Виявлення кібератак та підвищення інформаційної безпеки на основі технології нейронних мереж в умовах кібервійни

Схема алгоритму виявлення аномальної поведінки систем, зумовлених програмно-технічними впливами на основі технології нейромереж представлена на рис. 2.

Рис. 2. Схема алгоритму аномальної поведінки систем із використанням технології нейромережі

Основними етапами алгоритму виявлення аномальної поведінки систем є:

- визначення набору вхідних змінних нейромережі, вихід числових значень які за встановлені межі трактуються як ознаки ПТВ та СІБ;

- збирання та отримання даних про контрольований об'єкт;

- навчання нейромережі;

- прогнозування та виявлення аномальної поведінки.

Працездатність алгоритму виявлення аномалій залежить від коректності вибору набору вхідних змінних нейромереж, вихід числових значень яких за встановлені межі трактується як ознаки ПТВ та СІБ. Алгоритм призначений для виявлення аномалій, викликаних ПТВ на вузол інформаційної інфраструктури, яка підтримує мережеві сервіси: сервер QoS, сервер прикладних служб HTTP, FTP, SMTP, SNMPта інші. Відповідно, як ознаки можуть використовуватися: кількість активних процесів; дані про активні (нові, віддалені, змінені) облікові записи користувачів; дані про мережеві з'єднання та запити; зміни у записах системних планувальників; дані про процеси та демони (запуск, зупинка); ступінь завантаженості процесора; дані щодо використання пам'яті. Аномальні зміни значень даних ознак сигналізують про несанкціоновану активність користувачів програмно - технічного впливу та функціонування шкідливого програмного забезпечення (далі - ШПЗ).

На етапі конфігурування алгоритму формується набір параметрів, необхідних для його успішного функціонування з врахуванням особливостей об'єкта, що підлягає аналізу. До основних параметрів відносяться: тимчасовий ряд, який характеризує ознаки ПТВ (один або кілька); граничні значення вихідної змінної, що відповідає за формування оповіщення про ПТВ або СІБ; варіанти функції втрат (lossfunction); процедури оптимізації (optimizationprocedure).

На початку експериментального відпрацювання доцільно використовувати стандартну функцію втрат, що є сумою квадратичних помилок (sumofsquarederrors, SSE). Для оптимізації використовуються оптимізатори RMSPropта Adam (AdaptiveMomentEstimation) з пакету Keras - відкрита нейромережна бібліотека, написана мовою Python. У процесі конфігурування формується структура нейромережі. Ця операція виконується відповідно до послідовності, прийнятої для бібліотеки, що використовуються, у нашому випадку Tensorflowта Keras [12; 13]

Бібліотека Kerasнадає можливість роботи з кількома типами RNN: шари класів keras.layers. SimpleRNN, keras.layers.GRU, keras.layers.LSTM. Для розв'язання завдання виявлення аномалій за допомогою прогнозування часового ряду використовуються шари LSTM. Навчання LSTMмережі здійснюється на тренувальному наборі, який включає один або кілька часових рядів відповідно до кількості вхідних параметрів нейромережі, представлених у вигляді пар вхідних та вихідних послідовностей.

У деяких ситуаціях виникає необхідність представлення наборів даних для двох рядів незалежних величин (два незалежні параметри) та однієї залежної величини із необхідністю прогнозування всіх трьох рядів. У цьому випадку модель LSTMмодифікується до багатовимірної моделі LSTMдля кількох серійних входів (MultipleInputSeries) або моделі LSTMдля декількох паралельних серій (MultipleParallelSeries) [12].

В обох випадках представлення наборів даних, вхідний шар мережі перетворюється відповідно до їх розмірності:

LSTM (units=32, activation='relu', input_shape=(n_steps, n_features)

У другому випадку модифікується і вихідний повнозв'язний шар відповідно до розмірності даних:

model.addELayer (Dense (n_features)),

n_features= X.shape - кількість вхідних незалежних рядів метрик; n_steps= 100 - кількість елементів у n-грамі [1].

