Based IDS // IWIA 2006. Proc. 4th IEEE Intern. Workshop on Inform. Assurance. - 2006. - P. 140-160.

39) Vliet F.V. Turnover Poseidon: Incremental Learning in Clustering Methods for Anomaly based Intrusion Detection // Proc. 20th Stud. Conf. on IT, University of Twente. - 2006.

40) Couto D., Popyack S. ADAM: Detecting intrusions by data mining // Proc. of the IEEE Workshop on Inform. Assurance and Security. - 2001.

41) Tian C., Huang S. Applying Genetic Programming to Evolve Learned Rules for Network Anomaly Detection // ICNC 2005. LNCS. - Heidelberg, 2005. - Vol. 3. - P. 290-350.

42) Mohammad Mahboubian. An alert fusion model inspired by artificial immune system // Conf.: Cyber Security, Cyber Warfare and Digital Forensic, IEEE, Malaysia. - July 2012. DOI: 10.1109/CyberSec.2012.6246083

43) ГОСТ Р ИСО/МЭК. 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий / М.: Стандартинформ, 2007. 18 с.

44) Kopyrin A.S., Simavoryan S.Zh., Simonyan A.R., Ulitina E.I. The methodology of risk analysis in assessing information security threats // Modeling of Artificial Intelligence. 2017. № 4-2. С. 78-85.  

45) Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Makarova I.L., Simonyan R.A. Сreating the conditions for the theoretical and practical solution of the problem of automated intelligent search for the attacker's image in ADPS // Modeling of Artificial Intelligence. 2016. № 3 (11). С. 166-176.  

46) Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Simonyan R.A. Research of the intellectual antagonism of malefactors and service of information security in the ADPS // Modeling of Artificial Intelligence. 2015. № 1 (5). С. 33-41.  

47) Симаворян С.Ж., Симонян А.Р., Ивановна У.Е., Симонян Р.А. Системный подход к проектированию интеллектуальных систем защиты информации // Известия Сочинского государственного университета. 2013. № 4-2 (28). С. 128-132.

48) Бабошин В.А., Васильев В.А., Голубев В.Е. Обзор зарубежных и отечественных систем обнаружения компьютерных атак // Информация и космос. 2015. № 2. С. 36-41.  

49) Симаворян С.Ж., Симонян А.Р., Кочконян Р.Э. Задача обнаружения злоумышленных действий в АСОД с помощью нейронных сетей // В сборнике: Актуальные задачи математического моделирования и информационных технологий Материалы Международной научно-практической конференции. 2017. С. 94-96.  

50) Samarin V.I., Simavoryan S.Zh., Simonyan A.R., Ulitina E.I Information security in neural-networked queuing systems // Russian Journal of Mathematical Research. Series A. 2017. № 3-2. С. 49-61.  

51) Герасименко В.А., Малюк А.А. Основы защиты информации / В.А. Герасименко - М.: Известия, 1997.

52) Штеренберг С.И. Обнаружение вторжений в распределенных информационных системах на основе методов скрытого мониторинга и анализа больших данных // дис.. канд. техн. наук: 05.13.19 / Станислав Игоревич Штеренберг; Санкт - Петербург, гос. ун-т. - СПБ., 2018. - 180 л

53) Шокин Ю.И. Распределенные информационные системы / А. М. Федотов // Вычислительные технологии - 1998. Т. 3. № 5 - С. 79-93.  E

54) Needham R. M. Using Encryption for Authentication in Large Networks of Computers / Schroeder M. D // Communications of the ACM 21(12) - 1978, pp. 993-999.

55) Cisco Firepower NGIPS [Электронный ресурс], - USA: Cisco Systems - 2019. - Режим доступа: https://www.cisco.com, свободный. - Загл. сэкрана.

56) Красов, А.В. Обеспечение безопасности передачи multicast-трафика в ip-сетях / Красов А.В., Сахаров Д.В., Ушаков И.А., Лосин Е.П.// Защита информации. Инсайд. 2017. № 3 (75). С. 34-42.

57) Билятдинов, К.З. Теория информационных процессов и систем / К.З. Билятдинов, А.В. Красов, В.В. Меняйло, А.И. Пешков, А.Н. Карпов - Учебное издание, Санкт-Петербург, 2019.  

58) Душин, С.Е. Моделирование систем управления, учебное пособие для студентов высших учебных заведений, обучающихся по направлению 220400 "Управление в технических системах" /С. Е. Душин, А. В. Красов, Н. Н. Кузьмин - под ред. С. Е. Душина. Москва, 2012.

59) Душин, С.Е. Синтез структурно-сложных нелинейных систем управления /Душин С.Е., Красов А.В., Кузьмин Н.Н., Яковлев В.Б. //Системы с полиномиальными нелинейностями, Санкт-Петербург, 2004.  

60) Lavrova D.S., Alekseev I.V., Shtyrkina A.A. Security Analysis Based on Controlling Dependences of Network Traffic Parameters by Wavelet Transformation. Automatic Control and Computer Sciences, vol. 52, no. 8, 2018, pp. 931-935.

61) Karthick N.G., Kalrani A.X. A Survey on Data Aggregation in Big Data and Cloud Computing. International Journal of Computer Trends and Technology (IJCTT), vol. 17, no 1, 2014, pp 28-32.

62) Брюховецкий А.А., Скатков А.В. Применение моделей искусственных иммунных систем для решения задач многомерной оптимизации // Оптимiзацiя виробничих процесiв. 2010. № 7. С. 119-122.

63) Власов П.А., Гагаринский В.Ю. Искусственные иммунные системы в задачах защиты информации. М.: Горячая линия-Телеком, 2018. 184 с.

64) Овасапян Т. Д. Использование аппарата нейронных сетей для выявления внутренних нарушителей в VANET-сетях / Т. Д. Овасапян, Д. А. Москвин, Д. В. Иванов // 27-я научно-техническая конференция методы и технические средства обеспечения безопасности информации, Санкт-Петербург, Россия, 24-27 сентября 2018 года. - 2018. - C. 22.

65) Maayan G. The IoT Rundown For 2020: Stats, Risks, and Solutions. 2020. - [Электронный ресурс]. URL: https://securitytoday.com/Articles/2020/01/13/The-IoT-Rundown-for-2020.aspx? Page=1 (дата обращения: 25.09.2021).

66) Белов Э.В. Применение нейронной сети для обнаружения сетевых атак / Э. В. Белов, М. В. Масленников, А. Г. Коробейников // Научно-технический вестник информационных технологий, механики и оптики. - 2007. - № 40. - C. 206-209.

67) Большев А. К. Применение нейронных сетей для обнаружения вторжений в компьютерные сети / А. К. Большев, В. В. Яновский // Вестник СПбГУ. Серия 10. Прикладная математика. Информатика. Процессы управления. - 2010. - № 1. - С. 129-135.

68) Coull S. et al. Intrusion detection: a bioinformatics approach // Proc. 19th Ann. Comput. Secur. Appl. Conf., Las Vegas, USA, 8-12 December 2003. - IEEE, 2003. - P. 24-33. -. DOI: 10.1109/CSAC.2003.1254307

69) Мустафаев А. Г. Нейросетевая система обнаружения компьютерных атак на основе анализа сетевого трафика / А. Г. Мустафаев // Вопросы безопасности. - 2016. - № 2. - С. 1-7. -. DOI: 10.7256/2409-7543.2016.2.18834

70) Информационные технологии для критических инфраструктур: моногр./Под ред. А.В. Скаткова. -Севастополь: СевНТУ, 2012. -306 с.

Функции потока: эта группа включает атрибуты идентификатора между хостами, такие как клиент-обслуживаемый или сервер-клиент.
Базовые функции: эта категория включает атрибуты, которые представляют соединения протоколов.
Функции содержимого: эта группа инкапсулирует атрибуты TCP / IP; также они содержат некоторые атрибуты httpservices.
Характеристики времени: эта категория содержит атрибуты времени, например, время прибытия между пакетами, время начала / окончания пакета и время приема-передачи по протоколу TCP.
Дополнительные сгенерированные функции: эта категория может быть и далее разделены на две группы: (1) Функции общего назначения (с номерами 36-40), каждая из которых имеет свое собственное назначение, чтобы защитить службу протоколов. (2) Функции подключения (с номера 41-47) построены из потока 100 подключений записей в порядке следования последней функции.