Научная статья на тему 'Использование схемы совпадений в системах обнаружения вторжений на основе нейронных сетей'

Использование схемы совпадений в системах обнаружения вторжений на основе нейронных сетей Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
742
129
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
СИСТЕМА ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ / НЕЙРОННЫЕ СЕТИ / СХЕМА СОВПАДЕНИЙ / IDS / NEURAL NETWORKS / COINCIDENCE SCHEME

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Поздняков С. А.

Предложена схема совпадений для систем обнаружения вторжений на основе нейросетевого подхода. Показано, что использование нескольких нейросетей с последующим сравнением результатов приводит к повышению эффективности обнаружения сетевых атак. Проведен компьютерный эксперимент с использованием теста KDD99.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Using a coincidence scheme in the intrusion detection systems based on neural networks

This paper proposed a coincidence scheme for intrusion detection systems based on neural network's. It is shown that the use of multiple neural networks, followed by comparison of the results leads to more efficient detection of network attacks. A computer experiment using a test KDD99.

Текст научной работы на тему «Использование схемы совпадений в системах обнаружения вторжений на основе нейронных сетей»

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

Вестн. Ом. ун-та. 2012. № 2. С. 189-190.

УДК 681.322 С.А. Поздняков

ИСПОЛЬЗОВАНИЕ СХЕМЫ СОВПАДЕНИЙ В СИСТЕМАХ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ НА ОСНОВЕ НЕЙРОННЫХ СЕТЕЙ

Предложена схема совпадений для систем обнаружения вторжений на основе ней-росетевого подхода. Показано, что использование нескольких нейросетей с последующим сравнением результатов приводит к повышению эффективности обнаружения сетевых атак. Проведен компьютерный эксперимент с использованием теста КББ99.

Ключевые слова: система обнаружения вторжений, нейронные сети, схема совпадений.

1. Введение

Одним из способов повышения эффективности работы систем обнаружения вторжений является использование алгоритмов искусственного интеллекта. Наибольшее распространение получили системы с использованием нейронных сетей различной топологии. Так, в статье [1] предложено использование нейросетей в рамках анализатора системы обнаружения вторжений. Данный метод позволяет использовать свойство обучаемости нейронных сетей для обнаружения новых атак и не требуется добавлять сигнатуры атак в базу данных системы обнаружения вторжений. Авторы исследовали три различных топологии нейросетей. Наилучшие результаты (99 % обнаружения) были получены для топологии MLP с алгоритмом обучения Quasi Newton при времени обучения 4 с. Близкий результат (98,5 % обнаружения) был продемонстрирован нейросетью MLP с алгоритмом обучения Levenberg-Marquardt при времени обучения 4 с. Значительно худшими оказались результаты на самообучающихся картах Кохонена SOM (84 % обнаружения) при значительном времени обучения, которое составило 7 минут.

В статье [2] описывается эксперимент по детектированию новых атак системой обнаружения вторжений, основаной на нейросети. Главной идеей данной статьи является алгоритм адаптации уже использующейся нейросети для корректировки классификации нормального трафика и вредоносного, не присутствующего в момент обучения. Когда это необходимо для новой атаки, легко получить векторы для тестирования и переобучения ней-росетевого классификатора. Описываются алгоритм и архитектура распределенной системы обнаружения вторжений, которые позволяют добиться необходимой эффективности фильтрации вредоносного трафика. В этой работе для нейросети с архитектурой MLP процент обнаружения новых атак составил 4,26 %, в то время как для атак, представленных во время обучения, процент обнаружения составил 98 %. Процент ложных срабатываний составил 2,5 %. Для сети SVM процент обнаружения новой атаки составил 18,7 %, в то время как для атак, присутствующих во время обучения, составил 97 %. Процент ложных срабатываний составил 2 %.

В статье [3] описывается метод применения вероятностных суффикс -ных деревьев для обнаружения аномального поведения программ. Используется «отпечаток» нормального поведения приложений с целью в дальнейшем обнаружить аномальное поведение как нечто, отклоняющиеся от модели. Для обработки аномального трафика предлагается применять гибридную нейронную сеть, состоящую из SOM и MLP. SOM используется для группировки пакетов и дальнейшей передачи на вход MLP уже для распознавания типа трафика.

© С.А. Поздняков, 2012

190

С. А. Поздняков

2. Описание метода совпадений

Предлагаемый метод совпадений основан на том, что различные нейросети могут детектировать различные атаки. Ложные срабатывания также происходят не всегда на одних и тех же пакетах. Будем использовать три нейросети с различными топологиями, на вход которых подается один и тот же трафик. На выходе каждой нейросети результаты будут представлены в виде многомерного вектора, каждая координата которого соответствует одному из видов атак. Если нейросеть детектирует атаку, то соответствующая координата принимает единичное значение, в противном случае - нулевое.

Результирующий вектор будем находить как сумму выходных векторов трех нейросетей. Если в результирующем векторе координата нулевая или единичная, то атака отсутствует. Единица означает, что на одной из нейросетей произошло ложное срабатывание. Если значение координаты вектора равно 2 или З, то произошла атака соответствующего типа.

3. Компьютерный эксперимент

Компьютерный эксперимент проводился на трех нейросетях MLP, SVM и SOM. В качестве трафика, содержащего атаки различного типа, был использован тест KDD99. Структура KDD99 представлена в табл. І.

Таблица 1

Типы атак в тесте KDD99

Dataset DoS Probe U2r U2l Normal

10 % KDD 39145B 4107 52 1126 97277

Whole KDD 3BB3370 41102 52 1126 9727B0

Сначала была протестирована эффективность каждой нейросети по отдельности. Результаты представлены в табл. 2.

Таблица 2 Эффективность обнаружения вторжений для отдельных нейросетей, %

MLP SVM SOM

Эффективность 99,B 94,36 99

Ошибка 1 рода 0,2 5,64 1

В табл. 2 приведено суммарное значение обнаруженных атак. Для каждого конкретного вида атак значения могут быть как выше, так и ниже среднего. Применение схемы совпадений позволило получить эффективность обнаружения 99,85 %, тогда как ошибка первого рода составила 0,1 %. Как можно видеть, эффективность предложенной схемы повысилась незначительно. Однако данный результат связан с тем, что сеть MLP самостоятельно достаточно хорошо справляется с данным тестом. Снижение же ошибки первого рода в два раза можно считать хорошим результатом.

ЛИТЕРАТУРА

[1] Kukielka P., Kotulski Z. Analysis of the different architectures of neural networks usage for Intrusion Detection Systems // Proceedings of the International Multiconference on Computer Science and Information Technology. Р. 807-811.

[2] Kukielka P., Kotulski Z. Adaptation of the neural network-based IDS to new attacks detection. URL: http://arXiv:1009 2406v1.

[3] Абрамов Е. С., Сидоров И. Д. Метод обнаружения распределенных информационных воздействий на основе гибридной нейронной сети // Известия ЮФУ. Технические науки. 2009. № 11. С. 154-163.

i Надоели баннеры? Вы всегда можете отключить рекламу.