УДК 004.056.53

Использование алгоритмов машинного обучения с SIEM для прогнозирования атак

Василевич Петр Антонович – магистрант Национального исследовательского университета «Московский институт электронной техники».

Аннотация: В этой работе рассматривается система прогнозирования вторжений (IPS) с расширением коммерческой структуры SIEM. Система обнаружения вторжений представляет собой, по сути, усовершенствованный интеллектуальный вариант брандмауэра. Предлагается управление информацией о безопасности с открытым исходным кодом (OSSIM), для выполнения анализа событий и прогнозирования будущих вероятных многоэтапных атак до того, как они создадут серьезную угрозу безопасности. риск. Инфраструктура управления информацией и событиями безопасности (SIEM) подтверждает защиту сети за счет корреляции и управления файлами сетевых журналов. Методы интеллектуального анализа данных используются для обработки всех нормализованных данных из OSSIM, а также для их классификации.

Ключевые слова: управление событиями и информацией о безопасности, управление информацией о безопасности с открытым исходным кодом, платформа анализа данных, метод опорных векторов, файлы сетевого журнала.

Объем данных во всех отраслях стремительно растет. Точно так же важность этих данных требует более строгих мер безопасности для них. Обнаружение вторжений – это процесс определения того, что вторжение было предпринято или произошло. Эта необходимость привела к созданию системы прогнозирования вторжений (IPS), которая может предупреждать их еще до атаки.

Процесс прогнозирования атаки определяется как последовательность элементарных действий, которые необходимо выполнить для распознавания стратегии атаки. В последнее время в сообществе прогнозирования вторжений растет интерес к применению методов машинного обучения для достижения высокой производительности в отношении времени выполнения и точности классификации. Для сбора большого количества данных для учебного процесса используется систему управления информацией и событиями безопасности (SIEM). [1]

Системы SIEM собирают журналы из разных источников, таких как маршрутизатор/коммутатор, межсетевые экраны. Система SIEM собирает и объединяет данные о сетевой активности, журналы, события безопасности и данные о внешних угрозах в мощную панель управления, которая интеллектуально сопоставляет, нормализует и расставляет приоритеты для них, что значительно сокращает время исправления и реагирования и значительно повышает эффективность системы. Основная цель системы SIEM заключается в том, чтобы снизить высокий уровень ложных срабатываний, централизовать анализ событий и создать эффективный отчет с помощью процесса корреляции.

К наборам данных о вторжениях могут применяться различные алгоритмы интеллектуального анализа данных для прогнозирования риска атаки на сетевую среду и сравнения их производительности, они оценивались на основе прогностической точности и простоты обучения. [2]

Точность системы обнаружения вторжений была повышена за счет сопоставления данных между различными журналами. Различные атаки отражались в разных журналах и утверждали, что некоторые атаки не были очевидны при анализе одного журнала. Предлагаемая система может выявлять атаки, но ее нельзя предсказать путем изучения журнала из одного источника. [3]

Зачастую атаки обнаруживаются уже после того, как они произошли. Таким образом, вводится идея прогнозирования, когда обучающие данные будут генерироваться на основе ранее произошедших событий, и, используя данные в реальном времени, мы надеемся предсказать атаки до того, как они произойдут. В предлагаемой системе SVM используется в качестве алгоритма машинного обучения для классификации. [4]

Управление информацией о безопасности с открытым исходным кодом (OSSIM) – это система SIEM с открытым исходным кодом, в которую интегрирован ряд инструментов, таких как Snort, OSSEC и Ntop Ngios. OSSIM использует несколько протоколов: Rsyslog, FTP, SQL, SAMBA, OSSEC и другие.

OSSIM состоит из пяти различных ключевых компонентов: сервера, агента, сенсоров, базы данных и платформы.

Сценарий атаки создается для создания набора данных для атаки. Можно смоделировать ряд сетевых атак, но предлагаемая система ориентирована только на распределенные атаки DDoS, Smurf и IP-Sweep. Злоумышленник выполняет атаку вторжения на жертву, и соответствующий журнал будет храниться в системном журнале агента OSSIM. Цель состоит в том, чтобы создать функции из этих журналов и разработать некоторые функции более высокого уровня, которые отличают нормальные от аномальных. Действия OSSIM можно описать следующими шагами:

  • Извлечение информации из событий, генерируемых исходными устройствами, развернутыми в сетевой инфраструктуре
  • Применение политики и выполнение процесса корреляции для оценки рисков
  • Предупреждение о событии для администратора.

Данные для обучения создаются путем анализа сети и захвата сетевого трафика. Сценарий атаки создается для создания наборов данных для атаки. Выбранными функциями являются количество пакетов, количество байтов, средний размер пакета, скорость передачи пакетов, скорость передачи байтов, дисперсия временного интервала, IP-адрес назначения, IP-адрес источника и размер окна. [5]

Мера получения информации отдает предпочтение атрибутам с большим количеством значений по сравнению с атрибутами с небольшим количеством значений. Получение информации дает представление о том, сколько информации можно получить для классификации и прогнозирования по конкретному атрибуту, и это продолжается для всех атрибутов, что в конечном итоге приводит к созданию набора атрибутов, который может дать максимальную информацию.

Классификация и предсказывание событий происходят по следующему алгоритму:

  • Сбор обучающих данных из разных источников с помощью SIEM и передает их алгоритму SVM для классификации.
  • Модель для каждой атаки основана на выбранных функциях.
  • Сравнивание характеристик тестовых данных с созданной моделью атаки.
  • По сравнению с результатами обучения прогнозируются атаки

Файлы сетевого журнала необходимы для анализа при обнаружении любых проблем в сложных компьютерных системах. Система OSSIM используется для сбора лог-файлов из различных источников. Создаются различные атрибуты, из которых для классификации выбираются лучшие признаки с максимальным коэффициентом усиления. Набор данных сначала проходит через SVM. Эти обучающие данные служат моделью для прогнозирования тестовых данных. Затем система классифицирует тестовые данные на основе того, что она узнала из обучающих данных.

Список литературы

  1. Лю С., Чжоу З., Чжан М.: На пути к интеллектуальному прогнозированию вторжений в беспроводные сенсорные сети с использованием трехуровневого обучения, подобного мозгу. Междунар. Дж. Распредел. Сенсорная сеть стр. 14 (2012).
  2. Zope, A.R., Vidhate, A.: Подход к анализу данных в информации о безопасности и управлении событиями. Дж. Будущие вычисления. Сообщ.
  3. Ху, В., Ляо, Ю., Вемури, В.Р.: Надежное обнаружение аномалий с использованием машин опорных векторов.
  4. Хорев А.А. Способы и средства защиты информации.- М.: МО РФ, 1998. – 316 с.
  5. Слеповичев И.И. Генераторы псевдослучайных чисел: учебное пособие. – Саратов: СГУ, 2017.

Интересная статья? Поделись ей с другими: