УДК 004.85

АНАЛИЗ СОВРЕМЕННЫХ МЕТОДОВ ЗАЩИТЫ СЕТЕВОЙ ИНФРАСТРУКТУРЫ

ANALYSIS OF MODERN METHODS OF NETWORK INFRASTRUCTURE PROTECTION

Чумаков В.Е., напр. «Интеллектуальные системы и технологии», Институт сферы обслуживания и предпринимательства (филиал) федерального государственного бюджетного образовательного учреждения высшего образования «Донской государственный технический университет», г. Шахты Ростовской области

Аннотация: В данной статье рассматриваются алгоритмы машинного обучения. Анализ и преобразование больших данных, посредством машинного обучения для нахождения наиболее важных и полносвязнных атрибутов. Рассматриваются современные методы обеспечения безопасности сетевой инфраструктуры и приводятся аргументы о их неактуальности в настоящее время. Описываются преимущества использования машинного обучения по сравнению с другими системами обнаружения аномалий сетевого трафика.

Summary: This article discusses machine learning algorithms. Analyze and transform big data through machine learning to find the most important and fully connected attributes. Modern methods of network infrastructure security are considered and arguments about their irrelevance at the present time are given. The advantages of using machine learning compared to other network traffic anomaly detection systems are described.

Ключевые слова: нечеткая логика, Decision Tree Classifier, аномалии сетевого трафика, LogisticRegression.

Keywords: fuzzy logic, Decision Tree Classifier, network traffic anomalies, Logistic Regression.

Введение. В настоящее время постоянно развивающихся информационных технологий, каждое предприятие, имеющее развернутую сетевую инфраструктуру, стремится к обеспечению высокого уровня безопасности своей инфраструктуры.  Этот этап жизненного цикла предприятия стал одним из важнейших в связи с тем, что используемая инфраструктура применяется для доступа к сетевым ресурсам, в которые стал входить большой поток конфиденциальной информации, за счет перехода от бумажного к полному электронному документообороту.            Одновременно с таким потоком растут количества атак различных категорий на сетевую инфраструктуру. По статистике за 2019 год, наиболее распространенным видом атак являются web – атаки, о чем свидетельствует собранная статистика компанией “Symantec Corporation”, проиллюстрированной на рисунке 1а, из которой следует, что с начала 2019 года по июнь 2019 года количество web – атак постоянно растет и за 6 месяцев составил почти 1000 атак, а также проиллюстрирована статистика использования основных категорий атак на рисунке 1б [1].

Следовательно, наиболее актуальной проблемой современного мира является обеспечение максимально высокого уровня безопасности сетевой инфраструктуры от несанкционированного доступа или различного рода атак. Для решения описанной проблемы необходимо рассмотреть возможные методы её решения.

Основные методы обеспечения безопасности сети. Одним из наиболее примитивных решений является использование антивирусных программ, однако рассматриваемый инструмент позволяет избавиться лишь от некоторых угроз, так как принцип работы антивирусных решений заключается в проверке файлов, находящихся на жестком диске на предмет нахождения вредоносных участков кода с сигнатурной базой, которая обязана постоянно обновляться.

Следующим наиболее распространенным инструментом является система обнаружения вторжений, например, Suricata или Snort. Такие системы, как правило используют два режима работы, а именно сигнатурный и поведенческий [2].

Сигнатурный режим работы заключается в том, что циркулирующий сетевой трафик анализируется установленной системой обнаружения вторжений и производится сравнение с имеющейся базой данных сигнатур. Такой подход заимствован у работы любого антивируса, только в качестве сигнатуры представляется не вредоносный код в заголовке сетевого фрейма.

Поведенческий режим заключается в том, что установленная система обнаружения вторжений производит постоянное исследование аутентифицированного пользователя, например, в доменной сети, а также его сетевую активность и взаимодействие приложений, работающих под этой учетной записью, после чего происходит сравнение с заранее выстроенной моделью на предмет наличия аномалий или некорректного поведения пользователя.

После анализа предложенных решений можно сделать вывод, что такие методы тратят много времени на обнаружение, так как им приходится пропускать зараженный сетевой поток и производить анализ слепков сетевого трафика, обнаруженного анализатором сетевого потока, а также отсутствует возможность определения атаки нулевого дня за счет привязанности к обновляемой базе сигнатур.

Для уменьшения времени обнаружения вторжения в настоящее время использую методы машинного обучения, которые позволяют сигнализировать о наличии атаки на ранних этапах и с определенной вероятностью указать какой вид атаки будет использоваться, что позволяет сотруднику, отвечающему за информационную безопасность своей организации с высокой точностью определить набор инструментов для защиты от атаки определенного вида.

При использовании машинного обучения выбирают как правило два основных алгоритма, а именно логистическая регрессия и дерево решений.

Логистическая регрессия применяется для прогнозирования вероятности возникновения некоторого события по значениям множества признаков. Для этого вводится так называемая зависимая переменная { y} y, принимающая лишь одно из двух значений — как правило, это числа 0 (событие не произошло) и 1 (событие произошло), и множество независимых переменных (также называемых признаками, предикторами или регрессорами) — вещественных { x_{1},x_{2},…,x_{n}}, на основе значений которых требуется вычислить вероятность принятия того или иного значения зависимой переменной [3].

DecisionTreeClassifier — это метод, обычно используемый в интеллектуальном анализе данных. Цель состоит в том, чтобы создать модель, которая прогнозирует значение целевой переменной на основе нескольких входных переменных [4]. Рассматриваемый алгоритм имеет входные параметры, которые позволяют добиться максимальной производительности метода дерево решений, одним из таких параметров является уровень погружения в дерево решений.

Заключение. Подводя итоги можно сделать вывод, что применение методов машинного обучения в настоящее время является наиболее актуальным решением в области кибербезопасности. Это связано с тем, что во-первых, рассматриваемые алгоритмы позволяют наиболее точно и быстрее предсказывать возникновение атак, за счет использование уже обученной модели, которая фиксирует наличие вторжения по распознанным заранее критериям отбора. Во — вторых такие методы позволяют находить атаки под названием «Zero day», путем нахождения аномального поведения трафика применяя многоуровневые аналитические подходы. Также алгоритмы машинного обучения позволяют корректировать уровень шумов, точность прогнозирования и ложных срабатываний, путем корреляции пороговых величин детектора. И большим преимуществом рассматриваемого подхода для обнаружения сетевых вторжений является возможность аналитической обработки данных больших массивов, что позволяет подавать на вход модели состояния сетевых потоков, собранных с различного коммутационного оборудования, находящегося в сетевой инфраструктуре предприятия.

Список использованной литературы

1. Symantec Corporation. Monthly Threat Report.  // [Электронный ресурс]. – Режим доступа —  URL: https://www.symantec.com/security-center/publications/monthlythreatreport (дата обращения 25.09.2019).

2. Значко И. А. Информационая безопасность. // [Электронный ресурс]. – Режим доступа —  URL: http://www.pointlane.ru/glossary/ids/ (дата обращения 27.09.2019)

3. Scikit Learn. Logistic regression model. // [Электронный ресурс]. – Режим доступа — URL: https://scikit-learn.org/stable/modules/generated/sklearn.linear_model.LogisticRegression.html (дата обращения 03.10.2019) 6. Geeks For Geeks.  Decision tree regression using sklearn.  // [Электронный ресурс]. – Режим доступа —  URL: https://www.geeksforgeeks.org/python-decision-tree-regression-using-sklearn/ (дата обращения 09.10.2019)