Software & Systems

Среди многообразия информационных систем геоинформационные системы (ГИС) занимают особое место, поскольку в них к функциональным данным о текущих характеристиках и свойствах объектов реального мира добавляются пространственные данные, что позволяет найти местоположение интересующего объекта, отследить его передвижение, оценить окружающую обстановку и т.п. Развитие цифровых технологий показывает, что практически любая информационная система уже становится или станет в недалеком будущем ГИС. Использование геоинформации расширяет горизонты анализа при принятии решений и позволяет поднять решение прикладных задач по приоритетным направлениям на каче- ственно новый уровень [1].

ГИС является аппаратно-программным, человеко-машинным (автоматизированным) комплексом, обеспечивающим актуализацию данных благодаря функциям сбора, обработки, отображения, передачи координируемых по пространству и времени данных, а также их интеграцию в представление о территории. Эти функции позволяют решать актуальные научно-практические и теоретические задачи анализа, моделирования, прогнозирования, управления системами окружающей среды и территориальной организацией сообществ и другие.

Популярность приложений ГИС делает их уязвимыми к DDoS-атакам, целью которых является отказ в обслуживании и препятствование доступу легитимных пользователей к атакуемому приложению. По открытым данным Лаборатории Касперского в целом наблюдается динамика роста DDoS-атак по сравнению с другими атаками (рис. 1). Это можно объяснить развитием новых интеллектуальных методов обеспечения информационной безопасности, что со стороны злоумышленника приводит к появлению технически более сложных (умных) атак.

Актуальность данной работы обусловлена необходимостью совершенствования методического аппарата для обнаружения возможных угроз в условиях динамики их роста и изменения концепций воздействий на пространственные данные в ГИС поддержки принятия решений [2].

Описание предлагаемого решения

Для решения этой задачи предлагается использовать алгоритм и реализацию искусственной нейронной сети (ИНС) для обнаружения распределенных атак типа DDoS.

За основу взята обобщенная математическая модель искусственного нейрона [3, 4]: , где out – выход нейрона; f – функция активации;  – взвешенная сумма.

В качестве функции активации была вы- брана сигмоидальная функция: f(uk + bk) = , где a – параметр наклона сигмоиды; bk – порог; f(uk + bk) – функция активации; uk – взвешенная сумма.

Парадигма обучения нейронной сети – обучение с учителем. Идея состоит в том, что веса меняются согласно локальному градиенту функции ошибки [5].

Ошибка обучения на n-й итерации оценивается как ej(n) = dj(n) – yj(n), где ej(n) – сигнал ошибки нейрона j на итерации n; dj(n) – желаемый отклик нейрона j; yj(n) – сигнал, генерируемый на выходе нейрона j.

Целевая функция обучения - ошибка результирующего вектора значений нейронной сети. В работе ошибка оценивалась в виде метрики MSE (Mean Squared Error) – среднеквадратической ошибки по обучающей выборке: MSE = где N – количество итераций обучения нейронной сети;  – результирующий вектор ожидаемых значений;  – результирующий вектор получаемых значений.

Таким образом, обучение нейронной сети – это автоматическая корректировка весов на значение: Dwji = aDwji(n – 1) + hdj(n)yi(n), где a – постоянная момента; h – скорость обучения; i – синаптическая связь нейрона j с нейроном i; dj(n) – локальный градиент нейрона j; yi(n) – сигнал от нейрона i в нейрон j.

Алгоритм процесса обучения ИНС приведен на рисунке 2.

В качестве примеров обучения включены шесть разных видов DDoS-атак: back, land, neptune, pod, smurf, teardrop [6], каждая из которой содержит в себе различные параметры сетевого трафика (время соединения, службы, количество переданных байт, состояние порта, ошибочные пакеты, число пакетов с флагом URG и другие).

