Koncepcja hybrydowego systemu detekcji robaków sieciowych wykorzystującego metody eksploracji danych

Podobne dokumenty
SYSTEMY UCZĄCE SIĘ WYKŁAD 5. LINIOWE METODY KLASYFIKACJI. Dr hab. inż. Grzegorz Dudek Wydział Elektryczny Politechnika Częstochowska.

Prawdopodobieństwo i statystyka r.

Kier. MTR Programowanie w MATLABie Laboratorium Ćw. 12

STATYSTYKA MATEMATYCZNA WYKŁAD 5 WERYFIKACJA HIPOTEZ NIEPARAMETRYCZNYCH

Bayesowskie modele w diagnostyce (seminarium)

Wykład 2: Uczenie nadzorowane sieci neuronowych - I

Dr Krzysztof Piontek. Metody taksonomiczne Klasyfikacja i porządkowanie

Parametry zmiennej losowej

Ćw. 5. Wyznaczanie współczynnika sprężystości przy pomocy wahadła sprężynowego

Udoskonalona metoda obliczania mocy traconej w tranzystorach wzmacniacza klasy AB

Analiza rodzajów skutków i krytyczności uszkodzeń FMECA/FMEA według MIL STD A

Plan wykładu: Typowe dane. Jednoczynnikowa Analiza wariancji. Zasada: porównać zmienność pomiędzy i wewnątrz grup

N ( µ, σ ). Wyznacz estymatory parametrów µ i. Y które są niezależnymi zmiennymi losowymi.

Wykład 2: Uczenie nadzorowane sieci neuronowych - I

SZACOWANIE NIEPEWNOŚCI POMIARU METODĄ PROPAGACJI ROZKŁADÓW

LABORATORIUM TECHNIKI CIEPLNEJ INSTYTUTU TECHNIKI CIEPLNEJ WYDZIAŁ INŻYNIERII ŚRODOWISKA I ENERGETYKI POLITECHNIKI ŚLĄSKIEJ

WYZNACZENIE ROZKŁADU TEMPERATUR STANU USTALONEGO W MODELU 2D PRZY UŻYCIU PROGRMU EXCEL

dr inż. ADAM HEYDUK dr inż. JAROSŁAW JOOSTBERENS Politechnika Śląska, Gliwice

SYSTEMY UCZĄCE SIĘ WYKŁAD 7. KLASYFIKATORY BAYESA. Dr hab. inż. Grzegorz Dudek Wydział Elektryczny Politechnika Częstochowska.

BADANIA OPERACYJNE. Podejmowanie decyzji w warunkach niepewności. dr Adam Sojda

W praktyce często zdarza się, że wyniki obu prób możemy traktować jako. wyniki pomiarów na tym samym elemencie populacji np.

Zapis informacji, systemy pozycyjne 1. Literatura Jerzy Grębosz, Symfonia C++ standard. Harvey M. Deitl, Paul J. Deitl, Arkana C++. Programowanie.

STATYSTYKA. Zmienna losowa skokowa i jej rozkład

Efekty zaokrągleń cen w Polsce po wprowadzeniu euro do obiegu gotówkowego

Ćwiczenie 10. Metody eksploracji danych

ROZWIĄZYWANIE DWUWYMIAROWYCH USTALONYCH ZAGADNIEŃ PRZEWODZENIA CIEPŁA PRZY POMOCY ARKUSZA KALKULACYJNEGO

Analiza danych OGÓLNY SCHEMAT. Dane treningowe (znana decyzja) Klasyfikator. Dane testowe (znana decyzja)

Projekt 6 6. ROZWIĄZYWANIE RÓWNAŃ NIELINIOWYCH CAŁKOWANIE NUMERYCZNE

KRZYWA BÉZIERA TWORZENIE I WIZUALIZACJA KRZYWYCH PARAMETRYCZNYCH NA PRZYKŁADZIE KRZYWEJ BÉZIERA


METODA USTALANIA WSPÓŁCZYNNIKA DYNAMICZNEGO WYKORZYSTANIA ŁADOWNOŚCI POJAZDU

FOLIA POMERANAE UNIVERSITATIS TECHNOLOGIAE STETINENSIS Folia Pomer. Univ. Technol. Stetin. 2010, Oeconomica 280 (59), 13 20

Badanie współzależności dwóch cech ilościowych X i Y. Analiza korelacji prostej

Zaawansowane metody numeryczne Komputerowa analiza zagadnień różniczkowych 1. Układy równań liniowych

PROBLEMATYKA DOBORU MIARY ODLEGŁOŚCI W KLASYFIKACJI SPEKTRALNEJ DANYCH SYMBOLICZNYCH

Problem plecakowy (KNAPSACK PROBLEM).

