Разработка и исследование алгоритмов формирования правил для узлов сетевой безопасности в мультиоблачной платформе

В рамках исследования рассмотрены существующие решения, направленные на обеспечение безопасности сетевого периметра мультиоблачной платформы. Установлено, что наиболее острой является проблема эффективного формирования правил на межсетевых экранах. Существующие подходы не позволяют оптимизировать список правил на узлах, контролирующих доступ к сети. Целью исследования является повышение эффективности средств межсетевого экрана путем бесконфликтной оптимизации правил безопасности и применения нейросетевого подхода в программно-определяемых сетях. Предлагаемое решение основано на совместном использовании интеллектуальных математических подходов и современных технологий виртуализации сетевых функций. В ходе экспериментальных исследований проведен сравнительный анализ традиционных средств формирования правил, нейросетевого подхода, а также генетического алгоритма. Для автоматического построения правил сетевой безопасности рекомендуется применять нейросетевой классификатор архитектуры «многослойный персептрон», поскольку он даёт лучшие результаты с точки зрения производительности, и уменьшать размерность списка правил безопасности межсетевого экрана при помощи сети Кохонена, поскольку это средство показывает лучшую производительность. В спроектированную архитектуру был внедрен алгоритм бесконфликтной оптимизации, который производит конечную оптимизацию путем ранжирования и выведения наиболее часто встречаемых исключений из больших запретительных правил, что позволяет увеличить защиту от атак, которые направлены на выявление правил безопасности, находящихся внизу списка межсетевого экрана. На базе предложенного решения в рамках исследования реализован модуль адаптивного межсетевого экрана.

1. Chomsiri T., et al., "An Improvement of Tree-Rule Firewall for a Large Network: Supporting Large Rule Size and Low Delay", Proceedings of 2016 IEEE Trustcom/BigDataSE/ISPA (Tianjin, Aug 23-26), IEEE, 2016, 178-184.

2. Zhichao P., et al., "A Load-Balancing and State-Sharing Algorithm for Fault-Tolerant Firewall Cluster", Proceedings of 2017 4th International Conference on Information Science and Control Engineering (ICISCE) (Changsha, July 21-23), IEEE, 2017, 34-37.

3. Nivedita, Kumar R., "An improved Linux firewall using a hybrid frame of netfilter", 2017 International Conference on Trends in Electronics and Informatics (ICEI) (Tirunelveli, May 11-12), IEEE, 2017, 657-662.

4. Kaur S., et al., "Implementing open ow based distributed firewall", Proceedings of 2016 International Conference on Information Technology (InCITe) - The Next Generation IT Summit on the Theme - Internet of Things: Connect your Worlds (Noida, Oct 6-7), IEEE, 2016, 172-175.

5. Papagrigoriou A., et al., "A firewall module resolving rules consistency", Proceedings of 2017 13th Workshop on Intelligent Solutions in Embedded Systems (WISES) (Hamburg, June 12-13), IEEE, 2017, 47-50.

6. Rengaraju P., et al., "Investigation of security and QoS on SDN firewall using MAC filtering", Proceedings of 2017 International Conference on Computer Communication and Informatics (ICCCI) (Coimbatore, Jan 5-7), IEEE, 2017, 1-5.

7. Zhang L., Huang M., "A Firewall Rules Optimized Model Based on Service-Grouping", Proceedings of 2015 12th Web Information System and Application Conference (WISA) (Jinan, Sept 11-13), IEEE, 2015, 142-146.

8. Ertam F., Kaya M., "Classification of firewall log files with multiclass support vector machine", Proceedings of 2018 6th International Symposium on Digital Forensic and Security (ISDFS) (Antalya, March 22-25), IEEE, 2018, 1-4.

9. Atighetchi M., Adler A., "A Framework for Resilient Remote Monitoring", Proceedings of 2014 7th International Symposium on Resilient Control Systems (ISRCS) (Denver, Aug 19-21), IEEE, 2014, 1-8.

10. Parfenov D., Bolodurina I., "Methods and algorithms optimization of adaptive traffic control in the virtual data center", Proceedings of 2017 International Siberian Conference on Control and Communications (SIBCON 2017) (Astana, June 29-30), IEEE, 2017, 1-6.

11. Bolodurina I., Parfenov D., "Development and research of models of organization distributed cloud computing based on the software-defined infrastructure", Procedia Computer Science, 103 (2017), 569-576.