Алгоритмы и методики интеллектуального анализа событий информационной безопасности в сетях и системах телекоммуникаций : диссертация на соискание ученой степени кандидата технических наук : 05.12.13

📅 2019 год
Зубков, Е. В.
Бесплатно
В избранное
Работа доступна по лицензии Creative Commons:«Attribution» 4.0

ТОМ 1 ВВЕДЕНИЕ………………………………………………………………………………………………………. 6
1. МЕТОДИЧЕСКИЕ ОСНОВЫ ПРИМЕНЕНИЯ ИНТЕЛЕКТУАЛЬНОГО АНАЛИЗА ДАННЫХ В ЗАДАЧАХ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ……………… 12
1.1 Элементы интеллектуального анализа данных………………………………………….. 12
1.2 Данные как материал интеллектуального анализа …………………………………….. 13
1.3 Предпосылки к использованию МИАД в задачах сетевой ИБ …………………… 15
1.4 Обзор методов интеллектуального анализа данных ………………………………….. 21
1.4.1 Наивный байесовский подход (Naive Bayes Approach) ………………………….. 21
1.4.2 Метод опорных векторов ……………………………………………………………………… 24
1.4.3 Метод ближайших соседей (Nearest Neighbor) ………………………………………. 26
1.4.4 Метод деревьев решений (Decision Trees)……………………………………………… 27
1.4.5 Искусственные нейронные сети ……………………………………………………………. 29
1.4.6 Нечеткая логика …………………………………………………………………………………… 32
1.4.7 Генетические алгоритмы………………………………………………………………………. 34
1.5 Исследования в области интеллектуального анализа данных для выявления сетевых вторжений………………………………………………………………………………………….. 37
1.6 Оценка эффективности методик обнаружения сетевых вторжений …………… 41
1.7 Выводы ……………………………………………………………………………………………………. 43
2. РАЗРАБОТКА КОМПЛЕКСНОЙ МЕТОДИКИ ИССЛЕДОВАНИЯ СТАТИСТИКИ СИБ В СЕТЯХ ТЕЛЕКОММУНИКАЦИЙ ……………………………… 45
2.1 Трудности, связанные с исследованием статистики СИБ, и пути их преодоления ……………………………………………………………………………………………………. 45
2.2 Анализ структуры данных СИБ и возможности применения существующих решений для их кластеризации………………………………………………………………………… 47
3
2.3 Элементы теории информации и энтропиный подход……………………………….. 50
2.4 Общие принципы выбранного для исследований подхода ………………………… 54
2.5 Вычисление наиболее информативного признака (НИП) ………………………….. 57
2.6 Вычисление наиболее информативного значения (НИЗ) …………………………… 60
2.7 Контроль однородности кластеров …………………………………………………………… 66
2.8 Вычисление динамической зависимости СИБ…………………………………………… 67
2.9 Оценка степени угрозы ИБ ………………………………………………………………………. 71
2.10 Выводы ……………………………………………………………………………………………………. 78
3. ВЫЧИСЛИТЕЛЬНЫЙ ЭКСПЕРИМЕНТ ………………………………………………….. 81
3.1 Общие положения ……………………………………………………………………………………. 81
3.2 Исходные данные …………………………………………………………………………………….. 81
3.3 Кластеризация сетевых СИБ…………………………………………………………………….. 82
3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.3.7 3.3.8 3.3.9 3.3.10 3.3.11 3.3.12 3.3.13
Итерация 1: исследование множества А0………………………………………………. 82 Итерация 2: исследование множества А0-1 …………………………………………… 91 Итерация 3: исследование множества А0-0 …………………………………………… 91 Итерация 4: исследование множества А0(2)-1……………………………………….. 95 Итерация 5: исследование множества А0(2)-0……………………………………….. 95 Итерация 6: исследование множества А0(3)-1……………………………………….. 98 Итерация 7: исследование множества А0(3)-0……………………………………….. 99 Итерация 8: исследование множества А0(4)-1……………………………………… 102 Итерация 9: исследование множества А0(4)-0……………………………………… 103 Итерация 10: исследование множества А0(5)-1 …………………………………… 106 Итерация 11: исследование множества А0(5)-0 …………………………………… 106 Итерация 12: исследование множества А0(6)-1 …………………………………… 109 Итерация 13: исследование множества А0(6)-0 …………………………………… 110