Kształtowanie się firm informatycznych jako nowych elementów struktury przestrzennej przemysłu

Zastosowanie procedur modelowania ekonometrycznego w procesach programowania i oceny efektywności inwestycji w elektroenergetyce

Sztuczne sieci neuronowe. Krzysztof A. Cyran POLITECHNIKA ŚLĄSKA Instytut Informatyki, p. 311

ZESTAW ZADAŃ Z INFORMATYKI

Zestaw zadań 4: Przestrzenie wektorowe i podprzestrzenie. Liniowa niezależność. Sumy i sumy proste podprzestrzeni.

Pattern Classification

SYSTEMY UCZĄCE SIĘ WYKŁAD 15. ANALIZA DANYCH WYKRYWANIE OBSERWACJI. Dr hab. inż. Grzegorz Dudek Wydział Elektryczny Politechnika Częstochowska

Weryfikacja hipotez dla wielu populacji

Część 1 7. TWIERDZENIA O WZAJEMNOŚCI 1 7. TWIERDZENIA O WZAJEMNOŚCI Twierdzenie Bettiego (o wzajemności prac)

RÓWNOWAGA STACKELBERGA W GRACH SEKWENCYJNYCH

ZASADY WYZNACZANIA DEPOZYTÓW ZABEZPIECZAJĄCYCH PO WPROWADZENIU DO OBROTU OPCJI W RELACJI KLIENT-BIURO MAKLERSKIE

OPTYMALIZACJA KOSZTÓW PRZEBUDOWY PORTFELA JAKO ZADANIE TRANSPORTOWE. 1. Problem badawczy

Wybrane rozkłady zmiennych losowych i ich charakterystyki

PERMUTACJE Permutacją zbioru n-elementowego X nazywamy dowolną wzajemnie jednoznaczną funkcję f : X X X

Sztuczne sieci neuronowe

Reprezentacje grup symetrii. g s

Analiza danych. Analiza danych wielowymiarowych. Regresja liniowa. Dyskryminacja liniowa. PARA ZMIENNYCH LOSOWYCH

Sortowanie szybkie Quick Sort

Stanisław Cichocki Natalia Nehrebecka. Zajęcia 4

METODA UNITARYZACJI ZEROWANEJ Porównanie obiektów przy ocenie wielokryterialnej. Ranking obiektów.

RÓWNOLEGŁY ALGORYTM NEURO-TABU DLA PROBLEMU GNIAZDOWEGO SZEREGOWANIA ZADAŃ

SYMULACJA KOMPUTEROWA NAPRĘŻEŃ DYNAMICZNYCH WE WRĘGACH MASOWCA NA FALI NIEREGULARNEJ

Grupowanie dokumentów XML ze względu na ich strukturę, z wykorzystaniem XQuery

65120/ / / /200

KURS STATYSTYKA. Lekcja 6 Regresja i linie regresji ZADANIE DOMOWE. Strona 1

( ) ( ) 2. Zadanie 1. są niezależnymi zmiennymi losowymi o. oraz. rozkładach normalnych, przy czym EX. i σ są nieznane. 1 Niech X

Modele wieloczynnikowe. Modele wieloczynnikowe. Modele wieloczynnikowe ogólne. α β β β ε. Analiza i Zarządzanie Portfelem cz. 4.

WikiWS For Business Sharks

Pattern Classification

Evaluation of estimation accuracy of correlation functions with use of virtual correlator model

5. OPTYMALIZACJA GRAFOWO-SIECIOWA

AUTOMATYKA I STEROWANIE W CHŁODNICTWIE, KLIMATYZACJI I OGRZEWNICTWIE L3 STEROWANIE INWERTEROWYM URZĄDZENIEM CHŁODNICZYM W TRYBIE PD ORAZ PID

Analiza Matematyczna Ćwiczenia. J. de Lucas

Rachunek prawdopodobieństwa i statystyka W 11: Analizy zależnościpomiędzy zmiennymi losowymi Model regresji wielokrotnej

Odczyt kodów felg samochodowych w procesie produkcyjnym

MODELOWANIE UKŁADÓW MECHANICZNYCH Z NIEPEWNYMI PARAMETRAMI

ZASTOSOWANIE TEORII ZBIORÓW ROZMYTYCH W HARMONOGRAMOWANIU ROBÓT BUDOWLANYCH METODĄ ŁAŃCUCHA KRYTYCZNEGO

MARTA GAWRON * METODY SYMULACJI STATYCZNEJ SIECI GAZOWEJ

SYSTEM NEURONOWO-ROZMYTY W ZASTOSOWANIU DO BADAŃ DEFORMACJI KONSTRUKCJI APPLICATION OF NEURAL-FUZZY SYSTEM IN STRUCTURE DEFORMATION ANALYSIS

0 0,2 0, p 0,1 0,2 0,5 0, p 0,3 0,1 0,2 0,4

Reakcja systemu elektroenergetycznego na deficyt mocy czynnej problematyka węzła bilansującego

JEDNOWYMIAROWA ZMIENNA LOSOWA

HARMONOGRAMOWANIE BUDOWY Z UWZGLĘDNIENIEM ROZMYTYCH CZASÓW WYKONANIA ROBÓT SCHEDULING OF CONSTRUCTION PROJECT WITH FUZZY PROCESSING TIMES

) będą niezależnymi zmiennymi losowymi o tym samym rozkładzie normalnym z następującymi parametrami: nieznaną wartością 1 4

Systemy Ochrony Powietrza Ćwiczenia Laboratoryjne

Procedura normalizacji

Problemy jednoczesnego testowania wielu hipotez statystycznych i ich zastosowania w analizie mikromacierzy DNA

Badania sondażowe. Braki danych Konstrukcja wag. Agnieszka Zięba. Zakład Badań Marketingowych Instytut Statystyki i Demografii Szkoła Główna Handlowa

Zaawansowane metody numeryczne

JEDNOWYMIAROWA ZMIENNA LOSOWA

Za: Stanisław Latoś, Niwelacja trygonometryczna, [w:] Ćwiczenia z geodezji II [red.] J. Beluch

Eksploracja danych. Grupowanie danych

Eugeniusz Rosołowski. Komputerowe metody analizy elektromagnetycznych stanów przejściowych

Sterowanie Ciągłe. Używając Simulink a w pakiecie MATLAB, zasymulować układ z rysunku 7.1. Rys.7.1. Schemat blokowy układu regulacji.

1.1. Uprość opis zdarzeń: 1.2. Uprościć opis zdarzeń: a) A B A Uprościć opis zdarzeń: 1.4. Uprościć opis zdarzeń:

Teoria niepewności pomiaru (Rachunek niepewności pomiaru) Rodzaje błędów pomiaru

6. ROŻNICE MIĘDZY OBSERWACJAMI STATYSTYCZNYMI RUCHU KOLEJOWEGO A SAMOCHODOWEGO

O PEWNYM MODELU POZWALAJĄCYM IDENTYFIKOWAĆ K NAJBARDZIEJ PODEJRZANYCH REKORDÓW W ZBIORZE DANYCH KSIĘGOWYCH W PROCESIE WYKRYWANIA OSZUSTW FINANSOWYCH

ZESZYTY NAUKOWE INSTYTUTU POJAZDÓW 5(96)/2013

Możliwość komputerowego wspomagania diagnozowania silników tłokowych stosowanych w transporcie morskim

Natalia Nehrebecka. Wykład 2

Laboratorium ochrony danych

Matematyka finansowa r.

Wielokategorialne systemy uczące się i ich zastosowanie w bioinformatyce. Rafał Grodzicki

Transkrypt:

KNWS 2010 95 Koncepca hybrydowego systemu detec robaów secowych wyorzystuącego metody esplorac danych Sławomr Ma Streszczene: W artyule została zaprezentowana oncepca hybrydowego systemu wyrywana robaów secowych wyorzystuącego metody esplorac danych. Proponowane podeśce bazue na detec anomal w montorowanym ruchu secowym, czyl dentyfowanu wszelch odchyleń różnych od wyuczonego, normalnego proflu sec, tóre z reguły wsazuą na próbę atau. Prezentowany model systemu analzue zarówno dane użytowe nesone przez paet, a równeż bada nagłówe paetu. Słowa luczowe: esploraca danych, roba secowy, deteca anomal 1. WPROWADZENIE Ata dotąd neznanych, nowych robaów secowych tzw. zero-day stanową obecne poważny problem użytownów sec omputerowych. Co węce, duża lczba wzaemne połączonych podatnych na to zagrożene systemów umożlwa ch łatwe rozprzestrzenane sę w sec. Powszechne wyorzystane systemy obrony przed zagrożenam secowym oraz techn wyrywana ataów operaą swoe dzałane na wcześne ustalonych znanych sygnaturach tychże ataów. Z tego powodu ne potrafą one suteczne zapobec lub wyryć nowy rodza atau, czyl neznanego wcześne robaa secowego. Znanych est wele przyładów robaów secowych, tóre gwałtowne rozprzestrzenaą sę w sec np. Code Red, Slammer lub Confcer. W onsewenc bardzo szybo nfeuą nszczą olene systemy powoduąc często znaczne straty fnansowe. Istneą dwa podeśca stosowane w secach omputerowych, na tórych bazuą systemy wyrywana zapobegana włamanom [3]. Perwsze opera sę na wyorzystanu sygnatur znanych ataów. Bezpeczeństwo w tym przypadu est główne uwarunowane atualnoścą wyorzystane bazy znanych ataów oraz szyboścą dentyfowana nowych zagrożeń przez espertów, tórzy rozpoznaą nowe ata. Główną zaletą tych systemów est wysoa suteczność wyrywana znanych zagrożeń. Z druge strony ne potrafą one wyrywać neznanych dotąd ataów. Druge podeśce opera sę na wyorzystanu techn, tóre dentyfuą ata bazuąc na wyrywanu odchyleń względem ustalonego proflu sec, a reprezentuącego e typową oczewaną atywność [3]. Węszość systemów bazuących na detec odchyleń od ustalonego proflu ruchu secowego wyorzystue techn esplorac danych metody odrywana wedzy w celu zwęszena swoe wydanośc efetywnośc [14]. Techn esplorac danych służą ao suteczne narzędze do wydobyca urytych zależnośc w zborach danych dlatego stanową często rdzeń badań. Innym słowy dzę technom data mnng możlwe est utworzene szczegółowego opsu sec. Co węce, pozwalaą one na uawnene urytych zależnośc współzależnośc, tóre bez użyca tychże techn byłyby trudne do wyryca. W artyule został zaproponowany model hybrydowego sytemu wyrywana robaów secowych wyorzystuący metody esplorac danych tzw. data mnng. Tae podeśce motywowane est prześwadczenem, że ombnaca różnych techn esplorac danych zwęsza fnalną suteczność systemu. Dzałane modelu opera sę na początowym ustalenu proflu sec, a następne w faze detec wyrywanu wszelch odchyleń od typowego ruchu secowego. Należy zaznaczyć, że w opsywanym przypadu system będze aplacą omputerową. Powszechne proponowane są dwa sposoby wyorzystana detec odchyleń od normalnego proflu ruchu secowego. Perwszy berze po uwagę nagłów paetów oraz wszele dodatowe nformace charateryzuące ruch secowy tae a znaczn czasowe, lość przesłanych danych, szybość transferu danych, td. Jedna w ogóle ne bada payload u. Zupełne przecwną grupę systemów reprezentue analza wyłączne danych użytowych nesonych przez paety. Obecne systemy wyrywana ntruzów w secach omputerowych bazuą w zdecydowane węszośc tylo na ednym, wybranym podeścu. Koncepca systemu przedstawona w tym artyule bazue na obu wymenonych technach. W rezultace oczeue sę zwęszena doładnośc dzałana systemu. Wyna to z tego, że ata robaów secowych wążą sę z dostarczanem złych danych, dlatego doładna analza danych nesonych przez paety est bardzo ważna. Ne należy edna zapomnać, że roba secowe dążą do rozprzestrzenana sę w sec, dlatego analza nagłówów est równe stotna co analza danych paetów. Zwązane est to z generowanem dodatowego ruchu secowego przez propaguące roba nternetowe,

96 KNWS 2010 tóry często ne porywa sę z ustalonym wcześne proflem [2]. Idea połączena lu lasyfatorów w ednym modelu, w celu zwęszena ego efetywnośc, ne est podeścem całowce nowym. Przyładowo w pracy [5] zaprezentowany est system operaący sę na trzech metodach: nawnym lasyfatorze Bayes a, sec neuronowe oraz algorytme -nablższych sąsadów. Mmo to prezentowany w artyule system wyróżna sę ze względu na ntegrace w obrębe systemu techn analzy nagłówa oraz payload u paetów. Dodatowo w celu zwęszena doładnośc wyrywana ntruzów łączy on w obszarze analzy nagłówów paetów dwe grupy techn esplorac danych t. grupowane oraz lasyface. 2. MODEL SYSTEMU Proponowany model systemu w celu oreślena proflu ruchu secowego używa zarówno nagłówa a danych użytowych nesonych przez paety. Mechanzm wyrywana ataów robaów secowych opera sę na wyorzystanu wcześne ustalonego proflu ruchu secowego. W onsewenc algorytmy wyrywana neprawdłowośc odchyleń od typowego proflu sec pracuą w dwóch fazach: faze uczena faze detec. W faze uczena typowy normalny ruch secowy est obserwowany odpowedne techn uczące, dedyowane właścwym metodom analzy, pozwalaą zbudować odpowedn profl. Z ole w faze detec, ruch secowy est porównywany z ustalonym wcześne proflem ażde odchylene od normalnego zachowana sę sec est tratowane ao sytuaca neprawdłowa. atrybutów, poddawane są one odpowednm procesom pozwalaącym ostateczne uzysać onretne dane, tóre stanową dane weścowe dla odpowednch techn esplorac danych. Dane użytowe paetu są analzowane z użycem analzy n-gram, tóra est typową metodą statystyczną. Z ole odpowedne atrybuty nagłówa paetu przetwarzane są z użycem techn lasyfac oraz metod lasteryzac (grupowana). Efetem uczena wybranych techn esplorac danych, wyorzystywanych zarówno w przypadu nagłówa, a danych użytowych paetu, est powstane odpowednch model oreślaących normalny profl ruchu secowego. W faze detec otrzymane uprzedno modele wyorzystywane są w procesach porównana, a następne ch wyn przeazywany est do blou decyzynego, tóry opera sę na modelu probablstycznym nawnym lasyfatorze Bayes a. Należy zaznaczyć, że na etape techn esplorac danych uczene lasyfatorów będze przebegało bez nadzoru. Natomast moduł decyzyny będze uczony pod nadzorem. Ważną cechę proponowanego systemu stanow możlwość tworzena proflu sec w trybe nrementacynym. Umożlwa to łatwe przystosowane sę systemu do zman poawaących sę w montorowane sec. Profl sec może być uatualnony nawet w trace fazy detec, eśl zadze taa potrzeba. Ostateczne prezentowany system pownen charateryzować sę zwęszoną precyza wyrywana robaów secowych, dzę połączenu ombnac metod analzy nagłówa danych użytowych paetów. Ostatną ważną cechą modelu est częścowa odporność na specyfczny typ atau, gdy atauący próbue uryć swoą atywność poprzez powelane normalnego zachowana sec. W olenych rozdzałach zostaną doładne opsane algorytmy techn wyorzystane w proponowanym systeme wyrywana robaów secowych. 3. EKSPLORACJA DANYCH W trace analzy odpowednch danych zebranych w procese montorowana ruchu secowego wyorzystywane są różne techn esplorac danych. W olenych secach rozdzału scharateryzowane są róto metody użyte w proponowanym modelu. Sprowadza sę to główne do przedstawena ogólnego procesu postępowana w przypadu wybrane grupy techn. Wszyste metody są trenowane podczas procesu uczena nenadzorowanego, co sprawa że proces uczena est całowce nezależny od użytowna. Oznacza to równeż, że uczene odbywa sę w sposób całowce automatyczny. To duży plus proponowane aplac. Rys. 1. Model systemu wyrywana ataów robaów secowych Na rysunu 1 przedstawono model systemu wyrywana ataów robaów nternetowych. Ruch secowy est stale montorowany, a olene paety IP są fltrowane wstępne obrabane w faze przygotowana danych. Na tym etape w ramach ażdego paetu wyodrębnany est nagłówe dane użyteczne nesone w częśc danych paetu. Następne podczas wyboru 3.1. ANALIZA DANYCH PAKIETU Schemat blou analzuącego dane użyteczne przenoszone przez paety, został przedstawony na rysunu 2. Proponowany model został oparty na systeme opsanym w [13]. Wymaga użyca algorytmu analzy n-gram oraz wyorzystana lasyfac bazuące na grupowanu paetów o różne długośc danych użytowych. Zastosowane analzy n-gram w omawanym systeme polega na zlczanu lośc wystąpeń onretnych