При формуванні навчального та тестового набору даних проводиться нормалізація даних. Процедура нормалізації мовою Pythonвиглядає

наступним чином:

defnormalize(result): result_mean= result.mean() # обчислення середнього значення набору даних result_std= result.std() # обчислення стандартного відхилення result-= result_meanresult/= result_stdreturnresult, result_mean

Для перевірки працездатності алгоритму та коректності моделі нейромережі розроблено програму виявлення СІБ та ПТВ мовою Python3. У ході експериментів використовувалася нейромережа з архітектурою «стековаLSTM» з наступною структурою:

- кількість елементів у n-грамах - 100;

- кількість шарів - 3;

- перший шар за кількістю нейронів відповідає довжині вхідної послідовності (n-1), коефіцієнт перенавчання Dropout= 0,2;

- другий шар LSTM - 130 нейронів з коефіцієнтом перенавчання = 0,2;

- третій шар LSTM - 100 нейронів;

- вихідний шар, що складається з одного нейрона, повнозв'язний (клас Densely-connected) з лінійною функцією активації.

У результаті експериментів підтверджено, що дана структура нейромережі у процесі роботи алгоритму забезпечує вирішення задач прогнозування та виявлення аномалій для одного контрольованого параметра. Для обробки кількох параметрів необхідно змінити структуру нейромережі відповідно до наведених вище рекомендацій. При проведенні експериментів як вихідні дані були використані:

- тимчасовий ряд, що містить дані про завантаженість процесора протягом 660 секунд (дані отримані з середовища osqueryз використанням Python3bindings - osquery-python);

- тимчасовий ряд, який містить 660 значень, дані в якому відповідають часу відповіді сервера HTTP, що формується за нестандартним законом розподілу: у 2/3 випадків генеруються числа (0; 0,5) потім зменшується з ймовірністю (0,5; 1); аномальні дані відповідають розподілу Гауса в діапазоні (0,9; 1) [12].

Опис початкової структури LSTMмережі для реалізації алгоритму мовою Python3з використанням бібліотек Tensorflowта Kerasмає такий вигляд:

defgenerate_model(): model = Sequential()

# Перший шар відповідає довжині вхідної послідовності model.add (LSTM(input_shape=(sequence_

length - 1,1),

units=32, return_sequences=True)) model.add (Dropout(0.2)) # виняток перенавчання

# Другий шар LSTM із 128 нейронів model.add (LSTM(units=128, return_ sequences = True))

model.add (Dropout(0.2))

# Третій LSTM шар із 100 нейронів model.add (LSTM(units=100, return_ sequences = False))

model. add (Dropout(0.2))

# Повнозв'язний вихідний шар з лінійною ФА

model.add (Dense(units=1)) model.add (Activation('linear')) алгоритм оптимізації, функція втрат model.compile (loss='mean_squared_ error', optimizer='rmsprop') return model

Для формування навчального та тестового наборів передбачена функція split_sequence, вхідними параметрами для якої є: масив даних, що містить часовий ряд параметра, точка початку тренувального набору в масиві даних, точка закінчення тренувального набору, точка початку тестового набору, кінцева точка тестового набору. Нижче наведено фрагмент функції, в якому представлені

основні операції з формування тренувального та тестового наборів: train_end, test_start, test_end): result = [] # масив н-грам діапазон можна задати і як довжина дата мінус sequence_lengthforindexinrange (train_start, train_ end - sequence_length): result.append (data[index: index + sequence_length]) result = np.array(result)

result, result_mean = normalize(result) prin («Розмірність масиву ТН:», result.shape)

train = result [train_start:train_end,:] np.random. shuffle(train)

X_train = train[:,: - 1] y_train = train[:, -1]

# Аналогічно - формування тестового набору

X_test= resultt[:,: - 1] # Відділяємо вибірки від міток, ВИБІРКА y_test= resultt[:, -1] # МІТКИ

return X_wtrain, y_wtrain, X_wtest, y_ wtest

У ході перевірки працездатності моделі мережі в обох випадках набори формувалися наступною командою, що визначає їх розмірність:

X_train, y_train, X_test, y_test = prepare_data (rez, 0, 600, 400, 660)

Метод дозволяє реалізувати безперервний процес обробки даних у реальній системі виявлення ПТВ шляхом чергування циклів прогнозування (наприклад, побудова прогнозу на 60-хвилинний інтервал через кожні 30 хвилин) та тренування моделі за допомогою накопичених даних (використовуються дані за попередні 24 години). Порівняння прогнозованого значення параметра та його значення, що спостерігається, а також моніторинг статистичної метрики - індикатора аномалії, проводяться щохвилини. Необхідна тимчасова послідовність уточнюється та формується за результатами відпрацювання моделі на стенді. За результатами роботи програми було сформовано графіки, які відображають зміну часу значення контрольованої величини (рис. 3).

Рис. 3. Графіки часу відповіді сервера HTTPта Середньоквадратичного відхилення фактичного значення параметра від прогнозованого Джерело: побудовано авторами на основі проведених досліджень

Отже, судячи з графіка, модель нейромережі дозволяє однозначно фіксувати аномалію.

Як метрика-індикатор аномалії використовується значення середньоквадратичної помилки (далі - СКП), що характеризує ступінь відхилення виміряного фактичного рівня параметра від прогнозованого. Подані графіки дозволяють візуально визначити аномалію контрольованого параметра викиду значення метрики-індикатора, яке оцінюється на заданому часовому інтервалі (15-20 вимірювань, 15-20 секунд). З практики застосування статистичних метрик випливає, що відхилення метрики-індикатора більш ніж у 2-3 рази від середнього значення інтервал-прогнозу (160 тестових значень) є ознакою аномалії. Для виявлення аномалії в часовому ряду контрольованої величини (завантаження процесора, обсяг споживаної оперативної пам'яті та інше) при експериментальному відпрацюванні алгоритму можна використовувати стандартне відхилення і середнє абсолютне відхилення (medianabsolutedeviation - MAD).

Незважаючи на те, що очевидний тренд у зміні ознаки (час відповіді сервера HTTP) відсутній, тестовий та навчальні набори насичені викидами, квадратичне відхилення для нормалізованої величини коливається в інтервалі [0; 0,4].

Як вихідні дані для формування навчального та тестового набору використовується знову згенерований часовий ряд параметра часу відповіді сервера HTTPіз значними викидами та відсутністю тренду. Починаючи з 630 секунд у даних виявлена аномалія.

На рис. 4-5 представлені вихідні дані та результати повторного експерименту.

Рис. 4. Вихідний набір даних для формування тестової та навчальної вибірки (час відповіді сервера HTTP, 660 вимірів, 660 секунд)

Розглянута вище модель нейромережі є єдиною на вирішення завдань виявлення аномалій і програмно-технічних впливів. Проведені дослідження показали, що після закінчення процесу навчання нейромережі (950 епох) середньоквадратична помилка (MSE), яка використовується як функція втрат при навчанні нейромережі, склала 0,0004-0,0013, що свідчить про високий рівень налаштування нейромережі.

Рис. 5. Графіки часу відповіді сервера HTTPта Середньоквадратичного відхилення фактичного значення параметра від прогнозованого

На рис. 6 представлено, вихідний набір даних для формування тестової та навчальної вибірок, а також ступінь використання процесора в 660 вимірів. У дані внесена аномалія, починаючи з 600 секунди. При цьому є явний тренд у змінах значень ознаки.

Рис. 6. Вихідний набір даних для формування тестової та навчальної вибірок - ступінь використання процесора, 660 вимірів Джерело: побудовано авторами на основі проведених досліджень

На рис. 7 зображено результат моделювання роботи алгоритму зі зазначеною вище структурою мережі на наборі даних, які наведені на рис. 6.

Рис. 7. Результати моделювання роботи алгоритму виявлення аномалій із використанням FFNнейромережі

Результати проведених експериментів показали, що представлений у статті метод виявлення кібератак інформаційній безпеці за допомогою нейронних мереж в умовах кібервійни, його алгоритмічна та програмна реалізації дозволяють вирішити задачу виявлення аномальної поведінки контрольованих систем за допомогою прогнозування і моніторингу аналізованих параметрів, вихід значень яких за встановлені межі є ознакою ПТВ та СІБ. Важливою перевагою даного підходу є можливість адаптації нейромережі у разі зміни режиму та умов функціонування системи.

Російсько-українська війна з початку повномасштабного вторгнення показала, що кібератаки агресора збігаються з військовими атаками, тобто захоплення або знищення об'єктів критичної інфраструктури. Слід зазначити, що країна-агресор використовує хакерські атаки для підтримки свого масштабного наступу на Україну, поєднуючи зловмисне програмне забезпечення з ракетами в кількох атаках, зокрема на телевізійні станції та державні установи.

Загроза кібератак росії на українські системи та європейських партнерів залишається високою, оскільки концепція російської гібридної війни передбачає використання різноманітних впливів проти України.

Масова кібератака на українські державні установи та бізнес почалася задовго до військового вторгнення. За даними Міністерства цифрової трансформації України, з початком бойових дій 24 лютого 2022 року їх кількість подвоїлася з приблизно 200 на місяць до понад 400 [14]. У Держспецзв'язку та захисту інформації заявили, що кібератаки стали невід'ємною частиною ведення війни, що дістало назву кібервійни. Згідно з цими даними, з початку року рф запустила кілька сімейств шкідливого програмного забезпечення в Україні.

Загрози у кіберпросторі є найбільш серйозними для національної безпека України. Зараз кібербезпека є критичною проблемою в усіх аспектах економіки, політики, суспільства та армії. Проте, дана загроза є однією з найменш відомих і найбільш недооцінених. Тому необхідно розуміти, що кіберпростір є найважливішим театром бойових дій сьогодні. Боротьба за кібердомінування - і, як результат, здатність протистояти кібератакам - відкриває нову еру суперницьких відносин, які докорінно змінять характер і структуру збройних сил. Слід також зазначити, що кібербезпека не може бути досягнута на національному рівні. Це потребує спільних зусиль приватного сектору та бізнесу, а також міжнародної координації та співпраці в безпрецедентних масштабах.

Сьогодні, найточнішим методом виявлення кібеатак в інформаційному просторі в умовах кібервійни є метод, що ґрунтується на сигнатурному аналізі, який добре функціонує при виявленні вже відомих кібератак, але абсолютно не придатний для виявлення нових, раніше невідомих. І, як свідчить практика, саме нові, раніше невідомі кібератаки є причиною глобальних інформаційних катастроф і призводять до значних збитків.

Порівняно з традиційними нейронними мережами, перспективним є використання глибоких нейронних мереж із ефективним нелінійним перетворенням і представленням даних. Така мережа виконує глибоке ієрархічне перетворення вхідного простору. Завдяки багаторівневій архітектурі глибокі нейронні мережі дозволяють обробляти та аналізувати великі обсяги даних, а також моделюють когнітивні процеси у різних областях. Зараз більшість високотехнологічних компаній США (Microsoft, Google, Facebook, Baiduта інші) використовують глибокі нейронні мережі для проєктування різноманітних інтелектуальних систем. На думку вчених Массачусетського технологічного інституту, глибокі нейронні мережі увійшли до списку 10 найперспективніших високих технологій, здатних кардинально змінити повсякденне життя більшості людей на нашій планеті у найближчому майбутньому. Глибоке навчання стало однією з найбільш затребуваних сфер інформаційних технологій.

Висновки. Представлені у статті моделі, алгоритм та програмне забезпечення призначені для автоматизації процесів виявлення кібератак інформаційної безпеки та програмно-технічних впливів на КСІІ в умовах кібервійни. Метод та алгоритм реалізовані у вигляді програм мовами Python3 та Goз використанням пакетів Keras, Tensorflow, osquery, go-deep.

Результати експериментів підтвердили працездатність даного підходу та доцільність його застосування для виявлення кібератак у реальному часі. Реалізація даного методу дозволить підвищити оперативність виявлення програмно-технічного впливу та достовірність прийняття рішення про заходи щодо нейтралізації їх наслідків.

Напрямком подальших досліджень може бути повноцінна реалізація та налагодження даного методу мовою Goдля ОС AstraLinuxта проведення експериментів для вивчення та аналізу можливостей, характеристик та способів ефективного застосування різних типів нейромереж: LSTM, генеративно-змагальної нейромережі (GAN, generativeadversarialnetwork), керованого рекурентного блоку (GRU, gatedrecurrentunit) на вирішення завдання виявлення аномалій як реального часу.

Література

1. LiuHuaYeo, XiangtongChe, ShaliniLakkaraju. UnderstandingModernIntrusionDetectionSystems: A Survey. URL:https://arxiv.org/ftp/arxiv/papers/1708/1708.07174.pdf (дата звернення: 22.12.2022).

2. Jain G., Sharma M., Agarwal B. Optimizingsemantic LSTM forspamdetection. International Journal of Information Technology. 2019. Vol. 11 (2). P. 239-250

3. Khoroshko V.A., TkachYu.N., Shelest M.E. Multialternativedetectionofcyberatacsininformationnetworks. Ukrainian Scientific Journal of Information Security. 2021. Vol. 26, №3, P. 136-141. DOI: 10.18372/2225-5036.27.16001.

4. Сучасні інформаційні технології в кібербезпеці: монографія / А.С. Довбиш, В.К. Ободяк, І.В. Шелехов та ін.; за ред. В.К. Ободяка, І.В. Шелехова. Суми: СумДУ, 2021. 348 с.

5. Рогоза П., Єсін В. Використання нейронної мережі замість бази знань у експертній системі детектору зловмисного трафіку до веб-ресурсів. Комп'ютернінаукитакібербезпека. 2022. №1. С. 6-15. DOI: https://doi.org/10.26565/2519-2310-2022-1-01.

6. Курбан О.В. Сучасні інформаційні війни в мережевому он-лайнпросторі: навчальний посібник. Київ: ВІКНУ, 2016. 286 с.

7. Cyberdigesto. Огляд подій в сфері кібербезпеки. URL: https://www.rnbo.gov.ua / files/%D0% 9D % D0% 9A % D0% A6% D0% 9A/%D0% 9D % D0% 9A % D0% A6% D0% 9A-1/Cyber% 20digest_December_2022.pdf (дата звенення: 29.12.2022).

8. EuropeanUnionAgencyforCybersecurity (ENISA). URL: https://www.enisa.europa.eu/(дата звенення: 25.12.2022).

9. Yin C., Zhu Y., Liu S., Fei J., Zhang H. AnEnhancingFramework для BotnetDetectionUsingGenerativeAdversarialNetworks. 2018 International Conference on Artificial Intelligence and Big Data (ICAIBD). 2018. P. 228-234.

10. YangXin, MingchengGao, HaixiaHou. MachineLearningandDeepLearningMethodsforCybersecurity. URL: https://www.researchgate.net/publication/325159145 (дата звернення: 29.12.2022).

11. Yin C., Zhu Y., Fei J., He X. A DeepLearningApproachforIntrusionDetectionUsingRecurrentNeuralNetworks. IEEE Access. 2017. Vol. 5. P. 21954-21961.

12. JasonBrownleeHowtoDevelop LSTM ModelsforTimeSeriesForecasting. URL: https://machinelearningmastery.com/how-todevelop-lstm-models-for-time-series - forecasting/ (дата звернення: 10.01.2023).

13. Graves A. GeneratingSequenceswithRecurrentNeuralNetworks. UniversityofToronto. URL: https://arxiv.org/pdf/1308.0850v5.pdf (дата звернення: 10.01.2023).

14. Міністерство цифрової трансформації України. URL:https://thedigital.gov.ua/(дата звернення: 28.12.2022).

References

1. LiuHuaYeo, XiangtongChe, &ShaliniLakkaraju (2021). UnderstandingModernIntrusionDetectionSystems: A Survey. Retrievedfromhttps://arxiv.org/ftp/arxiv/papers/1708/ 1708.07174.pdf [inEnglish].

2. Jain, G., Sharma, M., &Agarwal, B. (2019). Optimizingsemantic LSTM forspamdetection. International Journal of Information Technology, 11 (2), 239-250. DOI: 10.1007/s41870-018-0157-5 [inEnglish].

3. Khoroshko, V.A., Tkach, Yu.N., &Shelest, M.E. (2021). Multialternativedetectionofcyberatacsininformationnetworks. Ukrainian Scientific Journal of Information Security, 26 (3), 136-141. DOI: 10.18372/2225-5036.27.16001 [inEnglish].

4. Obodiaka, V.K., &Shelekhova, I.V. (Eds). (2021). Suchasniinformatsiinitekhnolohii v kiberbezpetsi: monohrafiia [Modern information technologies in cyber security: monograph]. Sumy: SumDU [in Ukrainian].

5. Rohoza, P., &Yesin, V. (2022). Vykorystannianeironnoimerezhizamistbazyznan u ekspertniisystemidetektoruzlovmysnohotrafikudoveb-resursiv [Using a neuralnetworkinsteadof a knowledgebaseinanexpertsystemfordetectingmalicioustraffictowebresources]. Kompiuterninauky ta kiberbezpeka - Computer science and cyber security, 1, 6-15. DOI: https://doi.org/10.26565/2519-2310-2022-1-01 [inUkrainian].

6. Kurban, O.V. (2016). Suchasniinformatsiiniviiny v merezhevomu on-lain prostori: navchalnyiposibnyk [Modern information wars in the online network space: a tutorial]. Kyiv: VIKNU [in Ukrainian].

7. Cyberdigesto. Ohliadpodii v sferikiberbezpeky [Cyberdigesto. Overviewofeventsinthefieldofcybersecurity]. Retrievedfromhttps://www.rnbo.gov.ua/files/%D0% 9D % D0% 9A% D0% A6% D0% 9A/%D0% 9D % D0% 9A % D0% A6% D0% 9A-1/Cyber % 20digest_December_2022.pdf [inEnglish].

8. EuropeanUnionAgencyforCybersecurity (ENISA). Retrievedfromhttps://www.enisa.europa.eu/ [inEnglish].

9. Yin, C., Zhu, Y., Liu, S., Fei, J., &Zhang, H. (2018). AnEnhancingFramework для BotnetDetectionUsingGenerativeAdversarialNetworks. 2018 International Conference on Artificial Intelligence and Big Data (ICAIBD), 228-234 [inEnglish].

10. YangXin, MingchengGao, &HaixiaHou. MachineLearningandDeepLearningMethodsforCybersecurity. Retrievedfromhttps://www.researchgate.net/publication/325159145 [inEnglish].

11. Yin, C., Zhu, Y., Fei, J., &He, X. (2017). A DeepLearningApproachforIntrusionDetectionUsingRecurrentNeuralNetworks. IEEE Access, 5, 21954-21961 [inEnglish].

12. Brownlee, J. HowtoDevelop LSTM ModelsforTimeSeriesForecasting. Retrievedfromhttps://machinelearningmastery.com/how-todevelop-lstm-models-for-time-series-forecasting/ [inEnglish].

13. Graves, A. GeneratingSequenceswithRecurrentNeuralNetworks. UniversityofToronto. Retrievedfromhttps://arxiv.org/pdf/1308.0850v5.pdf [inEnglish].

14. MinisterstvotsyfrovoitransformatsiiUkrainy [MinistryofDigitalTransformationofUkraine]. thedigital.gov.ua. Retrievedfromhttps://thedigital.gov.ua/ [inUkrainian].

Размещено на Allbest.ru