4
3.3.14 Итерация 14: исследование множества А0(7)-1 …………………………………… 113
3.3.15 Итерация 15: исследование множества А0(7)-1-1 ………………………………… 115
3.3.16 Итерация 16: исследование множества А0(7)-1-0 ………………………………… 116
3.3.17 Итерация 17: исследование множества А0(7)-0 …………………………………… 116
3.3.18 Итерация 18: исследование множества А0(8)-1 …………………………………… 119
3.3.19 Итерация 19: исследование множества А0(8)-0 …………………………………… 119
3.3.20 Итерация 20: исследование множества А0(9)-1 …………………………………… 122
3.3.21 Итерация 21: исследование множества А0(9)-0 …………………………………… 122
3.3.22 Итерация 22: исследование множества А0(10)-1 …………………………………. 124
3.3.23 Итерация 23: исследование множества А0(10)-0 …………………………………. 125
3.3.24 Итерация 24: исследование множества А0(11)-1 …………………………………. 127
3.3.25 Итерация 25: исследование множества А0(11)-0 …………………………………. 128
3.3.26 Результаты кластеризации СИБ ………………………………………………………….. 128
3.4 Вычисление динамической зависимости СИБ…………………………………………. 130
3.5 Оценка угрозы зафиксированных СИБ……………………………………………………. 132
3.6 Выводы ………………………………………………………………………………………………….. 137
4. ПРИКЛАДНОЕ ПРИМЕНЕНИЕ РАЗРАБОТАННЫХ АЛГОРИТМОВ И МЕТОДИК ……………………………………………………………………………………………………. 138
4.1 Значение прикладного применения МИАД при исследовании сетевых СИБ ………………………………………………………………………………………………………………138
4.2 Структура ПАК………………………………………………………………………………………. 139
4.3 Вычислительная подсистема ………………………………………………………………….. 140
4.4 Подсистема хранения данных…………………………………………………………………. 141
4.5 Подсистема визуализации ………………………………………………………………………. 141
4.5.1 Главное окно………………………………………………………………………………………. 142

5
4.5.2 Окно детализации ………………………………………………………………………………. 146
4.6 Результаты опытно-экспериментальных испытаний ……………………………….. 148
4.7 Перспективы дальнейшего развития ПАК ………………………………………………. 153
4.8 Выводы ………………………………………………………………………………………………….. 155
ЗАКЛЮЧЕНИЕ …………………………………………………………………………………………….. 157 СПИСОК СОКРАЩЕНИЙ И УСЛОВНЫХ ОБОЗНАЧЕНИЙ ………………………… 159 СЛОВАРЬ ТЕРМИНОВ…………………………………………………………………………………. 160 СПИСОК ЛИТЕРАТУРЫ………………………………………………………………………………. 161 СПИСОК ИЛЛЮСТРАТИВНОГО МАТЕРИАЛА …………………………………………. 178
ТОМ 2
ПРИЛОЖЕНИЕ 1……………………………………………………………………………………………. 3 ПРИЛОЖЕНИЕ 2…………………………………………………………………………………………….10 ПРИЛОЖЕНИЕ 3…………………………………………………………………………………………….11 ПРИЛОЖЕНИЕ 4…………………………………………………………………………………………….18 ПРИЛОЖЕНИЕ 5…………………………………………………………………………………………..124 ПРИЛОЖЕНИЕ 6…………………………………………………………………………………………..179 ПРИЛОЖЕНИЕ 7…………………………………………………………………………………………..189