Для реализации нейронной сети выбран метод многослойного персептрона (рис. 3), архитектура которого в общем виде задается множеством параметров A: А ={H, NI, NH, NO}, где H – число скрытых слоев; NI – размер входного слоя; Nj – размер j-го скрытого слоя,  NO – размер выходного слоя [7, 8].

В ходе эксперимента для обучения и тестирования нейронной сети была использована БД атак NSL-KDD [9, 10], каждая запись в ней представляет собой шаблон процесса передачи данных от IP-адреса источника к IP-адресу получателя по определенному протоколу. Шаблон содержит значения параметров и маркировку процесса – атака или не атака. Таким образом, данные, подаваемые на вход ИНС, представляют собой текстовый файл, содержащий векторы как нормальной, так и аномальной активности. В БД атак NSL-KDD представлено 956 атак типа back, 18 – типа land, 41214 – типа neptune, 201 – типа pod, 2646 – типа smurf и 892 типа teardrop. В таблице 1 дано краткое описание некоторых параметров, позволяющих идентифицировать ту или иную атаку.

Таким образом, NI = 10, NO = 6, а H и Nj определены экспериментальным путем.

На основе описанного алгоритма разработана программа на языке Python. Программа включает в себя ряд компонентов, отвечающих за пополнение базы знаний нейронной сети, что, в свою очередь, позволяет строить произвольные архитектуры ИНС; анализ трафика пакетов (модуль сниффер), обеспечивающий фиксацию значений параметров пакетов; парсинг файла БД на векторы (записи) со значениями активности, позволяющий направлять данные сниффера на вход ИНС и принятие решений о возможных действиях администратора по противодействию выявленной атаке (рис. 4).

Анализ результатов

На рисунке 5 приведена диаграмма зависимости средней MSE от H, которая показывает, что у нейронной сети с одним скрытым слоем конечная MSE ниже, чем у сети с большим количеством слоев. Анализ зависимости указывает на выбор нейронной сети с одним скрытым слоем.

На рисунке 6 приведена диаграмма зависимости средней MSE от NH, из которой видно, что конечная MSE приблизительно одинакова на всем разнообразии заданных в условии эксперимента значений NH. В таком случае следует обратиться к значениям минимальной MSE. Результаты второго эксперимента указывают на выбор NH Î [6, 14].

В результате эксперимента была построена нейронная сеть со следующей архитектурой: 10 нейронов входного слоя, 1 скрытый слой, 9 нейронов скрытого слоя, 6 нейронов выходного слоя. Статистика по обучающей выборке представлена в таблице 2.

Таблица 2

Обучающая выборка

Table 2

Training sample

На графике снижения ошибки обнаружения аномального трафика (см. http://www.swsys.ru/ uploaded/image/2020-2/2020-2-dop/21.jpg) видно, что число ошибок до оптимизации составляло 0,7 %, после 200 000 итераций ИНС была оптимизирована до состояния 0,2 % ошибок. Исследование доказывает актуальность использования нейронной сети для обнаружения DDoS-атак и защиты данных в ГИС.

Стоит отметить, что при использовании нейронных сетей и других существующих методов защиты данных в совокупности в будущем возможно многократное повышение степени обнаружения потенциально опасных угроз в ГИС для поддержки принятия управленческих решений, что, в свою очередь, позволит построить эффективную и надежную систему обеспечения информационной безопасности данных.

Заключение

Для выявления умных атак на ГИС-приложения предложено использовать технологию нейронных сетей. Предназначение нейронной сети – анализ трафика и принятие решения о том, является ли трафик нормальным или аномальным. Решение в виде рекомендаций администратору ГИС может не только информировать пользователя об инциденте или об атаке, но и указать точное время сессии и местоположение (пространственные данные) источника и получателя. Появление новой атаки связано с переобучением нейронной сети.

Литература

1.     Истомин Е.П., Сидоренко А.Ю., Колбина О.Н., Степанов С.Ю., Петров Я.А. Геоинформационная система управления пространственно-распределенными разнородными гидрометеорологическими данными для принятия управленческих решений по оптимизации регулирования отпуска тепла на ТЭЦ // Естественные и технические науки. 2019. № 4. C. 134–136.

2.     Пилюгина К.Н. Применение нейронных сетей с целью обнаружения вторжений // Современные научные исследования и инновации. 2016. № 2. URL: http://web.snauka.ru/issues/2016/02/63248 (дата обращения: 02.02.2020).

3.     Гелиг А.Х. Введение в математическую теорию обучаемых распознающих систем и нейронных сетей. М., 2017. 224 c.

4.     Каллан Р. Нейронные сети. Краткий справочник. М.: Вильямс, 2017. 288 c.

5.     Тархов Д.А. Нейросетевые модели и алгоритмы. М.: Радиотехника, 2017. 787 c.

6.     Пальчевский Е.В., Христодуло О.И. Разработка метода самообучения импульсной нейронной сети для защиты от DDoS-атак // Программные продукты и системы. 2019. Т. 32. № 3. С. 419–432. DOI: 10.15827/0236-235X.127.419-432.

7.     Татарникова Т.М. Анализ данных. СПб: Изд-во СПбГЭУ, 2018. 85 с.

8.     Хайкин С. Нейронные сети: полный курс. М.: Диалектика, 2019. 1104 c.

9.     Татарникова Т.М., Сидоренко А.Ю., Степанов С.Ю., Петров Я.А. Реализация метода для защиты пространственных данных ГИС на основе нейронной сети // Естественные и технические науки. 2019. № 1. C. 134–136.

10. Частикова В.А., Картамышев Д.А., Власов К.А. Нейросетевой метод защиты информации от DDoS-атак // Современные проблемы науки и образования. 2015. № 1. Ч. 1. C. 183–190.

References

1. Istomin E.P., Sidorenko A.Yu., Kolbina O.N., Stepanov S.Yu., Petrov Ya.A. Geoinformation system for managing spatially distributed heterogeneous hydrometeorological data for making managerial decisions to optimize the regulation of heat supply at thermal power plants. Natural and Tech. Sci., 2019, no. 4,
   pp. 134–136 (in Russ.).
2. Piliugina K.N. Artificial neural network approaches to intrusion detection. Modern Scientific Researches and Innovations, 2016, no. 2. Available at: http://web.snauka.ru/issues/2016/02/63248 (accessed February 02, 2020) (in Russ.).
3. Gelig A.Kh. Introduction to the Mathematical Theory of Learner Recognition Systems and Neural Networks. Moscow, 2017, 224 p. (in Russ.).
4. Callan R. Neural Networks. A Quick Reference. Moscow, Williams, 2017, 288 p. (in Russ.).
5. Tarkhov D.A. Neural Network Models and Algorithms. Moscow, 2017, 787 p. (in Russ.).
6. Palchevsky E.V., Khristodulo O.I. Development of a spiking neural network with the possibility of high-speed training to neutralize DDoS attacks. Software & Systems, 2019, vol. 32, no. 3, pp. 419–432. DOI: 10.15827/0236-235X.127.419-432 (in Russ.).
7. Tatarnikova T.M. Data Analysis. St. Petersburg, 2018, 85 p. (in Russ.).
8. Khaikin S. Neural Networks: Full Course. Moscow, 2019, 1104 p. (in Russ.).
9. Tatarnikova T.M., Sidorenko A.Yu., Stepanov S.Yu., Petrov Ya.A. Implementation of a method for protecting spatial GIS data based on a neural network. Natural and Tech. Sci., 2019, no. 1, pp. 134–136
   (in Russ.).
10. Chastikova V.A., Kartamyshev D.A., Vlasov K.A. The neural network method of protecting information from DDoS attacks. Modern Problems of Science and Education, 2015, no. 1, pt. 1, pp. 183–190
    (in Russ.).