Виявлення кібератак та підвищення інформаційної безпеки на основі технології нейронних мереж в умовах кібервійни
Короткий аналіз методів машинного навчання та нейромережевих технологій, які використовуються для виявлення аномалій. Опис алгоритму та фрагментів програмної реалізації. Дослідження критичних систем інформаційної інфраструктури в умовах кібервійни.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | украинский |
Дата добавления | 29.09.2023 |
Размер файла | 1,6 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
Вінницький національний аграрний університет
Виявлення кібератак та підвищення інформаційної безпеки на основі технології нейронних мереж в умовах кібервійни
Лебідь Олександр Васильович,
асистент кафедри комп'ютерних наук та економічної кібернетики
Кіпоренко Світлана Сергіївна,
асистент кафедри комп'ютерних наук та економічної кібернетики
Вовк Валерія Юріївна,
аспірантка, асистент кафедри комп'ютерних наук та економічної кібернетики, науковий співробітник наукових тематик
м. Вінниця
Анотація
Сучасний світ рухається до того, що скоро неможливо буде обійтись без інтелектуальних систем інформаційної безпеки. Також стрімко зростає і перелік завдань інформаційної безпеки, вирішуваних із використанням інтелектуальних методів та засобів.
Найбільш актуальним завданням у сфері інформаційної безпеки, яка використовує методи та засоби штучного інтелекту, є виявлення вторгнень та атак на автоматизовані системи. Як свідчить існуючий досвід, досягнення прийнятних рівнів захисту інформаційних ресурсів від атак на систему не завжди можлива на основі існуючих алгоритмів та програмно-апаратних рішень. Сучасні ж засоби з виявлення атак повинні включати в себе, принаймні як складової частини, інтелектуальні підсистеми. Основою ж для цих підсистем є штучні нейронні мережі.
Обмін інформацією нині стає найактивнішою діяльністю у світі. Широке використання можливостей всесвітньої мережі, зростання та інтеграція корпоративних мереж у глобальні мережі загострює проблему інформаційній безпеці. Небезпека для корпоративної мережі з боку внутрішніх користувачів зростає. Проблема інформаційної безпеки виявлення кібератак є досить актуальною і пов'язана з наявністю вразливостей.
У статті подано короткий аналіз методів машинного навчання та нейромережевихтехнологій, які використовуються для виявлення аномалій. Було викладено матеріал щодо використання нейромережевих технологій у системах інформаційної безпеки. Запропоновано метод вирішення цього завдання на основі нейромереж з LSTMта FFNархітектурами. Наведено опис алгоритму та фрагментів програмної реалізації вказаного методу. Отримані в ході експериментів результати свідчать про можливість та доцільність застосування даного підходу для виявлення програмно-технічних впливів на критичні системи інформаційної інфраструктури в умовах кібервійни у масштабі часу, близькому до реального з високим рівнем достовірності.
Ключові слова: інформаційна безпека, кібератака, кібервійна, нейронні мережі, вразливість, програмне забезпечення, алгоритм.
Abstract
LebidOleksandrVasyliovych Assistant of the Department of Computer Sciences and Economic Cybernetics, Vinnytsia National Agrarian University, Vinnytsia,
KiporenkoSvitlanaSergiyivna Assistant of the Department of Computer Sciences and Economic Cybernetics, Vinnytsia National Agrarian University, Vinnytsia, 21008,
VovkValeriiaYuriivna Postgraduate student, assistant of the Department of Computer Sciences and Economic Cybernetics, researcher of scientific topics, Vinnytsia National Agrarian University, Vinnytsia,
Detecting cyber attacks and improving information security based on technology of neural networks in the conditions of cyberwar
The modern world is moving towards the fact that soon it will be impossible to do without intelligent information security systems. The list of information security tasks solved using intelligent methods and tools is also growing rapidly.
The most urgent task in the field of information security, using methods and tools of artificial intelligence, is the detection of intrusions and attacks on automated systems. As the existing experience shows, it is not always possible to achieve acceptable levels of protection of information resources from attacks on the system based on existing algorithms and software and hardware solutions. Modern tools for detecting attacks should include, at least as an integral part, intelligent subsystems. The basis for these subsystems are artificial neural networks.
The exchange of information is now becoming an active activity in the world. The widespread use of the world wide web, the growth and integration of corporate networks into global networks exacerbates the problem of information security. The danger of the corporate network from internal users is growing. The problem of information security of detecting cyber attacks is quite relevant and is associated with the presence of vulnerabilities.
The article presents a brief analysis of machine learning methods and neural network technologies that are used to detect anomalies. Material on the use of neural network technologies in information security systems was presented. A method for solving this problem based on neural networks with LSTM and FFN architectures is proposed. A description of the algorithm and fragments of the software implementation of this method is presented. The results obtained during the experiments indicate the possibility and expediency of using this approach to identify software and hardware impacts on critical systems of information infrastructure in a cyber war on a time scale close to real with a high level of reliability.
Keywords: information security, cyber attack, cyberwar, neural networks, vulnerability, software, algorithm.
Основна частина
Постановка проблеми. Сучасні наукові досягнення у таких галузях інформатики, як математичне моделювання стану зовнішнього світу, штучний інтелект, теорія прийняття рішень, обробка зображень, сигналів і сцен розпізнавання образів, оптимальне управління та інших дозволяють говорити про реальну можливість переходу до нового покоління засобів інформаційного захисту - інтелектуальних систем інформаційної безпеки. Стрімко зростає і перелік завдань інформаційної безпеки, які вирішуються з використанням інтелектуальних методів та засобів. Першим найбільш актуальним завданням у сфері інформаційної безпеки, яке потребує використання потужного арсеналу методів та засобів штучного інтелекту, є виявлення кібератак на автоматизовані інформаційні системи в умовах кібервійни.
