Please use this identifier to cite or link to this item: https://er.nau.edu.ua/handle/NAU/37400
Title: Методи та засоби підвищення достовірності ідентифікації несанкціонованих дій та атак в комп’ютерній мережі
Other Titles: Methods and ways of increasing the reliability of the identification of unauthorized actions and attacks in the computer network
Authors: Балакін, Сергій В'ячеславович
Keywords: комп’ютерна мережа
діагностування
трафік
виявлення вторгнень
штучна імунна система
ідентифікація
несанкціоновані дії
computer network
traffic
unauthorized actions
intrusion detection
diagnosis
artificial immune system
identification
компьютерная сеть
трафик
несанкционированные действия
обнаружение вторжений
диагностирование
искусственная иммунная система
идентификация
Issue Date: Dec-2018
Publisher: Національний авіаційний університет
Abstract: Дисертаційну роботу присвячено вирішенню актуального науково-технічного завдання – підвищенню достовірності ідентифікації несанкціонованих дій і атак в комп’ютерній мережі. Для ефективної, надійної та високошвидкісної ідентифікації несанкціонованих дій і атак в комп’ютерній мережі потрібно впроваджувати і використовувати методи, основані як на штучних імунних системах, так і на можливості діагностування вторгнень. Такий підхід дозволить підвищити ефективність ідентифікації несанкціонованих дій і дасть можливість автономно виявляти підозрілу активність. У роботі визначено методи виявлення несанкціонованих дій і атак в комп’ютерній мережі за рахунок використання засобів штучних імунних систем та діагностування на основі теорії Демпстера-Шафера, котрі дають можливості ефективно протидіяти вторгненням. Досліджено можливості використання операторів імунних систем для моделювання роботи запропонованих методів. На основі цих властивостей запропоновано процедури ідентифікації несанкціонованих дій і атак в комп’ютерній мережі.
The dissertation is devoted to solving the actual scientific and technical task - to increase the authenticity of identification of unauthorized actions and attacks in a computer network. For efficient, reliable and high-speed identification of unauthorized actions and attacks in the computer network, it is necessary to implement and use methods based on artificial immune systems and on the ability to diagnose intrusions. Such approach will increase the effectiveness of identifying unauthorized actions and will give an opportunity autonomically to find out suspicious activity. The paper identifies methods for detecting unauthorized actions and attacks in the computer network through the use of artificial immune systems and diagnosis on the basis of the Dempster-Shafer theory, which provide opportunities to effectively counteract the invasion. The possibilities of use of immune system operators for modeling the work of the proposed methods are explored. Based on these properties, procedures are proposed for identifying unauthorized actions and attacks on the computer network.
Диссертационная работа посвящена решению актуального научно-технического задача - повышению достоверности идентификации несанкционированных действий и атак в компьютерной сети. Для эффективной, надежной и высокоскоростной идентификации несанкционированных действий и атак в компьютерной сети нужно внедрять и использовать методы, основанные как на искусственных иммунных системах, так и на возможности диагностирования вторжений. Такой подход позволит повысить эффективность идентификации несанкционированных действий и даст возможность автономно обнаруживать подозрительную активность. В работе определены методы выявления несанкционированных действий и атак в компьютерной сети за счет использования средств искусственных иммунных систем и диагностирования на основе теории Демпстера-Шафера, которые дают возможность эффективно противодействовать вторжением. Исследованы возможности использования операторов иммунных систем для моделирования работы предложенных методов. На основе этих свойств предложено процедуры идентификации несанкционированных действий и атак в компьютерной сети.
Description: ЗМІСТ ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ…………………..……………………… 15 ВСТУП………………………………………..…………………………………… 16 РОЗДІЛ 1. АНАЛІЗ СТАНУ ПИТАННЯ І ПОСТАНОВКА ЗАВДАНЬ ДОСЛІДЖЕННЯ…………………………………………..……………………… 22 1.1 Науково-технічні проблеми виявлення несанкціонованих дій в комп’ютерних мережах………….…………………………………………… 22 1.2 Аналіз існуючих інструментальних засобів виявлення несанкціонованих дій і атак в комп’ютерних мережах…………………………………...…………………………………… 28 1.2.1 Сигнатурний аналіз……………………………..……………………… 30 1.2.2 Евристичний аналіз……………………………..……………………… 32 1.3 Порівняння методів і засобів підвищення надійності виявлення несанкціонованих дій і атак в комп’ютерних мережах…………………………………...…………………………………… 36 1.3.1 Продукційні системи…………………………………………………… 37 1.3.2 Статистичний метод…………………………………………………… 39 1.3.3 Штучні нейронні системи……………………………………………… 40 1.3.4 Мультиагентні системи………………………………………………… 42 1.3.5 Штучні імунні системи………..……………….….…………………… 43 1.3.6 Діагностика……………………………..……….……………………… 46 1.4. Висновки до першого розділу…………………….……..……………… 49 РОЗДІЛ 2. ОРГАНІЗАЦІЯ РОЗПІЗНАВАННЯ НД ЗАСОБАМИ ШТУЧНИХ ІМУННИХ МЕРЕЖ……………………………….……………………………… 50 2.1. Модель аналізатора несанкціонованих дій………..…………………… 50 2.2. Виявлення ознак для аналізу дій в мережі…………..……….………… 56 2.3. Вибір моделі штучної імунної системи………………………………… 57 2.3.1. Модель клонального відбору………….……………………………… 58 2.3.2. Модель штучної імунної мережі……………………………………… 61 2.3.3. Модель негативного/позитивного відбору………..…….…………… 64 2.3.4. Модель теорії небезпеки………………………….…………………… 65 2.3.5. Дендритна модель……………………………………………...……… 67 2.4. Опис операторів імунних моделей…………………………...………… 69 2.5. Розпізнавання несанкціонованих дій…………………………………… 76 2.6. Висновки розділу 2……………………………………………………… 80 РОЗДІЛ 3. ДІАГНОСТИКА……………………………………………………… 82 3.1. Вибір інструментальної бази для реалізації діагностування НД і опис основних операторів……….…….…………………………………………… 82 3.1.1. Дослідження операторів…….....……………………………………… 82 3.1.2. Визначення структури проникливості………..……………………… 84 3.1.3. Основне переконання………….……………………………………… 84 3.1.4. Правдоподібність переконання……………..………………………… 85 3.1.5. Оператори злиття……………………………………………………… 86 3.1.6. Застосування фрагментів часу……...………………………………… 87 3.1.7. Методика виявлення змін…...………………………………………… 88 3.2. Використання алгоритму затримки…………………………..………… 91 3.3. Організація моделі діагностування………………………..…………… 92 3.3.1. Дерево специфікацій……………………..…….……………………… 93 3.3.2. Дерево діагностики………….………………………………………… 94 3.3.3. Можливість спостереження…………………………………………… 98 3.3.4. Задача діагностування…………….………..………………………… 99 3.3.5. Процедура обчислення діагнозу……………………………………… 99 3.3.6. Методика відбору спостережуваних ………………..……………… 100 3.3.7. Процедура побудови симптомів…………………………..………… 100 3.3.8. Робота з симптомами………………………………………………… 103 3.3.9. Аналіз кінцевого діагнозу…………………………………………… 104 3.3.10. Перевірка діагностування…………..………….…………………… 106 3.3.11. Методика налаштування параметрів діагностики…..….….……… 108 3.4. Висновки до розділу 3……………………………….……….………… 110 РОЗДІЛ 4. ЕКСПЕРИМЕНТАЛЬНЕ ДОСЛІДЖЕННЯ...………..…………… 111 4.1. Опис інструментальної бази…………………………………………… 111 4.2. Отримання і обробка первинних даних при виявленні несанкціонованих дій……………..………………………………………… 114 4.3. Виявлення НД………………...………………………………………… 119 4.4. Аналіз ефективності……….…………………………………………… 127 ВИСНОВКИ……………..…………….………………………………………… 130 СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ………………..……………………… 132 ДОДАТОК А. Акти впpовадження у виpобничий та навчальний пpоцес…...146 ДОДАТОК Б. Список публікацій здобувача за темою дисертації та відомості про апробацію результатів дисертації…………………………….………..150 СПИСОК ОПУБЛІКОВАНИХ ПРАЦЬ ЗА ТЕМОЮ ДИСЕРТАЦІЇ: 1. Zhukov I. A. Detection of computer attacks using outliner method / Жуков І.А, Балакін С.В // Науковий журнал «Молодий вчений». 2016. – № 9(36). – С. 91-93. 2. Балакин С. В. Методы и средства повишения достоверности идентификации несанкционированных воздействий и атак в компьютерной сети / С. В. Балакин // VIII Міжнародна науково-технічна конференція «Комп’ютерні системи та мережні технології» : Тези доповідей.К.: НАУ, 2015. – С. 11-12. 3. Балакин С. В. Системы предотвращения атак в компьютерной сети на основе сигнатурных методов / С. В. Балакин // IХ Міжнародна науково-технічна конференція «Комп’ютерні системи та мережні технології» : Тези доповідей.К.: НАУ, 2016.- С. 12-13. 4. Балакин С. В. Средства диагностирования несанкционированных воздействий и атак в компьютерной сети / С. В. Балакин // Х Міжнародна науково-технічна конференція «Комп’ютерні системи та мережні технології» : Тези доповідей.К.: НАУ, 2017. – С. 13-14. 5. Balakin S. V. Traffic analysis for intrusion detection systems in telecommunication networks / С. В Балакін // XIV міжнародна науково-практична конференція «Політ.Сучасні проблеми науки» : Тези доповідей.К.: НАУ, 2014. – С. 59-60. 6. Жуков И. А. Идентификация атак в компьютерной сети методом усредненного времени обращений / И. А. Жуков., С. В. Балакин // Проблеми інформатизації та управління: зб. наук. праць. – К.: НАУ, 2015. – № 2(50). – С.65–69. 7. Балакін С. В. Застосування штучних імунних систем при виявленні шкідливих программ в комп’ютерній мережі / С. В. Балакін // Проблеми інформатизації та управління: зб. наук. праць. – К.: НАУ, 2017. – № 1-2(57-58). – С. 61-68. 8. Жуков И. А. Исследование эффективности метода обнаружения вторжений в компьютерные сети на основе искусственных иммуных систем / И.А. Жуков., С. В. Балакин // Проблеми інформатизації та управління: зб. наук. праць. – К.: НАУ, 2017. – № 3(59). – С. 65-69. 9. Балакин С. В. Выявление компьютерных атак с помощью мониторинга сетевых объектов / С. В. Балакін // Технологический аудит и резервы производства, 2015. – № 5-6(25). – С.36-38. 10. Балакин С. В. Организация пресечения вторжений в компьютерные сети алгоритмами выявления изменений/ Балакин С. В. // Вісник НТУ «ХПІ». Серія: Механіко-технологічні системи та комплекси. – Харків : НТУ «ХПІ», 2017. – № 20(1242). – С.3-7. 11. Жуков И. А. Обнаружение компьютерних атак с помощью метода отклонений / И. А. Жуков, С. В. Балакин // Радіоелектронні і комп’ютерні системи: наук. – техн. жур. – Х.: ХАИ, 2016. – №5(79). – С. 33-37. 12. Пат. 110330 Україна МПК G06F 12/14. Спосіб запобігання комп’ютерним атакам у мережі за допомогою фільтрації вхідних пакетів / Жуков І. А., Балакін С. В. – Опубл. в Б.І., 2016, №19. – 4 с. 13. Пат. 123634 Україна МПК G06F 12/14. Спосіб діагностування несанкціонованих дій в комп’ютерній мережі / Жуков І. А., Балакін С. В. – Опубл. в Б.І., 2018, №5. – 4 с. 14. Балакин С. В. Оптимизация искусственных иммунных систем при идентификации несанкционированных сетевых воздействий / С. В. Балакин // ХI Міжнародна науково-технічна конференція «Комп’ютерні системи та мережні технології» : Тези доповідей.К.: НАУ, 2015. – С. 7-8
URI: http://er.nau.edu.ua/handle/NAU/37400
Appears in Collections:Дисертації та автореферати спеціалізованої вченої ради Д 26.062.07

Files in This Item:
File Description SizeFormat 
diss_Balakin.pdf4.23 MBAdobe PDFView/Open
Aref_Balakin_.pdf9.26 MBAdobe PDFView/Open


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.