KNWS 2010 97 wartość batów (znaów ASCII) w danych użytecznych przenoszonych przez paet. Proponowana metoda załada model zbudowany z un-gram ów, czyl dla n = 1. Rezultatem te analzy est 256 elementowy wetor oreślaący rozład częstośc batów dla ażdego paetu. nesończone wartośc odległośc dla odchylena standardowego σ równego zero. Nestety lczba model powstałych w procese uczena może być bardzo duża ze względu na zróżncowaną długość paetów oraz lczbę możlwych portów danego systemu. W zwązu z tym duża lczba model est reduowana w procese lasteryzac (grupowana). Prowadz to do uporządowana model w lastry, czyl grupy model. Elementy dane grupy są podobne bardze do model z dane grupy nż do pozostałych model. W procese porównana dwóch sąsednch model wyorzystana est odległość Manhattan. Je wartość est oblczana na podstawe wzoru (2): 255 d ( B, A) B A, (2) 0 Gdze B oraz A są wetoram średnch częstośc wartośc batów różnych model. Jeśl odległość est mnesza nż pewna wartość progowa dwa modele są łączone. Dodatowo oblczane są nowe wartośc średne rozładu batów, odchylena standardowego oraz waranc. Proces grupowana trwa ta długo, aż stnee eszcze model możlwy do zgrupowana. Rys. 2. Model blou analzuącego payload Podczas fazy uczna, dla danego zboru danych uczących budowane są modele M. Dla ażdego paetu przychodzącego wychodzącego, dla danego adresu, dla ażdego portu oraz długośc danych użytecznych (payload u), model przechowue zwęszane nrementacyne: średną częstość wartośc batów, odchylene standardowe oraz warance. Dla danego modelu M tworzą one 256 elementowe (lczba znaów odu ASCII) wetory. Przyładową znormalzowaną średna częstość wartośc batów dla portu 80 oraz dla długośc danych użytecznych równe 1460 przedstawa rysune 3. Z ole podczas fazy detec te same wartośc są oblczane dla ażdego paetu następne zostaą porównane z wartoścam modelu. Wyryce problemu sygnalzowane est w sytuac, eśl znacząco różną sę od danego modelu. Jao metoda porównana dane prób danych z modelem est wyorzystywana uproszczona postać odległośc Mahalanobs a, tóra est często używana w zadanach wymagaących omparac dwóch rozładów statystycznych. Je wartość est oblczana na podstawe wzoru (1): d( B, A) 255 0 B A, gdze B oraz A są wetoram częstośc wartośc batów, wetor B est wetorem częstośc wartośc batów nowego payload u, a A est wetorem średnch częstośc wartośc batów oblczonych w procese uczena. σ est odchylenem standardowym dla -tego znau ASCII, podczas gdy α est współczynnem wygładzena dodanym, aby zapobec możlwośc uzysana (1) Rys. 3. Znormalzowana średna częstość wartośc batów dla portu 80 długośc payload u 1460 Opsana metoda analzy payload u może zostać dodatowo zmodyfowana o użyce fltru Bloom a [12], tóry est prostą oszczędna pamęcowo struturą reprezentuącą dany zbór elementów. Innym rozwnęcem prezentowanego modelu może być techna opsana w [6]. Wsazue ona, że zwęszene efetywnośc wyrywana robaów secowych można uzysać porównuąc dane użytowe paetów przychodzących z danym użytowym nesonym przez paety wychodzące. Dlatego proponowany system est dodatowo wzbogacony o porównywane poderzanych model opsuących ruch przychodzący wychodzący dla danego portu. Wąże sę to z fatem, że często roba nternetowe rozprzestrzenaą te same dane, dzę tórym udało m sę zanfeować obecny system. 3.2. ANALIZA NAGŁÓWKA PAKIETU Analza nagłówa paetu równeż polega na ustalenu odpowednch profl sec w faze uczena oraz na wyrywanu wszelch nezgodnośc względem tych profl w faze detec. Podstawowym atrybutam nagłówów, tóre pownny być uwzględnone w tym procese są: źródłowy docelowy adres IP, źródłowy docelowy numer portu, typ paetu, długość danych użytecznych przenoszonych przez paet oraz czas życa

98 KNWS 2010 paetu (TTL). Wybrane do opsywanego systemu metody reprezentuą dwe grupy szeroo stosowanych techn esplorac danych: lasteryzac (grupowana) oraz lasyfac. W zastosowanu wyrywana ntruzów metody lasteryzac wymagaą zboru normalnych danych, tóre są wyorzystywane w procese uczena modelu. W tym przypadu w faze detec, ao anomale tratowane są wszele prób odstaące od wzorca ne pasuące do utworzonego modelu. Elementy odstaące zwane są z angelsego outler am. W celu ch wyryca stosue sę różne techn detec elementów odstaących. Przyładowo można zastosować podeśce nablższego sąsada, odległośc Mahalanobs a lub oceny gęstośc możlwośc wystąpena elementów odstaących [7]. 1 x. (5) c x Równane (5) pozwala wyznaczene środów ażdego lastra. Po wyznaczenu środów wszystch grup algorytm est gotowy do lasyfac. W przypadu omawanego systemu podczas tego procesu wyorzystywane są techn wyrywana outler ów. Ich wyryce będze oznaczało, że dany paet ne est typowym dla onretnego, wcześne wytrenowanego proflu sec. W tym celu należy oblczyć odległość nowych danych od środa nablższego lastra orzystaąc z równana (4). Jeśl oblczona odległość est węsza od wcześne ustalone wartośc progowe d max oznacza to, że dany paet est tratowany ao outler [10]. Metoda wyrywana outler ów została zobrazowana na rysunu 5. Obety A B są outler am, natomast obet C znadue sę w obszarze ogranczonym przez odległość d max est dentyfowany ao, należący do danych reprezentuących nagłów paetów typowe dla ustalonego proflu ruchu secowego sec. c Rys. 4. Ogólny model metod grupowana Ogólny schemat obrazuący dzałane algorytmów lasteryzac est przedstawony na rysunu 4. Klasteryzaca danych przeprowadzana est z wyorzystanem wybrane mary podobeństwa oraz algorytmu grupowana. Podstawowym zaletam grupowana są łatwość użyca w systemach pracuących w trybe on-lne oraz uczene bez nadzoru. Natomast główną wadą est stosunowo duża złożoność oblczenowa, szczególne w procese uczena oraz problemy z grupowanem danych o duże lość wymarów. Proponowane metody grupowana to algorytmy: -średnch, masymalne wartośc oczewane (EM), Cobweb lub DBSCAN. Przyładem dobrze znane metody esplorac danych, a często wyorzystywane w przypadu lasteryzac est wspomnany wcześne algorytm -średnch. Zastosowany w omawanym systeme pozwala na wyryce netypowego nagłówa paetu, sygnalzuąc ednocześne netypowy ruch secowy. Bazue na wyorzystanu mary odległośc euldesowe. W procese uczena algorytm terue przez wszyste dane uczące, uatualnaąc archteturę wewnętrznych grup (lastrów). Każdy wetor x należący do zboru uczącego może być reprezentowany ao wetor n elementowy (3): x x, x2,..., x. (3) 1 n Odległość euldesowa dwóch wetorów x oraz y wyraża sę ponższym równanem (4): n d x, y x y x y. (4) Natomast średną μ zboru wetorów c defnue wzór (5): 1 2 Rys. 5. Wyrywane outler ów Druga grupę techn esplorac danych stanową metody lasyfac. W przecweństwe do techn lasteryzac uczene zachodz w procese pod nadzorem przy czym odpowedne modele są uczone na trenngowe próbe ruchu secowego, przy założenu, że analzowane dane uczące są wolne od wszelch odchyleń anomal. Wobec uczena model edyne na normalnym typowym ruchu secowym należy zastosować odpowedne techn uczena zwane PU learnng [8]. Umożlwaą one uczene w sytuac, gdy do procesu uczna możlwe est wyorzystane tylo pozytywnych danych uczących. Dosonale nadaą sę one w prezentowanym modelu poneważ są całowce automatyczne ne wymagaą posadana w procese uczena danych oznaowanych ao nfece lub ata. W lteraturze stnee wele podeść do problemu uczena PU learnng. Jedno z nch est opsane w [8], gdze zaproponowane est dwu stopnowe podeśce do procesu uczena lasyfatora. Ogólny model obrazuący proces lasyfac est przedstawony na rysunu 6. Identyfowane danych przeprowadzane est dzę wybranu odpowedne techn lasyfac oraz wstępne znaomośc przynależnośc danych do oreślonych las. W efece zastosowana dane reguły lasyfac, możlwe est przypsane neznanych (nowych) danych do odpowedne lasy. Podstawową zaletą grupowana est wysoa suteczność doładność procesu uczena. Z ole