Останні геополітичні події серйозно переформатувалиIT-галузь. З 24 лютого 2022 року українські організації, незалежно від їхньої величини, піддаються безпрецедентним за своїм розмахом та інтенсивністю кібератакам. Зловмисники атакують буквально все, до чого можуть дістати, орієнтуючись на українські IP-адреси. Найбільшого поширення набули DDoS-атаки, злом великих компаній із подальшою крадіжкою інформації, а також дефейс популярних ресурсів. Під прикриттям шквалу масових атак, продовжують діяти кіберзлочинці, націлені на великі компанії (державний сектор, банківську сферу, паливно-енергетичний комплекс, інформаційну галузь, наукові інститути та організації тощо).
У даний час технології машинного навчання та нейромереж застосовуються для вирішення безлічі завдань класифікації, прогнозування та прийняття рішень. У системах кіберзахисту ці технології використовуються для виявлення закономірностей у поведінці систем, виявлення аномальної поведінки та протидії комп'ютерним атакам.
Аналіз останніх досліджень і публікацій. Опис прикладів та способів застосування нейромережевих технологій для виявлення загроз інформаційній безпеці представлено в низці наукових робіт зарубіжних та вітчизняних науковців: LiuHuaYeo, XiangtongChe, ShaliniLakkaraju [1], JainG., SharmaM., AgarwalB. [2]. Хорошко В.О., Ткач Ю.М., Шелест М.Є. [3], Довбиш А.С., Ободяк В.К., Шелехов І.В. [4], Рогоза П., Єсін В. [5], Курбан О.В. [6] та ін.
Мета статті - розробити модельне, алгоритмічне та програмне забезпечення для виявлення в режимі реального часу спроб порушення коректного функціонування систем критичної інформаційної безпеки в умовах кібервійни.
Виклад основного матеріалу. У матеріалах, опублікованих американською компанією CheckPoint5, сказано, що 2022 рік почався з масованої експлуатації однієї з найсерйозніших вразливостей в Інтернеті - Apachelog4jі продовжився повномасштабною кібервійною з початком «російської спеціальної військової операції» в Україні. Також зазначається, що основними цілями атак є сектор освіти та досліджень, зростання яких склало 53% порівняно з 2 кварталом 2021 року, в середньому відбулось понад 2,3 тис. атак на такі організації щотижнево. Наступними за кількістю здійснених кібератак є урядовий та військовий сектори, де у середньому протягом тижня відбувалося 1,6 тис. атак, що на 44% більше у порівнянні з аналогічним періодом 2021 року. Далі йдуть сектори інтернет-провайдерів та MSP, охорони здоров'я та зв'язку - у середньому на організації такого типу припадає 1,3 тис. атак на тиждень, що вдвічі перевищує показник 2021 року [7].
У публікаціях Європейського агентства з кібербезпеки (EuropeanUnionAgencyforCybersecurity, ENISA) зазначено, що все більш активну участь у розробці та застосуванні кіберзброї приймають урядові організації та спецслужби [8].
У відомих підходах до процесу виявлення мережевих кібератак у локальних мережах використовують деяку форму аналізу на основі правил, які ґрунтуються на наборі заздалегідь сформованих рекомендацій, наданих адміністратором чи автоматично створених системою. Однак, такі системи правил вимагають постійного оновлення для того, щоб залишатися актуальними, при чому час до застосування правил оновлення системи є досить невизначеним. Вони страждають і від нездатності виявляти сценарії кібератак, які можуть відбуватися протягом тривалих періодів часу. Будь-який поділ кібератаки або в часі, або серед кількох, незв'язаних між собою систем, значно ускладнює її виявлення із використанням цих методів.
Постійне вдосконалення технологій та засобів реалізації кібератак щодо критичних систем інформаційної безпеки в умовах кібервійни зумовлює нагальну необхідність створення адекватних чи переважаючих методів та засобів захисту від них. Сьогодні для захисту критичних систем інформаційної інфраструктури (далі - КСІІ) від програмно-технічних впливів (далі - ПТВ) використовуються міжмережові екрани (далі - МЕ), системи виявлення та попередження вторгнень (IDS/IPS), системи запобігання втраті даних (DLP, DataLossPrevention), системи управління подіями інформаційної безпеки (SIEM, Securityinformationandeventmanagement), антивіруси та інше.
Сучасні методи виявлення програмно-технічних впливів, що призводять до інцидентів інформаційної безпеки, можна розділити на дві основні категорії: розпізнавання зловживань та виявлення аномалій. Методи
розпізнавання зловживань, які описуються за допомогою сигнатур відомих кібератак, мають високу точність та низький рівень хибних спрацьовувань, але не здатні виявляти кібератаки, для яких відсутні сигнатури. Методи виявлення аномалій дозволяють ідентифікувати раніше невідомі кібератаки, але мають високий рівень хибних спрацьовувань.
Нейронні мережі є альтернативою компонентам статистичного аналізу систем виявлення аномалій. Нейромережі дозволяють відслідкувати типові характеристики мережного трафіку та ідентифікувати статистично значущі відхилення від встановленого режиму роботи. Вони застосовуються як статистична система виявлення зловживання через їхню здатність до самонавчання. Більше того, нейромережу можна налаштувати так, щоб вона і надалі самостійно вдосконалювалася, постійно реагуючи на найменші зміни в локальній мережі.
Так, наприклад, методи розпізнавання образів, що базуються на сигнатурному аналізі, мають високу точність і низький рівень помилкових спрацьовувань, але вони нездатні виявляти кібератаки, в яких відсутні сигнатури. Методи виявлення аномалій дозволяють виявляти раніше невідомі кібератаки, проте мають високий рівень хибних спрацьовувань, зумовлених складністю розробки профілів нормальної поведінки контрольованих систем. Оптимальним рішенням може бути комплексне використання даних технологій із огляду на той факт, що результати, отримані за допомогою методів виявлення аномалій, можуть використовуватися для розробки нових сигнатур.