Актуальность темы. Все возрастающая роль информационной безопасности (ИБ) в общей системе национальной безопасности Российской Федерации зафиксирована в таких документах как Доктрина информационной безопасности РФ и Стратегия развития информационного общества в РФ. Угрозы безопасности информационных и телекоммуникационных средств и систем относят к одному из видов общей направленности угроз ИБ РФ на современном этапе развития общества. Противодействие использованию потенциала информационных и телекоммуникационных технологий в целях угрозы национальным интересам России относят к числу основных задач, требующих решения [1-5].
Среди ключевых задач в парадигме обеспечения ИБ сетей и систем телекоммуникаций [6-7], выделяют противодействие компьютерным атакам, что обеспечивается за счет комплексного применения ряда технических средств, к числу которых относят и средства обнаружения вторжений (СОВ).
Неотъемлемой задачей, связанной с эксплуатацией СОВ является анализ событий информационной безопасности (СИБ), зарегистрированных в информационно-телекоммуникационной системе (ИТС). Ее результатом должно быть корректирующее воздействие, во-первых, в отношении ИТС (для предотвращения вторжения), во-вторых, в отношении СОВ (для повышения ее эффективности путем внесения соответствующих изменений в конфигурацию). Большое количество фиксируемых сетевых СИБ представляет объективную сложность для проведения их исследования. Средства анализа потенциально опасной сетевой активности на основе стандартных возможностей систем управления базами данных (СУБД) не всегда обеспечивают желаемый результат.
В настоящее время ведутся активные исследования, связанные с применением методов интеллектуального анализа данных (МИАД) для решения задач обработки больших массивов информации. Интеллектуальный анализ данных (ИАД) представляет собой процесс выявления неявных знаний о данных,
7
например, в виде ранее неизвестных связей и закономерностей. Опыт применения подобных методов уже доказал свою эффективность во многих предметных областях.
Вышесказанное обусловливает актуальность темы диссертационной работы и необходимость проведения исследований указанной проблематики с позиций ИАД в целях поиска путей построения эффективных систем анализа сетевых СИБ.
Степень разработанности темы представляется относительно невысокой. Вопрос подходов к исследованию статистики СИБ остается мало изученным. Среди прочих следует выделить два направления, на которых сосредоточены значительные усилия исследователей в области ИБ. Первое касается оценки защищенности систем и сетей телекоммуникации (И.В. Котенко, А.А. Чечулин, М.В. Степашкина, А.А.Азарова и др.). Другое, активно разрабатываемое направление, связано с применением МИАД для выявления непосредственно фактов сетевых вторжений в сетевом трафике (В.Ю. Дайнеко, И.В. Шарабыров, А.К. Большев, С.В. Белим, М.Ю. Ваганов, С.А. Поздняков, D. Md. Farid, M.Z. Rahman, C.M. Rahman, N.K. Harhna, P.K. Sree, I.R. Babu, P. Docas, L. Ertoz, P.K. Chan, M.V. Mahoney, J. Markey, E. Beqiri и др.).
Учитывая общность предметной области, указанные исследования можно рассматривать в качестве наиболее близких к теме диссертационной работы. Их результаты были изучены на предмет возможного использования предлагаемых решений.
Объектом исследования является процесс исследования данных о СИБ, зафиксированных СОВ.
Предметом исследования является алгоритмическое и методическое обеспечение аналитического процесса при исследовании статистики СИБ.
Цели исследования: разработка критериев, алгоритмического, программного и методического обеспечения повышения эффективности аналитической обработки информации о СИБ.

8
Для достижения поставленной цели были сформированы следующие
задачи:
1.Изучить существующие МИАД, связанные с вопросами выявления сетевых вторжений, и определить основные критерии к методу анализа СИБ.
2.Разработать алгоритм и методику кластеризации данных на основе энтропийного подхода.
3.Разработать алгоритм и методику оценки согласованности времени наступления СИБ различных кластеров.
4. Разработать алгоритм и методику оценки уровня угрозы однородных СИБ на основе ретроспективных данных, прошедших экспертную оценку.
5. Разработать и апробировать программно-аппаратный комплекс (ПАК) для исследования статистики СИБ.
Соответствие паспорту специальности. Работа соответствует п.10 «Исследование и разработка новых методов защиты информации и обеспечение информационной безопасности в сетях, системах и устройствах телекоммуникаций» Паспорта специальности 05.12.13 – Системы, сети и устройства телекоммуникаций.
Научная новизна работы заключается в том, что в ней предложена и реализована концепция построения системы исследования статистики СИБ на основе МИАД. В результате проведенного исследования были получены следующие результаты, характеризующиеся научной новизной:
1. Впервые выбраны критерии МИАД для анализа статистики сетевых СИБ, заключающиеся в способности анализировать большие массивы данных, характеризующиеся малым количеством признаков СИБ и высокой вариативностью их значений с использованием номинальных шкал.
2. Впервые разработан подход, позволяющий повысить эффективность исследования статистики СИБ за счет многократного сокращения объема данных, требующих экспертного анализа, и выявления неявных зависимостей между группами СИБ, на основе МИАД.

