CC BY
1
УДК 004.056.53:[004.7:004.032.26]
https://doi.org/10.35546/kntu2078-4481.2023.2.28
ORCID: 0000-0002-0022-099x
ORCID: 0009-0006-7928-4721
ДОСЛ1ДЖЕННЯ САМООРГАН1ЗУЮЧО1 КАРТИ КОХОНЕНА ЩОДО ВИЯВЛЕННЯ МЕРЕЖЕВИХ АТАК КАТЕГОРП R2L
У данш po6omi виконано до^дження можливостi самоорган1зуючо'1' карти Кохонена щодо виявлення мере-жевих атак категорп R2L.
Для виявлення атак категорпR2L вiдповiдно до наступних мережевих клаав: Ftp_write; Guess_passwd; Imap; Multihop; Phf; Spy; Warezclient та Warezmaster запропоновано самооргатзуючу карту Кохонена конф^урацИ 41-1-Х-9, де 41 - кшьюсть нейронiв першого шару (параметри мережевого трафку на основi використання 6ази даних NSL-KDD); 1 - кшьюсть прихованих шарiв (шар Кохонена); Х - кшьюсть прихованих нейронiв; 9 -кшьюсть нейронiв результуючого шару. Для виявлення мережевих атак категорп R2L створено з використання мови Python програмну модель «SOMJR2L», що заснована на реал1зацИ запропоновано'1' конф^урацп самоорганi-зуючо'1 карти Кохонена та використант ii алгоритму. На створент програмнт моделi «SOMJR2L» проведено до^дження точностi на ргзних картах (5*5, 10*10, 20*20, 30*30) при р1знт ^bm^i прикладiв на кожен клас (5, 10, 15, 20) за резною кшьюстю епох навчання (20, 40, 60, 80, 100, 200). Визначено оптимальну конф^у-рацт самоорган1зуючо'1' карти Кохонена: 10*10, що навчалася упродовж 40 епох на ви6iрцi iз 900 прикладiв (по 10 прикладiв на клас). На створент програмнш моделi «SOMJR2L» проведено до^дження параметрiв якостi виявлення атак категорп R2L. Визначеш значення помилок другого роду для мережевих класiв атак категорп R2L: Ftpwrite - 1,11 %; Guessjpasswd - 17,78 %; Imap - 1,11 %; Multihop - 4,44 %; Phf- 0 %; Spy - 1,11 %; Warezclient - 2,22 %; Warezmaster - 14,44 %; Normal - 5,56 %.
Ключовi слова: атака, клас, R2L, самоорган1зуюча карта, шар Кохонена, ви6iрка, епоха, точнкть, яюсть, помилка другого роду.
INVESTIGATION OF SELF-ORGANIZING KOHONEN MAP TO DETECT NETWORK ATTACKS
OF R2L CATEGORY
In this work, the possibility of self-organizing Kohonen map to detect network attacks ofR2L category is investigated.
To detect attacks of the R2L category according to the following network classes: Ftp_write; Guess_passwd; Imap; Multihop; Phf; Spy; Warezclient and Warezmaster proposed a self-organizing Kohonen map of configuration 41-1-X-9, where 41 - the number of neurons of the first layer (network traffic parameters based on the use of the NSL-KDD database); 1 - number of hidden layers (Kohonen layer); X - number of hidden neurons; 9 - number of neurons of the resulting layer. To detect network attacks of the R2L category, the software model "SOMR2L" was created using the Python language, which is based on the implementation of the proposed configuration of the self-organizing Kohonen map and the use of its algorithm. On the created software model "SOMR2L", accuracy studies were conducted on different maps (5*5, 10*10, 20*20, 30*30) with a different number of examples for each class (5, 10, 15, 20) for different numbers of epochs of study (20, 40, 60, 80, 100, 200). The optimal configuration of the self-organizing Kohonen map was determined: 10*10, which was studied for 40 epochs on a sample of900 examples (10 examples per class). On
V. M. PAKHOMOVA
Candidate of Technical Sciences, Associate Professor, Associate Professor at the Department of Electronic Computers Ukrainian State University of Science and Technology ORCID: 0000-0002-0022-099x
О. О. SUKHOMLYN
Postgraduate Student at the Department of Electronic Computers Ukrainian State University of Science and Technology ORCID: 0009-0006-7928-4721
the created software model "SOMR2L", a study of the quality parameters of detection of attacks of the R2L category was carried out. The values of errors of the second kind are determined for the following network attack classes of R2L: Ftpwrite - 1,11 %; Guess_passwd -17,78 %; Imap -1,11 %; Multihop - 4,44 %; Phf - 0 %; Spy - 1,11 %; Warezclient -2,22 %; Warezmaster - 14,44 %; Normal - 5,56 %.
