Количественные критерии для распознавания некорректного поведения пользователей компьютерных сетей ⁷⁰⁶

Представлены два критерия для выявления отклонений в поведении пользователей при диагностике сетевых угроз. Первый из них опирается на технику проверки статистических гипотез и использует в качестве инструмента для формирования целевой статистики самоорганизующиеся карты признаков (сети Кохонена), представляющие один из видов самообучающихся нейронных сетей. Второй критерий определяет категории пользователей с отклонениями в поведении по выполненным последовательностям типовых действий, используя для представления динамики их поведения марковские процессы с дискретными состояниями и дискретным временем (цепи Маркова).

Ключевые слова: сетевые угрозы, поведение пользователей компьютерных сетей, самоорганизующиеся карты признаков, нейронные сети , цепи Маркова

Рубрика: Математическая психология

Тип: научная статья

DOI: https://doi.org/10.17759/exppsy.2018110302

Защита от сетевых угроз в настоящее время является одной из важнейших проблем информационной безопасности компьютерных систем. Применяемые в облачной среде стандартные средства ее поддержки, включая средства идентификации пользователей, ограничения прав доступа и объемов трафика, шифрование данных, программно-аппаратная защита низкого уровня и привлечение в особых случаях операторов в режиме ручного управления, не обеспечивают должную эффективность.

1. Большев А.К. Алгоритмы преобразования и классификации трафика для обнаружения вторжений в компьютерные сети: дисс. ... канд. техн. наук: 05.13.11, 05.13.19 СПб.: Гос. электротехн. ун-т (ЛЭТИ), 2011. 155 с.
2. Дайнеко В.Ю. Разработка модели и алгоритмов обнаружения вторжений на основе динамических байесовских сетей: дисс. ... канд. техн. наук: 05.13.19. СПб.: Нац. исслед. ун-т информац. технологий, механики и оптики, 2013. 131 с.
3. Куравский Л.С., Марголис А.А., Мармалюк П.А., Панфилова А.С., Юрьев Г.А. Математические аспекты концепции адаптивного тренажера // Психологическая наука и образование. 2016. Т. 21. № 2. C. 84—95. doi: 10.17759/pse.2016210210
4. Куравский Л.С., Юрьев Г.А. Вероятностный метод фильтрации артефактов при адаптивном тестировании // Экспериментальная психология. 2012. Т. 5. № 1. С. 119—131.
5. Куравский Л.С., Юрьев Г.А. Использование марковских моделей при обработке результатов тестирования // Вопросы психологии. 2011. № 2. С. 98—107.
6. Куравский Л.С., Юрьев Г.А., Ушаков Д.В., Поминов Д.А., Юрьева Н.Е., Валуева Е.А., Лаптева Е.М. Диагностика по тестовым траекториям: метод паттернов // Экспериментальная психология. 2018. Т. 11. №. 2. С. 77—94. doi:10.17759/exppsy.2018110206.
7. Марковские модели в задачах диагностики и прогнозирования: Учеб. пособие / Под ред. Л.С. Куравского. 2-е изд., доп. М.: Изд-во МГППУ, 2017. 203 с.
8. Отчет о прикладных научных исследованиях и экспериментальных разработках на тему «Разработка интеллектуальных алгоритмов выявления сетевых угроз в облачной вычислительной среде и методов защиты от них, основанных на анализе динамики трафика и определении отклонений в поведении пользователей» // № госрегистрации АААА-А17-117122890077-5. Этап 1. ФЦП «Исследования и разработки по приоритетным направлениям развития научно-технического комплекса России на 2014— 2020 годы». Соглашение о предоставлении субсидии № 14.579.21.0155 от 26.09.2017.
9. Фаткиева Р.Р. Корреляционный анализ аномального сетевого трафика // Труды СПИИРАН. 2012. Вып. 23. С. 93—99.
10. Фаткиева Р.Р. Модель обнаружения атак на основе анализа временных рядов // Труды СПИИРАН. 2012. Вып. 2. С. 71—80.
11. Фаткиева Р.Р., Левоневский Д.К. Детектирование компьютерных атак методом сингулярного спектрального разложения // Труды СПИИРАН, 2013. Вып. 25. С. 135—147.
12. Фаткиева Р.Р., Левоневский Д.К. Применение бинарных деревьев для агрегации событий систем обнаружения вторжений // Труды СПИИРАН. 2015. Вып. 40. C. 110—121.
13. «CatchSync»: Catching Synchronized Behavior in Large Directed Graphs. [Электронный ресурс]. URL: http://www.meng-jiang.com/pubs/catchsync-kdd14/catchsync-kdd14-paper.pdf (дата обращения: 09.02.2018).
14. AlGhamdi G.A., Laskey K.B., Wright E.J., Barbara D., and Chang K. Modeling insider user behavior using multi-entity Bayesian network // 10th International Command and Control Research and Technology Symposium. 2008. Vol. 4444. № 703.
15. Banafar H., Sharma, S. Intrusion Detection and Prevention System for Cloud Simulation Environment using Hidden Markov Model and MD5 // International Journal of Computer Applications. 2014. Vol. 90. № 19. Р. 6—11. doi: 10.5120/15826-4490
16. Hameed U.N., Ahamd F., Alyas T., Khan, W. Intrusion Detection and Prevention in Cloud Computing using Genetic Algorithm // International Journal of Scientific and Engineering Research. 2014. Vol. 5.
17. Herrero A, Corchado E. In: Abraham A, Hassanien A-E, de Carvalho A, Editors. Mining Network Traffic Data for Attacks through MOVICAB-IDS Foundations of Computational Intelligence, 4 204. Berlin/ Heidelberg: Springer; 2009. Pp. 377—94
18. Hong B., Peng F., Deng B., Hu Y., Wang D. DAC-Hmm: detecting anomaly in cloud systems with hidden Markov models // Concurrency Computat.: Pract. Exper. 2015. Vol: 27. Рp. 5749—5764. doi: 10.1002/ cpe.3640
19. Hua Zhang, Shixiang Zhu, Xiao Ma, Jun Zhao, Zeng Shou. A Novel RNN-GBRBM Based Feature Decoder for Anomaly Detection Technology in Industrial Control Network. IEICE Transactions. 2017. Pp. 1780— 1789.
20. Kohonen T. Self-Organizing Maps, Springer. 3th Ed. 2001. 501 p.
21. Kuravsky L.S., Marmalyuk P.A., Yuryev G.A., Belyaeva O.B., Prokopieva O.Yu. Mathematical Foundations of Flight Crew Diagnostics Based on Videooculography Data [Электронный ресурс] // Applied Mathematical Sciences. 2016. Vol. 10. № 30 Р. 1449—1466. URL: https://doi.org/10.12988/ ams.2016.6122.
22. Kuravsky L.S., Yuryev G.A. On the approaches to assessing the skills of operators of complex technical systems. // In: Proc. 15th International Conference on Condition Monitoring & Machinery Failure Prevention Technologies, Nottingham, UK. 2018. 25 pp.
23. Modi K., Quadir A. Detection and Prevention of DDoS Attacks on the Cloud using Double-TCP Mechanism and HMM-based Architecture // International Journal of Cloud Computing and Services Science (IJ-CLOSER). 2014. Vol. 3.
24. Secure use of cloud apps & services. CABS. Cloud Access Security Broker. Symantec [Электронный ресурс]. URL: https://www.symantec.com/content/dam/symantec/docs/solution-briefs/secure-use-of-cloud-apps-and-services.pdf (дата обращения: 09.02.2018).
25. Singh T., Verma S., Kulshrestha V., Katiyar S. Intrusion Detection System Using Genetic Algorithm for Cloud. // In: Proceedings of the Second International Conference on Information and Communication Technology for Competitive Strategies</em> (ICTCS ‘16). ACM, New York, NY, USA. 2016. Article 115. 6 pages. DOI: https://doi.org/10.1145/2905055.2905175
26. Wang Y., Anguo Z., Jichun Z. A Case-Based Reasoning Method for Network Security Situation Analysis. International Conference on Control, Automation and Systems Engineering (CASE). 2011. Pp. 1—4.
27. Yu M., Huang S., YuQ., Wang Y., Gao J. A Density-based Binary SVM Algorithm in the Cloud Security // International Journal of Security and Its Applications. 2015. Vol. 9. Pp. 153—162. doi: 10.14257/ijsia.2015.9.7.14