9
3. Впервые на основе энтропийного подхода разработаны алгоритм и методика кластеризации данных, учитывающих специфику предметной области, а именно: малое число признаков характеризующих базовую сущность, применение номинальной шкалы для измерения признаков, высокую вариативность признаков.
4. Впервые для анализа статистики СИБ предложен и применен новый критерий – динамическая зависимость (ДЗ), характеризующий степень согласованности по времени СИБ различных кластеров. Разработаны и реализованы алгоритм и методика его вычисления.
5. Впервые разработаны алгоритмы и методика вычисления нормированных показателей статистики СИБ: степень изученности СИБ для заданного кластера и непротиворечивости экспертной оценки, используемые для автоматизации процесса определения уровня угрозы СИБ, входящих в состав различных кластеров.
Теоретическая значимость работы:
1. На основе этропийного подхода разработаны алгоритм и методика кластеризации данных по номинальным признакам.
2. Разработаны алгоритм и методика вычисления динамической зависимости между группами событий.
3. Разработаны алгоритм и методика автоматической оценки уровня угрозы текущих СИБ на основе ретроспективных данных, прошедших экспертную оценку.
Практическая значимость работы заключается в том, что теоретические результаты доведены до уровня практического применения: разработанные методики представлены в виде четкого алгоритма и реализованы в программном обеспечении, которое позволяет специалисту более эффективно выполнять аналитическое сопровождение при эксплуатации СОВ. Его использование позволяет структурировать исходные данные и многократно сократить количество сущностей, требующих экспертного анализа. Показано, каким образом большие данные сами становятся источником новой информации. Эта

10
информация присутствует в статистике в неявной форме и недоступна для непосредственного наблюдения. Она отражает особенности внутренней структуры и скрытых взаимосвязей. Применение разработанного ПАК позволяет извлекать эту информацию и предоставлять ее в распоряжение специалиста, тем самым давая возможность соотносить между собой различные группы СИБ как по статистическим признакам, так и в динамике, по степени согласованности времени наступления СИБ различных кластеров.
Методология и методы исследования. Основные результаты получены с использованием теории информации, теории вероятностей и математической статистики, методов объектно-ориентированного программирования, работы с реляционными базами данных, а также Java EE технологии.
Положения, выносимые на защиту:
1. Алгоритм и методика кластеризации статистики потенциально опасной сетевой активности, на основе энтропийного анализа данных, позволяющие эффективно обрабатывать сущности, с малым количеством признаков измеренных в номинальной шкале и обладающих высоким значением вариативности.
2. Алгоритм и методика вычисления динамической зависимости, позволяющие оценить степень согласованности по времени между СИБ различных кластеров.
3. Алгоритмы и методика расчета нормированных показателей статистики СИБ: степень изученности кластера и непротиворечивости экспертной оценки, позволяющие оценить уровень действительной сетевой угрозы на основе ретроспективных данных, прошедших экспертную оценку.
4. ПАК, реализующий функционал аналитического сопровождения при эксплуатации СОВ, включающий в себя три подсистемы: вычислительную, хранения данных и визуализации, построенные на алгоритмах и методиках данной работы.