Key words: attack, class, R2L, self-organizing map, Kohonen layer, sampling, era, accuracy, quality, error of the second kind.
Постановка проблеми
Наявшсть i постшний picT загроз мережевих атак у режимi реального часу створюють необхвдшсть розробки ефективно! системи виявлення таких атак. 1снукта методи не завжди здатш виявити нов!, рашше невщом! атаки, що створюе ризик для безпеки комп'ютерних мереж. Перспективним напрямком у створенш систем виявлення мережевих атак, яш повинш грунтуватися на адаптивних алгоритмах здатних до самонавчання, е застосування нейромережно! технологи.
Аналiз останшх досл1джень та публшацш
На сучасному етапi для виявлення мережевих атак найчастше використовуються наступш нейpоннi мереж! (НМ): багатошаровий персептрон (Multi Layer Perceptron, MLP); ращально-базисна мережа (Radial Basis Function Network, RBF) та cамооpганiзуюча карта Кохонена (Self Organizing Map, SOM). Ввдомо, що р!зш р!зновиди НМ з використанням piзноманiтних математичних апарапв, можуть неоднаково виявляти р!зш меpежевi атаки наступ-них категоpiй: DoS; PROBE; U2R; R2L. З одного боку, для виявлення мережевих атак категори R2L авторами були використаш MLP та RBF, однак властивосл SOM [2-3, 7] дозволяють його також використати, щоб шдсилити визначення атак на основ! комбiнованих ваpiантiв. З шшого боку, авторами створювалася самооргашзуюча карта Кохонена для виявлення мережевих атак шших категорш [1, 6], але разом з тим важливим недолшэм таких методик е вщсутшсть ушверсальносп !х застосування.
Формулювання мети досл1дження
Проведен! дослвдження ставили за мету розвиток методики виявлення мережевих атак категори R2L. Для досягнення поставлено! мети вир!шувалися наступш задач!: розробити методику виявлення мережевих атак засо-бами самооргашзуючо! карти Кохонена; при виконанш машинного навчанш виявити оптимальну конф!гуращю самооргашзуючо! карти Кохонена, що забезпечить достатньо високий р!вень достов!рносп виявлення вторгнень в комп'ютерну мережу; оцшити помилки першого та другого роду при виявленш мережевих атак категори R2L на створенш карт! Кохонена.
Викладення основного матерiалу дослiдження
Категория R2L мережевих атак характеризуются отриманням доступу незареестрованого користувача до комп'ютера з боку вщдаленого комп'ютера. До категори R2L надходять наступш мережев! класи атак [4]: Ftp_write - ввддалений користувач FTP додае себе у список дов!рених хоспв вщдаленого комп'ютера, як! можуть входити у систему; Guess_passwd - мережевих атак, де зловмисник намагаеться вгадати або перебрати пароль для отримання доступу до локально! системи з використанням вщдаленого доступу; Imap - вщдалене переповнення буфера за допомогою порту imap призводить до можливосп вщкриття вщдаленого root_shell; Multihop - багато-денний сценарш, у якому користувач спочатку проникае в одну машину; Phf - сценарш, який дозволяе ктенту виконувати довшьш команди на машин! з неправильно налаштованим веб-сервером; Spy - багатоденний сценарш, коли користувач проникае в машину з метою пошуку важливо! шформаци, але користувач намагаеться уник-нути виявлення, використовуе шлька р!зних метод!в експлойту для отримання доступу; Warezclient - користувач!, як! завантажують нелегальне програмне забезпечення, яке рашше опублжовано через аношмний FTP майстром розробки; Warezmaster - аношмне завантаження на FTP-сервер Warez (нелегальних копш авторського програм-ного забезпечення) на FTP-сервер.
Самооргашзуюча карта Кохонена - це нейронна мережа, що використовуеться для зображення та дослвдження структури результуючих даних на основ! двовим!рно! решгтки (карти). Кожен нейрон на карт! пов'язаний з вектором ваги, який шщал!зуеться випадковим чином, а тд час навчання ваги оновлюються, щоб нейрони ввдповщали певним частинам вхвдного простору. Навчання SOM складаеться з двох еташв: пошуку найближчого нейрона (Best Matching Unit, BMU) та оновлення ваги нейрошв у тополопчнш сусвднш обласп BMU.
Для виявлення мережевих атак категори R2L пропонуеться використання самооргашзуючо! карти Кохонена конф!гураци 41-1-Х-9, де 41 - шльшсть нейрошв першого шару (параметри мережевого траф!ку на основ! використання бази даних NSL-KDD [5], табл. 1); 1 - шльшсть прихованих шар!в (шар Кохонена); Х - шльшсть при-хованих нейрошв, що дослвджуеться; 9 - шльшсть нейрошв результуючого шару.
У якосп пром!жного шару використано двовим!рний масив нейрошв R, розм!ршсть n якого визначаеться екс-периментально. Алгоритм роботи SOM Кохонена може бути описано наступним чином [3]: шщал!зашя (ство-рення двовим!рно! карти нейрошв з випадковими початковими вагами); випадковий виб!р вхвдного вектору; пошук найближчого нейрона BMU (обчислення ввдсташ м!ж вхвдним вектором i векторами ваги вах нейрошв на
карт!); оновлення ваги (ваги ВМи та його сусвдшх нейрошв оновлюються, щоб пiдкреслити схожють мiж ними); оновлення сусiдiв, окрiм ВМи (оновлюються також нейрони, як знаходятъся в топологiчнiй сусiднiй област ВМи); повторення (кроки 2-5 повторюються для кожного вхiдного вектора у навчальному наборi даних протя-гом декшькох епох); шнцева карта (тсля завершення навчання отримуемо шнцеву карту, де нейрони групуються в залежност вiд схожост !х векторiв ваги).
Таблиця 1
Нейрони першого шару НМ
Нейрон Параметр Нейрон Параметр
x1 duration x22 is guest login
x2 protocol type x23 count
x3 service x24 srv count
x4 flag x25 serror rate
x5 src bytes x26 srv serror rate
x6 dst bytes x27 rerror rate
x7 land x28 srv rerror rate
x8 wrong fragment x29 same srv rate
x9 urgent x30 diff srv rate
x10 hot x31 srv diff host rate
x11 num failed logins x32 dst host count
x12 logged in x33 dst host srv count
x13 num compromised x34 dst host same srv rate
x14 root shell x35 dst host diff srv rate
x15 su attempted x36 dst host same src_port rate
x16 num root x37 dst host srv diff host rate
x17 num file creations x38 dst host serror rate
x18 num shells x39 dst host srv serror rate
x19 num access files x40 dst host rerror rate
x20 num outbound cmds x41 dst host srv rerror rate
x21 is host login
Ствввдношення нейронiв результуючого шару самооргашзуючо! карти Кохонена, структура яко! показана на рис. 1, до мережевих клаив атак категорп R2L показано в табл. 2.
Рис. 1. Самооргашзуюча карта Кохонена конфиураци 41-1-Х-9
Таблиця 2
Нейрони результуючого шару НМ
Нейрон Параметр Нейрон Параметр
y1 Ftp write y6 Spy
y2 Guess passwd y7 Warezclient
y3 Imap y8 Warezmaster
y4 Multihop y9 вщсутшсть атаки
y5 Phf
Для виявлення атак категори R2L створено мовою Python програмну модель «SOM_R2L», в ochobî яко1 закла-дено запропоновану конфцурацш мереж1 Кохонена та розглянутий алгоритм ïï роботи. Структура програм-но1 моделi «SOM_R2L», що представлена на рис. 2, потребуе використання стандартних складових: MiniSom; Numpy; Matplotlib; JobLib; Pandas.
Через недостатню к1льк1сть приклащв на кожний мережевий клас формування вибiрки виконувалось штучно. У якосп прикладу наведений фрагмент навчально1 вибiрки:
44, 1, 18, 10, 55, 9609, 0, 0, 0, 2, 0, 1, 1, 0, 0, 0, 0, 0, 1, 0, 0, 1, 1, 2, 0.0, 0.0, 0.0, 0.0, 1.0, 0.0, 0.89, 217, 71, 0.57, 0.04, 0.17, 0.48, 0.24, 0.0, 0.01, 0.0, ftp_write
0, 1, 59, 3, 126, 179, 0, 0, 0, 1, 1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 2, 2, 0.00, 0.00, 1.00, 1.00, 1.00, 0.00, 0.00, 16, 16, 1.00, 0.00, 0.06, 0.00, 0.06, 0.06, 0.94, 0.94, guess_passwd
Рис. 2. Структура створеного програмно'1 моделi «SOM_R2L»
На створенш програмнш моделi «SOM_R2L» проведено дослвдження точносл нейронно1 мереж1 на рiзних картах (5^5, 10^10, 20x20, 30x30) при рiзнiй шлькосп приклащв на кожен клас (5, 10, 15, 20) за рiзною шльшстю епох навчання (20, 40, 60, 80, 100, 200). Визначено оптимальну конф^ращю самоорганiзуючоï карти Кохонена: 10 x 10, що навчалася упродовж 40 епох на вибiрцi iз 900 приклащв (по 10 приклащв на клас); рис. 3.
У результата дослвдження виявилося, що найкращ результата точносп визначення на тестовш вибiрцi надае конфiгурацiя прихованого шару у 10x10 нейронiв. Далi необхвдно дослвдити точнiсть при конфцураци SOM з розмiром карти 10 x 10, в залежносп ввд шлькосп iтерацiй; рис. 4.
Рис. 3. Точнкть НМ за рiзною кшьшстю прихованих нейрошв
Рис. 4. Точнкть НМ (карта 10*10) за кшькктю ггерацш
У pезyльтaтi домвдження, що проведено на створенш пpoгpaмнiй мoделi «SOM_R2L», визначено oптимaльнy кoнфiгypaцiю SOM Кохонена: 10*10, яка нaвчaeтьcя впродовж 40 ггерацш на вибipцi iз 900 приклащв (по 10 при-клащв на кожен клac) та надала гoчнicгь y 93 % та 89 % на навчальнш та тестовш вибipкaх вадповадно. Резyльгaги пpoгpaмнoï мoделi «SOM_R2L» можна побачити на риа 5.
Рис. 5. Результати навчання та тестування НМ на створенш моделi
Для виявлення мережевих клаав категори R2L використаш наступш умовш позначення (див. рис. 6): «хрест» (бшого кольору) - Normal; «хрест» (червоного кольору) - Ftp_write; «коло» (синього кольору) - Guess_passwd; «ромб» (зеленого кольору) - Imap; «з!рка» (зеленого кольору) - Multihop; «квадрат» (червоного кольору) - Phf; «трикутник» (синього кольору) - Spy; «трикутник» (бшого кольору) - Warezclient; «трикутник» (червоного кольору) - Warezmaster.
На створенш програмнш модел1 «SOM_R2L» проведено дослщження якосп виявлення мережевих атак категори R2L за наступними показниками: TP (True Positive) - модель коректно розшзнала вхвдну послвдовшсть до розглядаемого класу; TN (True Negative) - модель коректно розшзнала, що вхщна послщовшсть не належить до розглядаемого класу; FP (False Positive) - модель неправильно визначила, що вхшна послщовшсть належить до розглядаемого класу; FN (False Negative) - модель неправильно визначила, що об'ект не належить до розглядаемого класу. Результати цього дослщження зведеш до табл. 3.
TPR (True Positive Rate) - показуе пропорцш визначених послщовностей розглядаемого класу; FPR (False Positive Rate) - показуе пропорцш неправильно визначених вхщних послщовностей до розглядаемого класу; Precision - показуе частку об'екпв класу серед об'екпв, видшених класифшатором; Recall - показуе частку зна-йдених об'екпв класу в загальнш шлькосп об'екпв класу; F-measure - це середне гармошчне значення м!ж точ-шстю та повнотою.
Таблиця 3
Результати дослщження на створенш моделi «SOM_R2L»
TP FP TN FN TP, % FP, % TN, % FN, %
Ftp write 2 19 68 1 2,22 21,11 75,56 1,11
Guess_passwd 0 0 74 16 0,00 0,00 82,22 17,78
Imap 4 0 85 1 4,44 0,00 94,44 1,11
Multihop 8 14 64 4 8,89 15,56 71,11 4,44
Phf 4 1 85 0 4,44 1,11 94,44 0
Spy 1 0 88 1 1,11 0,00 97,78 1,11
Warezclient 14 4 70 2 15,56 4,44 77,78 2,22
Warezmaster 3 2 72 13 3,33 2,22 80,00 14,44
Normal 11 3 71 5 12,22 3,33 78,89 5,56
1з таблиц! видно, що найбшьша шльшсть помилок другого роду склала 17,78 % при виявленш атак Guess passwd на створенш програмнш модель Обчислеш значення шших параметр!в якосп зведеш до табл. 4.
Таблиця 4
Параметри ощнки якостi виявлення атак на моделi «SOM_R2L», %
Precission Recall F-measure TPR FPR
Ftp write 10,00 67,00 17,00 66,67 21,84
Guess_passwd 0,00 0,00 0,00 0,00 0,00
Imap 100,00 80,00 89,00 80,00 0,00
Multihop 36,00 67,00 47,00 66,67 17,95
Normal 79,00 69,00 73,00 100,00 1,16
Phf 80,00 100,00 89,00 50,00 0,00
Spy 100,00 50,00 67,00 87,50 5,41
Warezclient 78,00 88,00 82,00 18,75 2,70
Warezmaster 60,00 19,00 29,00 68,75 4,05
Створена програмна модель «SOM_R2L» добре розшзнае мережев! атаки класу Imap та Phf !з точшстю 98,89 %, але вона погано виконуе розшзнавання мережевих атак класу Ftp_write, точшсть якого склала 77,78 %.
Висновки
Для виявлення мережевих атак категори R2L запропоновано самооргашзуючу карту Кохонена 41-1-Х-9, де 41 - кшьшсть нейрошв першого шару; 1 - кшьшсть прихованих шар!в (шар Кохонена); Х - кшьшсть прихованих нейрошв; 9 - кшьшсть нейрошв результуючого шару. Для виявлення мережевих атак категори R2L створено з використання мови Python програмну модель «SOM_R2L», що заснована на реал!заци запропоновано! конфиу-раци самооргашзуючо! карти Кохонена та !! алгоритму. На модел! «SOM_R2L» проведено дослщження точносп на р!зних картах при р!знш шлькосп приклад!в на кожен клас за р!зною шльшстю епох навчання. Визначено оптимальну конфиурацш SOM: 10 х 10, що навчалася упродовж 40 епох на виб!рш !з 900 приклад!в. На модел! «SOM_R2L» проведено досл1дження параметр!в якосп виявлення атак категори R2L.
Список використаноТ лггератури
1. Пахомова В. М., Павленко I. I. Дослщження параметрiв якосп визначення мережевих атак категорп PROBE з використанням самооргашзуючо! карти. SworldJournal. 2022. Issue 11. Part 1. pp. 100-104. DOI: 10.30888/2663-5712 .2022-11-01-022
2. Esteban J. A New GHSOM Model applied to network security. Artificial Neural Networks-ICANN 2008. 2008. pp. 680-689.
3. Kohonen T. The self-organizing map. Proceedings of the IEEE. № 78(9). 1990. pp. 1464-1480.
4. Lincoln Laboratory. Massachusetts Institute of Technology. Publications Archive. URL: https://archive.ll.mit.edu/ideval/ docs/detections_1999.html
5. NSL-KDD dataset. URL: https://www.unb.ca/cic/datasets/nsl.html
6. Pakhomova V., Mehelbei Y. Detection of attacks of the U2R category by means of the SOM on database NSL-KDD. Системы технологи. Вип. 5 (142). Дншро. 2022. C. 18-26. URL: https://journals.nmetau.edu.ua/index.php/st/issue/view/126/99
7. Zhukovitsky I., Pakhomova V., Tsykalo I., Bikovska D. Study of possibilities of combined approach to detecting network attacks using artificial intelligence mechanisms // The 12th International Conference on Dependable Systems, Services and Technologies (DESSERT: 9-11 December 2022).
References
1. Pakhomova, V. М., & Pavlenko, I. I. (2022) Research of parameters of quality of definition of network attacks of the PROBE category with use of the Self organizing Map. SworldJournal, 11, 1, 100-104. DOI: 10.30888/2663-5712.2022-11-01022 [in Ukrainian].
2. Esteban, J. (2008) A New GHSOM Model applied to network security. Artificial Neural Networks-ICANN. pp. 680-689. [in English].
3. Kohonen, T. The self-organizing map (1990) Proceedings of the IEEE, 78(9), 1464-1480. [in English].
4. Lincoln Laboratory. Massachusetts Institute of Technology. Publications Archive. URL: https://archive.ll.mit.edu/ideval/ docs/detections_1999.html
5. NSL-KDD dataset. URL: https://www.unb.ca/cic/datasets/nsl.html
6. Pakhomova, V., & Mehelbei, Y. (2022) Detection of attacks of the U2R category by means of the SOM on database NSL-KDD. System Technologies, 5(142), 18-26. URL: https://journals.nmetau.edu.ua/index.php/st/issue/view/126/99 [in English].
7. Zhukovitsky, I., Pakhomova, V., Tsykalo, I., & Bikovska, D. (2022) Study of possibilities of combined approach to detecting network attacks using artificial intelligence mechanisms // The 12th International Conference on Dependable Systems, Services and Technologies (DESSERT). [in English].