Найбільшою перевагою підходу, заснованого на аномаліях, є його здатність виявляти кібератаки нульового дня, оскільки він не залежить від використовуваної бази даних сигнатур, а дозволяє виявляти відхилення від нормальної поведінки. Поведінка кожної цільової системи є унікальною, тому підходи, засновані на виявленні аномалій, повинні використовувати індивідуальні профілі, які, у свою чергу, ускладнюють зловмиснику точне визначення того, які дії він може виконати, не викликаючи тривоги. Недоліками систем виявлення кібератак, заснованих на виявленні аномалій, в умовах кібервійни є: високий рівень хибнопозитивних результатів та необхідність формування профілів нормальної поведінки контрольованої системи [1].
На рис. 1. наведено класифікацію та коротку характеристику методів глибокого навчання, які використовуються для відстеження вторгнень за допомогою виявлення аномалій.
Рис. 1. Класифікація методів глибокого навчання, що використовуються для встановлення вторгнень за допомогою виявлення аномалій
нейромережевий програмний кібервійна безпека
На основі проведених досліджень було визначено, що технології DLдоцільно застосовувати на більших обсягах даних для неконтрольованого або напівкерованого вивчення та встановлення зв'язків та закономірностей у процесах та подіях, а також обґрунтовано такі характеристики якості методів виявлення кібератак на інформаційне середовище в умовах кібервійни, як точність (precision), чутливість (sensitivity), середнє гармонійне значення точності та відгуку (F1-score), крива ROC (receiveroperating) characteristic), що описує компроміс класифікатора між правильно-позитивними (truepositive) та хибно-позитивними (falsepositive) рішеннями, характеристика продуктивності AUC (areaundercurveROC), наведено характеристики точності MLі DLалгоритмів виявлення кібератак із бази даних NSL-KDD'99 [2].
У ряді джерел пропонується для виявлення аномалій за невідомими даними використовувати генеративно-змагальні мережі (Generative
AdversarialNetworks, GAN). Вказана модель застосовувалася для експериментального дослідження набору даних ботнетівISCX[9]. Окрім того, для виявлення аномалій застосовується модель на основі двоспрямованоїGAN (BiGAN), яка додатково проводить зворотне відображення реальних даних у прихований простір. Крім економії часу, BiGANсприяє більш ефективному вилученню ознак мережного трафіку. Ця модель на наборі даних KDDCup99 показує точність на 93,24% [10].
На основі опрацьованих публікацій було визначено, що одним із найбільш перспективних підходів до виявлення кібератак у режимі часу, близькому до реального, є використання рекурентних нейронних мереж (RecurrentNeuralNetwork, RNN) [10; 11]. Відмінною особливістю RNNє зворотній зв'язок, який дозволяє аналізувати послідовні дані, такі як тимчасові лави. Аналізуючи послідовність вимірювань різних параметрів поточного процесу, нейромережа навчається передбачати його стан у майбутніх періодах. Якщо передбачений стан RNNвідрізняється від поточного, реєструється аномалія. RNNзастосовується для бінарної та мультикласової класифікації наборів мережевих даних NSL-KDD. Недоліком стандартних RNNє проблеми зі зникненням градієнта та нестача пам'яті для використання інформації за попередні моменти часу [11].
Проведений аналіз показав, що одним із найперспективніших підходів до виявлення аномальної поведінки контрольованих КСІІ у режимі реального часу є застосування методів глибокого навчання, зокрема, рекурентних мереж LSTM. Основними проблемними є питання, пов'язані з побудовою профілів нормальної поведінки контрольованих систем, визначення параметрів та налаштування нейромережі, забезпечення її адаптованості до мінливих умов.
Нинішня ситуація вимагає негайної реакції та приведення систем інформаційних технологій (далі - IT) та інформаційної безпеки (далі - ІБ) у режим посиленого захисту.
У зв'язку з вторгненням російської федерації на територію України, загальна кількість звернень за сервісами захисту склала щонайменше третину від усіх запитів 2021 року, і продовжує зростати, велика кількість звернень надходить як від атакованих компаній, так і від тих, хто хоче підвищити рівень своєї захищеності, щоб не стати черговою жертвою.
На основі проведеного аналізу було досліджено алгоритм виявлення подій інформаційної безпеки (далі - ПІБ), зумовлених програмно-технічним впливом (далі - ПТВ) на КСІІ, за допомогою нейромереж з LTSMта FFNархітектурами. Ці нейромережі забезпечують вирішення завдання регресії, тобто прогнозування значень параметрів, що характеризують рівень небезпеки ПТВ для системи, яка зазнає кібератак. Розроблений на їх основі алгоритм забезпечує виявлення аномалій та ранніх ознак ПТВ, які можуть призвести до інцидентів інформаційної безпеки.
Під ПТВ розуміється цілеспрямований апаратно-програмний або програмний вплив, а також їх комбінація на КСІІ, які призводять до порушення процесу їх функціонування [6]. За допомогою нейромережі формується значення вихідної змінної, що характеризує рівень або ступінь небезпеки для КСІІ виявленого ПТВ в умовах кібервійни (табл. 1).
Таблиця 1. Рівень небезпеки для критичних систем інформаційної інфраструктури виявленого програмно-технічного впливу
№ з/п |
Рівень небезпеки |
Опис |
|
1 |
Не враховується |
короткочасне порушення в роботі інформаційної інфраструктури, що не впливає на процес передачі та обробки даних, спричинене поодинокими збоями |
|
2 |
Прийнятний |
порушення, які мають одиничний характер і не взаємопов'язані один з одним |
|
3 |
Небажаний |
порушення, що значно впливають на процес передачі або обробки даних, спричинені збоями |
|
4 |
Неприйнятний |
навмисні (у тому числі циклічні) програмно-технічні впливи на критичні системі інформаційної інфраструктури, що призводять до подій інформаційної безпеки |
Схема алгоритму виявлення аномальної поведінки систем, зумовлених програмно-технічними впливами на основі технології нейромереж представлена на рис. 2.