KNWS 2010 99 naważneszą wadą oazue sę być możlwa duża lczba fałszywych alarmów. Proponowane techn lasyfac to algorytmy -nablższych sąsadów oraz C4.5 (drzewa decyzyne). Rys. 6. Ogólny model metod lasyfac 4. NAIWNY KLASYFIKATOR BAYES A Moduł decyzyny stanow neao ostatną warstwę proponowanego systemu (rys. 1). Dane weścowe tego blou stanową rezultaty analzy nagłówa danych użytecznych paetów. Natomast nformaca wyścowa z modułu stanow ostateczny rezultat analzy ruchu secowego. Zastosowany nawny lasyfator Bayes a est prostym lasyfatorem probablstycznym bazuącym na modelach probablstycznych. Uzyswane są one wsute użyca reguły Bayes a. Duża zaletą nawnego lasyfatora Bayes a est wysoa efetywność uczena w procese nadzorowanym. Pommo nawne budowy oraz na pozór zbyt uproszczonych założeń, nawny lasyfator Bayes a bardzo często pracue bardzo wydane est wyorzystywany w welu pratycznych sytuacach [4]. W przecweństwe do nższych warstw systemu ne est to moduł o dużym somplowanu. Jego głównym celem est edyne nterpretaca wynów analzy przeprowadzone z użycem omówonych wcześne techn data mnng. Reguła Bayes a umożlwa oblczene prawdopodobeństwa hpotezy bazuąc na e prawdopodobeństwe a pror. Wyraża sę ona wzorem (6): X Y ) Y ) Y X ) (6) X ) W równanu (6) Y oznacza pewną hpotezę, podczas gdy X oznacza wszele dane oraz wstępną wedzę, tóra może wpłynąć na ocenę prawdopodobeństwa te hpotezy. Y X) est prawdopodobeństwem a posteror hpotezy Y przy znaomośc danych X, Y) est prawdopodobeństwem a pror hpotezy Y, X) est prawdopodobeństwem danych X, a X Y) oreśla prawdopodobeństwo warunowe [11]. Nawny lasyfator Bayes a pozwala na oblczene prawdopodobeństwa warunowego przy założenu, że atrybuty dane lasy oznaczone ao y są warunowo nezależne od sebe. Założene warunowe nezależnośc przedstawa równane (7): d P ( X Y y) X Y y), (7) 1 gdze ażdy zbór atrybutów X = {X 1, X 2,, X d } słada sę z d atrybutów [11]. Podstawową zadanem podczas procesu budowana nawnego lasyfatora Bayes a est ego odpowedne uczene. Należy założyć, że Y oraz atrybuty X 1 X d są reprezentowane ao wartośc dysretne. W tym przypadu prawdopodobeństwo, że Y przyme swoą -tą możlwą wartość, zgodne z regułą Bayes a wyraża ponższy wzór (8): Y y X... X 1 ) P Y y P X 1... X d Y y P Y y P X... X Y y d gdze suma est dla wszystch możlwych wartośc y dane Y [1,9]. Przymuąc, że atrybuty X są warunowo nezależne, a zatem wyorzystuąc równe (7), wyrażene (8) przymue następuącą postać (9): 1 d, (8) P Y y P X Y y P ( Y y X 1... X d ). (9) P Y y P X Y y Równane (9) est fundamentalnym równanem opsuącym nawny lasyfator Bayes a. Często stotne est znalezene edyne nabardze prawdopodobne wartośc Y. Wyraża to reguła (10): Y arg max y P Y y P X Y y P Y y P X Y y. (10) Uwzględnaąc, że manown ne est zależny od y równe (10) sprowadza sę do postac (11) tzw. nawne reguły lasyfac Bayes a [9]: Y arg max P Y y P X Y y. (11) 5. PODSUMOWANIE y Obecne proponowany hybrydowy system wyrywana ataów robaów secowych, a wyorzystuący techn esplorac danych est w faze budowy. Jedna argumenty przedstawone w artyule pozwalaą przypuszczać, że proponowany system wyaże sę wysoą sutecznoścą precyzą w wyrywanu robaów nternetowych. Opsany model charateryzue sę stosunowo małą złożonoścą w faze detec, a algorytmy w węszośc charateryzuą sę lnową złożonoścą, dlatego pownen sprawdzć sę w rzeczywstych secach omputerowych ao system alarmuący o ataach. Szczególną zaletą oferowaną przez system est wyrywane neznanych dotąd robaów secowych. Koleną ważną cechą systemu oazue sę fat, że faza uczena oraz faza detec trzonu aplac bazuącego na technach esplorac danych, przebega całowce automatyczne. Co węce system może być trenowany w ażde sec, przy założenu, że przez czas uczena ruch secowy będze wolny od wszelch neprawdłowośc.