11
Личное участие автора в получении научных результатов. Все основные результаты, представленные в диссертационной работе, получены автором лично. В ходе работы были предложены алгоритмы и методики, позволяющие повысить эффективность исследования статистики сетевых СИБ, выполнена их реализация в виде ПАК, проведен вычислительный эксперимент и ряд опытно- экспериментальных испытаний.
Степень достоверности и апробация результатов. Достоверность научных исследований обосновывается полнотой и корректностью теоретических обоснований, использованием строгих математических доказательств, результатами вычислительного эксперимента и опытно-экспериментальных испытаний, подтверждающими правильность применения МИАД и повышение эффективности работы со статистикой СИБ, а так же апробацией и внедрением ПАК в производственную деятельность организаций лицензиатов ФСТЭК и образовательный процесс СибГУТИ, о чем свидетельствуют акты внедрения и использования результатов диссертационной работы.
Основные теоретические положения и результаты диссертации представлены в научных печатных изданиях и обсуждены на научных конференциях различного уровня. По теме диссертации опубликовано 10 научных работ, среди которых три изданы в рецензируемых научных изданиях, рекомендованных ВАК РФ, и два, приравненных к ним, свидетельства о государственной регистрации программ ЭВМ.

Заказать новую

Лучшие эксперты сервиса ждут твоего задания

от 5 000 ₽

Не подошла эта работа?
Закажи новую работу, сделанную по твоим требованиям

    Нажимая на кнопку, я соглашаюсь на обработку персональных данных и с правилами пользования Платформой

    Помогаем с подготовкой сопроводительных документов

    Совместно разработаем индивидуальный план и выберем тему работы Подробнее
    Помощь в подготовке к кандидатскому экзамену и допуске к нему Подробнее
    Поможем в написании научных статей для публикации в журналах ВАК Подробнее
    Структурируем работу и напишем автореферат Подробнее

    Хочешь уникальную работу?

    Больше 3 000 экспертов уже готовы начать работу над твоим проектом!

    Татьяна П.
    4.2 (6 отзывов)
    Помогаю студентам с решением задач по ТОЭ и физике на протяжении 9 лет. Пишу диссертацию на соискание степени кандидата технических наук, имею опыт годовой стажировки ... Читать все
    Помогаю студентам с решением задач по ТОЭ и физике на протяжении 9 лет. Пишу диссертацию на соискание степени кандидата технических наук, имею опыт годовой стажировки в одном из крупнейших университетов Германии.
    #Кандидатские #Магистерские
    9 Выполненных работ
    Яна К. ТюмГУ 2004, ГМУ, выпускник
    5 (8 отзывов)
    Помощь в написании магистерских диссертаций, курсовых, контрольных работ, рефератов, статей, повышение уникальности текста(ручной рерайт), качественно и в срок, в соот... Читать все
    Помощь в написании магистерских диссертаций, курсовых, контрольных работ, рефератов, статей, повышение уникальности текста(ручной рерайт), качественно и в срок, в соответствии с Вашими требованиями.
    #Кандидатские #Магистерские
    12 Выполненных работ
    Егор В. кандидат наук, доцент
    5 (428 отзывов)
    Здравствуйте. Занимаюсь выполнением работ более 14 лет. Очень большой опыт. Более 400 успешно защищенных дипломов и диссертаций. Берусь только со 100% уверенностью. Ск... Читать все
    Здравствуйте. Занимаюсь выполнением работ более 14 лет. Очень большой опыт. Более 400 успешно защищенных дипломов и диссертаций. Берусь только со 100% уверенностью. Скорее всего Ваш заказ будет выполнен раньше срока.
    #Кандидатские #Магистерские
    694 Выполненных работы
    AleksandrAvdiev Южный федеральный университет, 2010, преподаватель, канд...
    4.1 (20 отзывов)
    Пишу качественные выпускные квалификационные работы и магистерские диссертации. Опыт написания работ - более восьми лет. Всегда на связи.
    Пишу качественные выпускные квалификационные работы и магистерские диссертации. Опыт написания работ - более восьми лет. Всегда на связи.
    #Кандидатские #Магистерские
    28 Выполненных работ
    Катерина В. преподаватель, кандидат наук
    4.6 (30 отзывов)
    Преподаватель одного из лучших ВУЗов страны, научный работник, редактор научного журнала, общественный деятель. Пишу все виды работ - от эссе до докторской диссертации... Читать все
    Преподаватель одного из лучших ВУЗов страны, научный работник, редактор научного журнала, общественный деятель. Пишу все виды работ - от эссе до докторской диссертации. Опыт работы 7 лет. Всегда на связи и готова прийти на помощь. Вместе удовлетворим самого требовательного научного руководителя. Возможно полное сопровождение: от статуса студента до получения научной степени.
    #Кандидатские #Магистерские
    47 Выполненных работ
    Оксана М. Восточноукраинский национальный университет, студент 4 - ...
    4.9 (37 отзывов)
    Возможно выполнение работ по правоведению и политологии. Имею высшее образование менеджера ВЭД и правоведа, защитила кандидатскую и докторскую диссертации по политоло... Читать все
    Возможно выполнение работ по правоведению и политологии. Имею высшее образование менеджера ВЭД и правоведа, защитила кандидатскую и докторскую диссертации по политологии.
    #Кандидатские #Магистерские
    68 Выполненных работ
    Сергей Н.
    4.8 (40 отзывов)
    Практический стаж работы в финансово - банковской сфере составил более 30 лет. За последние 13 лет, мной написано 7 диссертаций и более 450 дипломных работ и научных с... Читать все
    Практический стаж работы в финансово - банковской сфере составил более 30 лет. За последние 13 лет, мной написано 7 диссертаций и более 450 дипломных работ и научных статей в области экономики.
    #Кандидатские #Магистерские
    56 Выполненных работ
    Петр П. кандидат наук
    4.2 (25 отзывов)
    Выполняю различные работы на заказ с 2014 года. В основном, курсовые проекты, дипломные и выпускные квалификационные работы бакалавриата, специалитета. Имею опыт напис... Читать все
    Выполняю различные работы на заказ с 2014 года. В основном, курсовые проекты, дипломные и выпускные квалификационные работы бакалавриата, специалитета. Имею опыт написания магистерских диссертаций. Направление - связь, телекоммуникации, информационная безопасность, информационные технологии, экономика. Пишу научные статьи уровня ВАК и РИНЦ. Работаю техническим директором интернет-провайдера, имею опыт работы ведущим сотрудником отдела информационной безопасности филиала одного из крупнейших банков. Образование - высшее профессиональное (в 2006 году окончил военную Академию связи в г. Санкт-Петербурге), послевузовское профессиональное (в 2018 году окончил аспирантуру Уральского федерального университета). Защитил диссертацию на соискание степени "кандидат технических наук" в 2020 году. В качестве хобби преподаю. Дисциплины - сети ЭВМ и телекоммуникации, информационная безопасность объектов критической информационной инфраструктуры.
    #Кандидатские #Магистерские
    33 Выполненных работы
    Анна Н. Государственный университет управления 2021, Экономика и ...
    0 (13 отзывов)
    Закончила ГУУ с отличием "Бухгалтерский учет, анализ и аудит". Выполнить разные работы: от рефератов до диссертаций. Также пишу доклады, делаю презентации, повышаю уни... Читать все
    Закончила ГУУ с отличием "Бухгалтерский учет, анализ и аудит". Выполнить разные работы: от рефератов до диссертаций. Также пишу доклады, делаю презентации, повышаю уникальности с нуля. Все работы оформляю в соответствии с ГОСТ.
    #Кандидатские #Магистерские
    0 Выполненных работ

    Последние выполненные заказы

    Другие учебные работы по предмету

    Разработка моделей и методов маршрутизации в энергоэффективных ячеистых сетях дальнего радиуса действия
    📅 2021год
    🏢 ФГБОУ ВО «Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича»
    Разработка и исследование модели каналов линий связи космический аппарат-Земля при пыльных бурях
    📅 2022год
    🏢 ФГБОУ ВО «Владимирский государственный университет имени Александра Григорьевича и Николая Григорьевича Столетовых»
    Методы обработки принимаемых сигналов в системах связи с пространственно-временным разнесением
    📅 2022год
    🏢 ФГБОУ ВО «Владимирский государственный университет имени Александра Григорьевича и Николая Григорьевича Столетовых»