Рис. 2. Схема алгоритму аномальної поведінки систем із використанням технології нейромережі
Основними етапами алгоритму виявлення аномальної поведінки систем є:
- визначення набору вхідних змінних нейромережі, вихід числових значень які за встановлені межі трактуються як ознаки ПТВ та СІБ;
- збирання та отримання даних про контрольований об'єкт;
- навчання нейромережі;
- прогнозування та виявлення аномальної поведінки.
Працездатність алгоритму виявлення аномалій залежить від коректності вибору набору вхідних змінних нейромереж, вихід числових значень яких за встановлені межі трактується як ознаки ПТВ та СІБ. Алгоритм призначений для виявлення аномалій, викликаних ПТВ на вузол інформаційної інфраструктури, яка підтримує мережеві сервіси: сервер QoS, сервер прикладних служб HTTP, FTP, SMTP, SNMPта інші. Відповідно, як ознаки можуть використовуватися: кількість активних процесів; дані про активні (нові, віддалені, змінені) облікові записи користувачів; дані про мережеві з'єднання та запити; зміни у записах системних планувальників; дані про процеси та демони (запуск, зупинка); ступінь завантаженості процесора; дані щодо використання пам'яті. Аномальні зміни значень даних ознак сигналізують про несанкціоновану активність користувачів програмно - технічного впливу та функціонування шкідливого програмного забезпечення (далі - ШПЗ).
На етапі конфігурування алгоритму формується набір параметрів, необхідних для його успішного функціонування з врахуванням особливостей об'єкта, що підлягає аналізу. До основних параметрів відносяться: тимчасовий ряд, який характеризує ознаки ПТВ (один або кілька); граничні значення вихідної змінної, що відповідає за формування оповіщення про ПТВ або СІБ; варіанти функції втрат (lossfunction); процедури оптимізації (optimizationprocedure).
На початку експериментального відпрацювання доцільно використовувати стандартну функцію втрат, що є сумою квадратичних помилок (sumofsquarederrors, SSE). Для оптимізації використовуються оптимізатори RMSPropта Adam (AdaptiveMomentEstimation) з пакету Keras - відкрита нейромережна бібліотека, написана мовою Python. У процесі конфігурування формується структура нейромережі. Ця операція виконується відповідно до послідовності, прийнятої для бібліотеки, що використовуються, у нашому випадку Tensorflowта Keras [12; 13]
Бібліотека Kerasнадає можливість роботи з кількома типами RNN: шари класів keras.layers. SimpleRNN, keras.layers.GRU, keras.layers.LSTM. Для розв'язання завдання виявлення аномалій за допомогою прогнозування часового ряду використовуються шари LSTM. Навчання LSTMмережі здійснюється на тренувальному наборі, який включає один або кілька часових рядів відповідно до кількості вхідних параметрів нейромережі, представлених у вигляді пар вхідних та вихідних послідовностей.
У деяких ситуаціях виникає необхідність представлення наборів даних для двох рядів незалежних величин (два незалежні параметри) та однієї залежної величини із необхідністю прогнозування всіх трьох рядів. У цьому випадку модель LSTMмодифікується до багатовимірної моделі LSTMдля кількох серійних входів (MultipleInputSeries) або моделі LSTMдля декількох паралельних серій (MultipleParallelSeries) [12].
В обох випадках представлення наборів даних, вхідний шар мережі перетворюється відповідно до їх розмірності:
LSTM (units=32, activation='relu', input_shape=(n_steps, n_features)
У другому випадку модифікується і вихідний повнозв'язний шар відповідно до розмірності даних:
model.addELayer (Dense (n_features)),
n_features= X.shape - кількість вхідних незалежних рядів метрик; n_steps= 100 - кількість елементів у n-грамі [1].
При формуванні навчального та тестового набору даних проводиться нормалізація даних. Процедура нормалізації мовою Pythonвиглядає
наступним чином:
defnormalize(result): result_mean= result.mean() # обчислення середнього значення набору даних result_std= result.std() # обчислення стандартного відхилення result-= result_meanresult/= result_stdreturnresult, result_mean
Для перевірки працездатності алгоритму та коректності моделі нейромережі розроблено програму виявлення СІБ та ПТВ мовою Python3. У ході експериментів використовувалася нейромережа з архітектурою «стековаLSTM» з наступною структурою:
- кількість елементів у n-грамах - 100;
- кількість шарів - 3;
- перший шар за кількістю нейронів відповідає довжині вхідної послідовності (n-1), коефіцієнт перенавчання Dropout= 0,2;
- другий шар LSTM - 130 нейронів з коефіцієнтом перенавчання = 0,2;
- третій шар LSTM - 100 нейронів;
- вихідний шар, що складається з одного нейрона, повнозв'язний (клас Densely-connected) з лінійною функцією активації.
У результаті експериментів підтверджено, що дана структура нейромережі у процесі роботи алгоритму забезпечує вирішення задач прогнозування та виявлення аномалій для одного контрольованого параметра. Для обробки кількох параметрів необхідно змінити структуру нейромережі відповідно до наведених вище рекомендацій. При проведенні експериментів як вихідні дані були використані:
- тимчасовий ряд, що містить дані про завантаженість процесора протягом 660 секунд (дані отримані з середовища osqueryз використанням Python3bindings - osquery-python);
- тимчасовий ряд, який містить 660 значень, дані в якому відповідають часу відповіді сервера HTTP, що формується за нестандартним законом розподілу: у 2/3 випадків генеруються числа (0; 0,5) потім зменшується з ймовірністю (0,5; 1); аномальні дані відповідають розподілу Гауса в діапазоні (0,9; 1) [12].
Опис початкової структури LSTMмережі для реалізації алгоритму мовою Python3з використанням бібліотек Tensorflowта Kerasмає такий вигляд:
defgenerate_model(): model = Sequential()
# Перший шар відповідає довжині вхідної послідовності model.add (LSTM(input_shape=(sequence_
length - 1,1),
units=32, return_sequences=True)) model.add (Dropout(0.2)) # виняток перенавчання
# Другий шар LSTM із 128 нейронів model.add (LSTM(units=128, return_ sequences = True))
model.add (Dropout(0.2))
# Третій LSTM шар із 100 нейронів model.add (LSTM(units=100, return_ sequences = False))
model. add (Dropout(0.2))
# Повнозв'язний вихідний шар з лінійною ФА
model.add (Dense(units=1)) model.add (Activation('linear')) алгоритм оптимізації, функція втрат model.compile (loss='mean_squared_ error', optimizer='rmsprop') return model
Для формування навчального та тестового наборів передбачена функція split_sequence, вхідними параметрами для якої є: масив даних, що містить часовий ряд параметра, точка початку тренувального набору в масиві даних, точка закінчення тренувального набору, точка початку тестового набору, кінцева точка тестового набору. Нижче наведено фрагмент функції, в якому представлені
основні операції з формування тренувального та тестового наборів: train_end, test_start, test_end): result = [] # масив н-грам діапазон можна задати і як довжина дата мінус sequence_lengthforindexinrange (train_start, train_ end - sequence_length): result.append (data[index: index + sequence_length]) result = np.array(result)
result, result_mean = normalize(result) prin («Розмірність масиву ТН:», result.shape)
train = result [train_start:train_end,:] np.random. shuffle(train)
X_train = train[:,: - 1] y_train = train[:, -1]
# Аналогічно - формування тестового набору
X_test= resultt[:,: - 1] # Відділяємо вибірки від міток, ВИБІРКА y_test= resultt[:, -1] # МІТКИ
return X_wtrain, y_wtrain, X_wtest, y_ wtest
У ході перевірки працездатності моделі мережі в обох випадках набори формувалися наступною командою, що визначає їх розмірність:
X_train, y_train, X_test, y_test = prepare_data (rez, 0, 600, 400, 660)
Метод дозволяє реалізувати безперервний процес обробки даних у реальній системі виявлення ПТВ шляхом чергування циклів прогнозування (наприклад, побудова прогнозу на 60-хвилинний інтервал через кожні 30 хвилин) та тренування моделі за допомогою накопичених даних (використовуються дані за попередні 24 години). Порівняння прогнозованого значення параметра та його значення, що спостерігається, а також моніторинг статистичної метрики - індикатора аномалії, проводяться щохвилини. Необхідна тимчасова послідовність уточнюється та формується за результатами відпрацювання моделі на стенді. За результатами роботи програми було сформовано графіки, які відображають зміну часу значення контрольованої величини (рис. 3).
Рис. 3. Графіки часу відповіді сервера HTTPта Середньоквадратичного відхилення фактичного значення параметра від прогнозованого Джерело: побудовано авторами на основі проведених досліджень
Отже, судячи з графіка, модель нейромережі дозволяє однозначно фіксувати аномалію.
Як метрика-індикатор аномалії використовується значення середньоквадратичної помилки (далі - СКП), що характеризує ступінь відхилення виміряного фактичного рівня параметра від прогнозованого. Подані графіки дозволяють візуально визначити аномалію контрольованого параметра викиду значення метрики-індикатора, яке оцінюється на заданому часовому інтервалі (15-20 вимірювань, 15-20 секунд). З практики застосування статистичних метрик випливає, що відхилення метрики-індикатора більш ніж у 2-3 рази від середнього значення інтервал-прогнозу (160 тестових значень) є ознакою аномалії. Для виявлення аномалії в часовому ряду контрольованої величини (завантаження процесора, обсяг споживаної оперативної пам'яті та інше) при експериментальному відпрацюванні алгоритму можна використовувати стандартне відхилення і середнє абсолютне відхилення (medianabsolutedeviation - MAD).
Незважаючи на те, що очевидний тренд у зміні ознаки (час відповіді сервера HTTP) відсутній, тестовий та навчальні набори насичені викидами, квадратичне відхилення для нормалізованої величини коливається в інтервалі [0; 0,4].
Як вихідні дані для формування навчального та тестового набору використовується знову згенерований часовий ряд параметра часу відповіді сервера HTTPіз значними викидами та відсутністю тренду. Починаючи з 630 секунд у даних виявлена аномалія.
На рис. 4-5 представлені вихідні дані та результати повторного експерименту.
Рис. 4. Вихідний набір даних для формування тестової та навчальної вибірки (час відповіді сервера HTTP, 660 вимірів, 660 секунд)
Розглянута вище модель нейромережі є єдиною на вирішення завдань виявлення аномалій і програмно-технічних впливів. Проведені дослідження показали, що після закінчення процесу навчання нейромережі (950 епох) середньоквадратична помилка (MSE), яка використовується як функція втрат при навчанні нейромережі, склала 0,0004-0,0013, що свідчить про високий рівень налаштування нейромережі.
Рис. 5. Графіки часу відповіді сервера HTTPта Середньоквадратичного відхилення фактичного значення параметра від прогнозованого
На рис. 6 представлено, вихідний набір даних для формування тестової та навчальної вибірок, а також ступінь використання процесора в 660 вимірів. У дані внесена аномалія, починаючи з 600 секунди. При цьому є явний тренд у змінах значень ознаки.
Рис. 6. Вихідний набір даних для формування тестової та навчальної вибірок - ступінь використання процесора, 660 вимірів Джерело: побудовано авторами на основі проведених досліджень
На рис. 7 зображено результат моделювання роботи алгоритму зі зазначеною вище структурою мережі на наборі даних, які наведені на рис. 6.
Рис. 7. Результати моделювання роботи алгоритму виявлення аномалій із використанням FFNнейромережі
Результати проведених експериментів показали, що представлений у статті метод виявлення кібератак інформаційній безпеці за допомогою нейронних мереж в умовах кібервійни, його алгоритмічна та програмна реалізації дозволяють вирішити задачу виявлення аномальної поведінки контрольованих систем за допомогою прогнозування і моніторингу аналізованих параметрів, вихід значень яких за встановлені межі є ознакою ПТВ та СІБ. Важливою перевагою даного підходу є можливість адаптації нейромережі у разі зміни режиму та умов функціонування системи.