100 KNWS 2010 LITERATURA [1] Caruana R., Nculescu-Mzl A., An Emprcal Comparason of Supervsed Learnng Algorthms, Cornell Unversty, 2006. [2] Cheema F. M., Aram A., Iqbal Z., Comparatve Evaluaton of Header vs. Payload based Networ Anomaly Detectors, Proceedngs of the World congress on Engneerng, VOL.1 WCE 2009, 2009. [3] Doas P., Ertoz L., Kumar V., Lazarevc A., Srvastava J., Tan P. N., Data mnng for networ ntruson detecton, The NSF Worshop on Next Generaton Data Mnng, 2002. [4] Fard D., Rahman M. Z., Anomaly Networ Intruson Detecton Based on Improved Self Adaptve Bayesan Algorthm, Journal of computers, VOL.5, 2010. [5] Kholf S., Habb M., Alahdal S., Best hybrd classfers for ntruson detecton, Journal of Computatonal Methods n Scence and Engneerng, 2006, ss. 299 307. [6] Km H. A., Karp B., Autograph: Toward Automated Dstrbuted Worm Sgnature Detecton, USENIX Securty Symposum, 2004. [7] Lazarevc A., Ertoz L., Kumar V., Ozgur A., Srvastava J., A comparatve study of anomaly detecton schemes n networ ntruson detecton, Proceedngs of the Thrd SIAM Internatonal Conference on Data Mnng, 2003. [8] L X., Yu P. S., Lu B., Ng S., Postve Unlabeled Learnng for Data Stream Classfcaton, SDM 2009, 2009, ss. 257-268. [9] Mtchell T. M., Machne learnng, McGraw Hll, 2005. [10] Münz G., L S., Carle G., Traffc Anomaly Detecton Usng K-Means Clusterng, In GI/ITG Worshop MMBnet, 2007. [11] Tan P., Stenbach M., Kumar V., Introducton to data mnng, Boston: Pearson Addson Wesley, 2006. [12] Wang K., Pareh J. J., Stolfo S., Anagram: A Content Anomaly Detector Resstant To Mmcry Attac, Proceedngs of the 9th Internatonal Symposum on Recent Advances n Intruson Detecton, RAID, 2006. [13] Wang K., Stolfo S., Anomalous payload-based networ ntruson detecton, Recent Advances n Intruson Detecton, RAID, 2004, ss. 203 222. [14] Zhang J., Zulernne M., Networ Intruson Detecton usng Random Forests, IEEE Transactons on Systems, Man, and Cybernetcs, 2008. mgr nż. Sławomr Ma Poltechna Łódza Katedra Mroeletron Techn Informatycznych ul. Wólczańsa 221/223 90-924 Łódź tel.: 663 488 475 e-mal: ma@dmcs.pl

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres