Разработанные макеты средств сбора и анализа данных мониторинга, применяемые для обнаружения атак

Макет системы выявления атак на основе обнаружений аномалий сетевого трафика

В целях разработки системы обнаружения атак, сочетающей сигнатурный и интеллектуальные методы анализа данных, был разработан макет системы выявления аномалий сетевого трафика, осуществляющий перехват сетевого трафика, его декодирование, вычисление статистических показателей трафика и классификацию полученных векторов. В рамках работ по созданию макета также были проведены исследования, связанные с выбором конкретной нейросетевой парадигмы для выполнения задач кластеризации векторов.

4.1.1. Исследование свойств нейронных сетей, применяемых для кластеризации векторов

С целью выбора вида нейронной сети, наиболее эффективно решающего задачу формирования профиля и последующего выявления аномального поведения, были проведены исследования трех нейропарадигм (см. описание в главе 2):

1. Самоорганизующиеся карты Кохонена (SOM).

2. Сети теории адаптивного резонанса для бинарных векторов (ART1).

3. Сети теории адаптивного резонанса для вещественных векторов (ART2).

При этом основное внимание было уделено следующим характеристикам:

1. Сложности подбора управляющих параметров.

2. Скорости обучения.

3. Производительности в процессе обработки входных векторов.

4. Компактности.

5. Эквивалентности.

Для исследования использовалась разработанная авторами ранее платформо-независимая программная библиотека НейроЭксперт.

По количеству и сложности подбора управляющих параметров предпочтение было отдано сетям ART1, для которых требуется указать только параметр близости (vigilance) векторов, объединяемых в один класс. При этом, учитывая, что данным видом сетей обрабатываются бинарные вектора, оценить значение параметра на практике оказалось достаточно просто – путем расчета доли координат, при несовпадении значений которых, вектора будут считаться относящимися к разным классам. Кроме того, для реальных задач может сложиться ситуация, когда количество рассматриваемых классов векторов будет с одной стороны не очень велико, и для каждого такого класса будет существовать единственный вектор-образец. Тогда значение параметра близости можно выбрать равным единице и не использовать дообучение сети.

Сети Кохонена и ART2 по данной характеристике оказались равнозначны, поскольку требуют подбора 4-х параметров.

Для сетей Кохонена это: размер решетки нейронов, количество эпох обучения, начальное и конечное значения коэффициента обучения.

Для сетей ART2: параметр близости векторов, объединяемых в один класс (vigilance), три коэффициента нормировки (a, b, c).

Суть экспериментов заключалась в обучении сетей всех трех нейропарадигм на тестовых выборках, представлявших собой совокупность случайным образом сгенерированных бинарных векторов размерностью 10. Общее число векторов в выборке составляло 100 тыс., а количество классов варьировалось: 10, 100 и 1000.

В ходе испытаний обнаружились следующие эффекты:

1. Сеть ART1 успешно обучалась на всех представленных множествах.

2. Сеть Кохонена выделяла заданное число классов только при исходном количестве нейронов в решетке, значительно превосходящем (более 50%) количество классов (см. ниже).

3. Для сети ART2 в ее каноническом описании не удалось подобрать адекватных параметров, а также установить закономерности для их подбора, при том, что рассматривались все возможные комбинации параметров (для параметров a и b рассматривался диапазон значений [1; 100] с шагом 0,1; для параметра c – диапазон (0,01; 1.0) с шагом 0,005; для параметра близости – диапазон [0,8; 1,0] с шагом 0,1, а также значения, приближающиеся к 1). Поэтому в дальнейших исследованиях использовалась модифицированная сеть ART2M. Она, как и сеть ART1, использует один параметр – параметр близости (vigilance). На тестовых выборках обучение сети проходило успешно.

Для исследования скоростных характеристик проводились замеры времени обучения нейросетей на описанных выше тестовых выборках и времени обработки этих же выборок обученными нейросетями. Для каждой выборки и каждого вида нейросетей проводилось 10 экспериментов, результаты которых затем усреднялись. Работы проводились на ПК с процессором Pentium IV 2,8 ГГц, 512 Мбайт ОЗУ под управлением ОС Linux Red Hat 9 (ядро 2.6.2). Результаты представлены в табл. 4.1 и 4.2.

Таблица 4.1.

Скоростные характеристики обучения нейронных сетей