Російсько-українська війна з початку повномасштабного вторгнення показала, що кібератаки агресора збігаються з військовими атаками, тобто захоплення або знищення об'єктів критичної інфраструктури. Слід зазначити, що країна-агресор використовує хакерські атаки для підтримки свого масштабного наступу на Україну, поєднуючи зловмисне програмне забезпечення з ракетами в кількох атаках, зокрема на телевізійні станції та державні установи.
Загроза кібератак росії на українські системи та європейських партнерів залишається високою, оскільки концепція російської гібридної війни передбачає використання різноманітних впливів проти України.
Масова кібератака на українські державні установи та бізнес почалася задовго до військового вторгнення. За даними Міністерства цифрової трансформації України, з початком бойових дій 24 лютого 2022 року їх кількість подвоїлася з приблизно 200 на місяць до понад 400 [14]. У Держспецзв'язку та захисту інформації заявили, що кібератаки стали невід'ємною частиною ведення війни, що дістало назву кібервійни. Згідно з цими даними, з початку року рф запустила кілька сімейств шкідливого програмного забезпечення в Україні.
Загрози у кіберпросторі є найбільш серйозними для національної безпека України. Зараз кібербезпека є критичною проблемою в усіх аспектах економіки, політики, суспільства та армії. Проте, дана загроза є однією з найменш відомих і найбільш недооцінених. Тому необхідно розуміти, що кіберпростір є найважливішим театром бойових дій сьогодні. Боротьба за кібердомінування - і, як результат, здатність протистояти кібератакам - відкриває нову еру суперницьких відносин, які докорінно змінять характер і структуру збройних сил. Слід також зазначити, що кібербезпека не може бути досягнута на національному рівні. Це потребує спільних зусиль приватного сектору та бізнесу, а також міжнародної координації та співпраці в безпрецедентних масштабах.
Сьогодні, найточнішим методом виявлення кібеатак в інформаційному просторі в умовах кібервійни є метод, що ґрунтується на сигнатурному аналізі, який добре функціонує при виявленні вже відомих кібератак, але абсолютно не придатний для виявлення нових, раніше невідомих. І, як свідчить практика, саме нові, раніше невідомі кібератаки є причиною глобальних інформаційних катастроф і призводять до значних збитків.
Порівняно з традиційними нейронними мережами, перспективним є використання глибоких нейронних мереж із ефективним нелінійним перетворенням і представленням даних. Така мережа виконує глибоке ієрархічне перетворення вхідного простору. Завдяки багаторівневій архітектурі глибокі нейронні мережі дозволяють обробляти та аналізувати великі обсяги даних, а також моделюють когнітивні процеси у різних областях. Зараз більшість високотехнологічних компаній США (Microsoft, Google, Facebook, Baiduта інші) використовують глибокі нейронні мережі для проєктування різноманітних інтелектуальних систем. На думку вчених Массачусетського технологічного інституту, глибокі нейронні мережі увійшли до списку 10 найперспективніших високих технологій, здатних кардинально змінити повсякденне життя більшості людей на нашій планеті у найближчому майбутньому. Глибоке навчання стало однією з найбільш затребуваних сфер інформаційних технологій.
Висновки. Представлені у статті моделі, алгоритм та програмне забезпечення призначені для автоматизації процесів виявлення кібератак інформаційної безпеки та програмно-технічних впливів на КСІІ в умовах кібервійни. Метод та алгоритм реалізовані у вигляді програм мовами Python3 та Goз використанням пакетів Keras, Tensorflow, osquery, go-deep.
Результати експериментів підтвердили працездатність даного підходу та доцільність його застосування для виявлення кібератак у реальному часі. Реалізація даного методу дозволить підвищити оперативність виявлення програмно-технічного впливу та достовірність прийняття рішення про заходи щодо нейтралізації їх наслідків.
Напрямком подальших досліджень може бути повноцінна реалізація та налагодження даного методу мовою Goдля ОС AstraLinuxта проведення експериментів для вивчення та аналізу можливостей, характеристик та способів ефективного застосування різних типів нейромереж: LSTM, генеративно-змагальної нейромережі (GAN, generativeadversarialnetwork), керованого рекурентного блоку (GRU, gatedrecurrentunit) на вирішення завдання виявлення аномалій як реального часу.
Література
1. LiuHuaYeo, XiangtongChe, ShaliniLakkaraju. UnderstandingModernIntrusionDetectionSystems: A Survey. URL:https://arxiv.org/ftp/arxiv/papers/1708/1708.07174.pdf (дата звернення: 22.12.2022).
2. Jain G., Sharma M., Agarwal B. Optimizingsemantic LSTM forspamdetection. International Journal of Information Technology. 2019. Vol. 11 (2). P. 239-250
3. Khoroshko V.A., TkachYu.N., Shelest M.E. Multialternativedetectionofcyberatacsininformationnetworks. Ukrainian Scientific Journal of Information Security. 2021. Vol. 26, №3, P. 136-141. DOI: 10.18372/2225-5036.27.16001.
4. Сучасні інформаційні технології в кібербезпеці: монографія / А.С. Довбиш, В.К. Ободяк, І.В. Шелехов та ін.; за ред. В.К. Ободяка, І.В. Шелехова. Суми: СумДУ, 2021. 348 с.
5. Рогоза П., Єсін В. Використання нейронної мережі замість бази знань у експертній системі детектору зловмисного трафіку до веб-ресурсів. Комп'ютернінаукитакібербезпека. 2022. №1. С. 6-15. DOI: https://doi.org/10.26565/2519-2310-2022-1-01.
6. Курбан О.В. Сучасні інформаційні війни в мережевому он-лайнпросторі: навчальний посібник. Київ: ВІКНУ, 2016. 286 с.
7. Cyberdigesto. Огляд подій в сфері кібербезпеки. URL: https://www.rnbo.gov.ua / files/%D0% 9D % D0% 9A % D0% A6% D0% 9A/%D0% 9D % D0% 9A % D0% A6% D0% 9A-1/Cyber% 20digest_December_2022.pdf (дата звенення: 29.12.2022).
8. EuropeanUnionAgencyforCybersecurity (ENISA). URL: https://www.enisa.europa.eu/(дата звенення: 25.12.2022).
9. Yin C., Zhu Y., Liu S., Fei J., Zhang H. AnEnhancingFramework для BotnetDetectionUsingGenerativeAdversarialNetworks. 2018 International Conference on Artificial Intelligence and Big Data (ICAIBD). 2018. P. 228-234.
10. YangXin, MingchengGao, HaixiaHou. MachineLearningandDeepLearningMethodsforCybersecurity. URL: https://www.researchgate.net/publication/325159145 (дата звернення: 29.12.2022).
11. Yin C., Zhu Y., Fei J., He X. A DeepLearningApproachforIntrusionDetectionUsingRecurrentNeuralNetworks. IEEE Access. 2017. Vol. 5. P. 21954-21961.
12. JasonBrownleeHowtoDevelop LSTM ModelsforTimeSeriesForecasting. URL: https://machinelearningmastery.com/how-todevelop-lstm-models-for-time-series - forecasting/ (дата звернення: 10.01.2023).
13. Graves A. GeneratingSequenceswithRecurrentNeuralNetworks. UniversityofToronto. URL: https://arxiv.org/pdf/1308.0850v5.pdf (дата звернення: 10.01.2023).
14. Міністерство цифрової трансформації України. URL:https://thedigital.gov.ua/(дата звернення: 28.12.2022).
References
1. LiuHuaYeo, XiangtongChe, &ShaliniLakkaraju (2021). UnderstandingModernIntrusionDetectionSystems: A Survey. Retrievedfromhttps://arxiv.org/ftp/arxiv/papers/1708/ 1708.07174.pdf [inEnglish].
2. Jain, G., Sharma, M., &Agarwal, B. (2019). Optimizingsemantic LSTM forspamdetection. International Journal of Information Technology, 11 (2), 239-250. DOI: 10.1007/s41870-018-0157-5 [inEnglish].
3. Khoroshko, V.A., Tkach, Yu.N., &Shelest, M.E. (2021). Multialternativedetectionofcyberatacsininformationnetworks. Ukrainian Scientific Journal of Information Security, 26 (3), 136-141. DOI: 10.18372/2225-5036.27.16001 [inEnglish].
4. Obodiaka, V.K., &Shelekhova, I.V. (Eds). (2021). Suchasniinformatsiinitekhnolohii v kiberbezpetsi: monohrafiia [Modern information technologies in cyber security: monograph]. Sumy: SumDU [in Ukrainian].
5. Rohoza, P., &Yesin, V. (2022). Vykorystannianeironnoimerezhizamistbazyznan u ekspertniisystemidetektoruzlovmysnohotrafikudoveb-resursiv [Using a neuralnetworkinsteadof a knowledgebaseinanexpertsystemfordetectingmalicioustraffictowebresources]. Kompiuterninauky ta kiberbezpeka - Computer science and cyber security, 1, 6-15. DOI: https://doi.org/10.26565/2519-2310-2022-1-01 [inUkrainian].
6. Kurban, O.V. (2016). Suchasniinformatsiiniviiny v merezhevomu on-lain prostori: navchalnyiposibnyk [Modern information wars in the online network space: a tutorial]. Kyiv: VIKNU [in Ukrainian].
7. Cyberdigesto. Ohliadpodii v sferikiberbezpeky [Cyberdigesto. Overviewofeventsinthefieldofcybersecurity]. Retrievedfromhttps://www.rnbo.gov.ua/files/%D0% 9D % D0% 9A% D0% A6% D0% 9A/%D0% 9D % D0% 9A % D0% A6% D0% 9A-1/Cyber % 20digest_December_2022.pdf [inEnglish].
8. EuropeanUnionAgencyforCybersecurity (ENISA). Retrievedfromhttps://www.enisa.europa.eu/ [inEnglish].
9. Yin, C., Zhu, Y., Liu, S., Fei, J., &Zhang, H. (2018). AnEnhancingFramework для BotnetDetectionUsingGenerativeAdversarialNetworks. 2018 International Conference on Artificial Intelligence and Big Data (ICAIBD), 228-234 [inEnglish].
10. YangXin, MingchengGao, &HaixiaHou. MachineLearningandDeepLearningMethodsforCybersecurity. Retrievedfromhttps://www.researchgate.net/publication/325159145 [inEnglish].
11. Yin, C., Zhu, Y., Fei, J., &He, X. (2017). A DeepLearningApproachforIntrusionDetectionUsingRecurrentNeuralNetworks. IEEE Access, 5, 21954-21961 [inEnglish].
12. Brownlee, J. HowtoDevelop LSTM ModelsforTimeSeriesForecasting. Retrievedfromhttps://machinelearningmastery.com/how-todevelop-lstm-models-for-time-series-forecasting/ [inEnglish].
13. Graves, A. GeneratingSequenceswithRecurrentNeuralNetworks. UniversityofToronto. Retrievedfromhttps://arxiv.org/pdf/1308.0850v5.pdf [inEnglish].
14. MinisterstvotsyfrovoitransformatsiiUkrainy [MinistryofDigitalTransformationofUkraine]. thedigital.gov.ua. Retrievedfromhttps://thedigital.gov.ua/ [inUkrainian].
Размещено на Allbest.ru
...Подобные документы
Виявлення основних сутностей предметної області. Побудова схеми реляційної бази даних. Вбудовані процедури і тригери. Опис архітектури програмної системи і концептуальної моделі бази даних, програмної реалізації та інтерфейсу користувача додатку.
курсовая работа [4,3 M], добавлен 05.12.2012Застосування нейронних мереж при вирішенні різних технічних проблем. Архітектура штучних нейронних мереж. Дослідження штучного інтелекту. Гіпотеза символьних систем. Представлення за допомогою символів. Синтаксичний та семантичний аналіз розуміння мови.
курсовая работа [985,8 K], добавлен 14.01.2010Напрямки використання інформаційно-комунікаційних технологій в процесі навчання студентів. Визначення шляхів залучення комунікаційних мереж і сервісів в систему вищої освіти. Побудова функціонально-інформаційної та техніко-технологічної моделі деканату.
дипломная работа [6,4 M], добавлен 27.01.2022Місцезнаходження, опис приміщення інформаційного об’єкта. Закономірності організації інформаційної системи та локальної мережі, розташування технічного обладнання та використовуване програмне забезпечення. Методика оцінки ймовірності реалізації загрози.
курсовая работа [739,9 K], добавлен 08.06.2019Забезпечення захисту інформації. Аналіз системи інформаційної безпеки ТОВ "Ясенсвіт", розробка моделі системи. Запобігання витоку, розкраданню, спотворенню, підробці інформації. Дослідження та оцінка ефективності системи інформаційної безпеки організації.
курсовая работа [1,6 M], добавлен 27.04.2014Криптографія – математичні методи забезпечення інформаційної безпеки та захисту конфіденційності. Огляд існуючих методів пошуку нових алгоритмів шифрування. Розробка системи оцінки ефективності криптографічних систем. Найпоширеніші методи шифрування.
дипломная работа [1,2 M], добавлен 13.06.2015Схема виявлення атак на основі сигнатур. Сучасні тенденції у галузі розподілених систем виявлення комп’ютерних атак. Обґрунтування вибору програмного середовища та мови програмування для розробки підсистеми. Фізичне проектування бази даних підсистеми.
дипломная работа [2,2 M], добавлен 19.07.2014Структура сучасних систем виявлення вторгнень (СВВ), аналіз її методів і моделей. Характеристика основних напрямків розпізнавання порушень безпеки захищених систем в сучасних СВВ. Перелік недоліків існуючих СВВ та обґрунтування напрямків їх вдосконалення.
реферат [467,9 K], добавлен 12.03.2010Дослідження етапів розробки програмної реалізації криптографічного алгоритму RC5. Опис об'єкту, що потребує захисту: операційне середовище, тип програмного забезпечення. Блок-схема алгоритму функціонування програми криптозахисту. Листінг тесту програми.
курсовая работа [4,4 M], добавлен 28.10.2010Задача інформатики як науки, суть та складові частини інформації. Поняття та визначення інформаційної технології. Типова схема та функціонування інтелектуальних інформаційних систем. Рівні та структура інформаційної обчислювальної статистичної системи.
контрольная работа [215,0 K], добавлен 04.09.2010Опис предметної області по темі "Перевантаження методів". Методика розробки тестових завдань. Проектування та розробка програми. Опис елементів управління, які використовуються в проекті. Опис текстів процедур та опрацювання подій. Отримані результати.
курсовая работа [620,9 K], добавлен 06.08.2013Безпека Wi-Fi мереж, напрямки та шляхи її досягнення. Ключі безпеки Wi-Fi, їх характеристика та оцінка надійності: WEP (Wired Equivalent Privacy), (Wi-Fi Protected Access), 3WPA2 (Wi-Fi Protected Access 2). Злам мережі Wi-Fi на основі різних технологій.
курсовая работа [361,1 K], добавлен 19.05.2013Здійснення адміністративних заходів з метою формування програми робіт в області інформаційної безпеки і забезпечення її виконання. Основні рівні політики безпеки, структурування її програми та синхронізація з життєвим циклом інформаційного сервісу.
презентация [144,4 K], добавлен 14.08.2013Часовий ряд як сукупність значень будь-якого показника за декілька послідовних моментів або періодів часу. Знайомство з методами для прогнозування часового ряду за допомогою штучних нейронних мереж. Розгляд головних задач дослідження часового ряду.
контрольная работа [1,1 M], добавлен 14.09.2014Опис алгоритмів реалізації автоматизованої інформаційної системи обслуговування роботи торгового агента в середовищі програмування Delphi. Створення схем технологічного процесу введення, редагування і видачі результатів. Інсталяція і експлуатація проекту.
курсовая работа [118,4 K], добавлен 25.09.2010Місце та роль критеріїв інформаційної безпеки в виборі та комплектуванні апаратно-програмної конфігурації. Етапи та методика проектування бази даних, що відповідає вимогам політики безпеки, гарантованості, підзвітності та чіткої документованості.
курсовая работа [51,1 K], добавлен 26.02.2009Опис інформації, яка захищається, її властивості, особливості як об’єкта права власності. Визначення інформаційної системи досліджуваного об’єкта, опис ресурсів, потоків. Структурна схема інформаційної системи. Проведення аналізу захищеності об’єкта.
курсовая работа [616,7 K], добавлен 18.05.2011Інформаційна безпека як захист інтересів суб'єктів інформаційних відносин. Інформація - данні про людей, предмети, факти, події, явища і процеси незалежно від форми їхнього представлення. Об'єктно-орієнтований підхід и складові інформаційної безпеки.
реферат [97,7 K], добавлен 10.03.2009Методи вчинення кібератак, їх вплив на комп'ютерні системи в цілому і на окремі комп'ютери. Найкращий спосіб захисту від черв'яка - вжиття заходів запобігання несанкціонованому доступу до мережі. Принцип функціонування DoS-атаки. Шифрування даних ключем.
дипломная работа [1,2 M], добавлен 25.05.2016Дослідження ефективність існуючих методів і моделей експертного опитування й багатокритеріального вибору. Розробка інформаційної технології для багатокритеріального експертного вибору альтернатив для соціальних досліджень, оцінка її ефективності
автореферат [283,0 K], добавлен 11.04.2009