CC BY
32Методы и средства защиты информации
УДК 004.056
О ПРИМЕНЕНИИ ИСКУССТВЕННЫХ НЕЙРОННЫХ СЕТЕЙ С РАДИАЛЬНЫМИ БАЗИСНЫМИ ФУНКЦИЯМИ В ЗАДАЧАХ ОБНАРУЖЕНИЯ АНОМАЛИЙ В СЕТЕВОМ ТРАФИКЕ*
В. Г. Жуков, В. В. Бухтояров
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Россия, 660014, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31 E-mail: zhukov.sibsau@gmail.com, vladber@list.ru
Рассматривается проблема использования искусственных нейронных сетей с радиальными базисными функциями в задачах обнаружения аномалий в сетевом трафике. Предлагается новый метод формирования передаточных функций в нейронах таких искусственных нейронных сетей, основанный на использовании непараметрических оценок плотности распределения. По сравнению с существующими подходами к определению оптимальных параметров радиальных базисных функций предлагаемый метод обеспечивает качественную аппроксимацию исходной выборки при минимальном количестве настраиваемых параметров. Приводятся результаты сравнительного исследования эффективности предлагаемого подхода и других нейросетевых методов обнаружения аномалий на примере решения задачи KDD Cup'99.
Ключевые слова: нейронные сети, радиальные базисные функции, обнаружение аномалий, информационная безопасность.
APPLICATION OF ARTIFICIAL NEURAL NETWORKS WITH RADIAL BASIS FUNCTIONS IN THE PROBLEM OF DETECTING ANOMALIES IN NETWORK TRAFFIC
V. G. Zhukov, V. V. Bukhtoyarov
Siberian State Aerospace University named after academician M. F. Reshetnev 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660014, Russia E-mail: zhukov.sibsau@gmail.com, vladber@list.ru
The problem of the use of artificial neural networks with radial basis functions in problems of detection of anomalies in network traffic is discussed. A new method for the design of the transfer functions in neurons of artificial neural networks based on the use of nonparametric estimates of a density function is proposed. Compared with the existing approaches to defining the optimum parameters of radial basis functions the proposed method provides high-quality approximation of the original sample with the minimum number of adjustable parameters. The results of comparative studies of the effectiveness of the proposed approach and other neural network methods for the detection of anomalies on KDD Cup '99 data set are presented.
Keywords: neural networks, radial basis functions, the detection of anomalies, the information security.
Искусственные нейронные сети являются на сегодняшний день одной из наиболее востребованных интеллектуальных информационных технологий, применяемой для решения задач анализа данных, характерных для широкого круга областей научной, производственной и экономической деятельности. Искусственные нейронные сети, при правильной настройке структуры и параметров, способны решать сложные задачи, которые могут быть рассмотрены в постановке задач моделирования, прогнозирования и классификации [1]. К последним, с некоторыми допущениями, можно отнести и задачи обнаружения аномалий в сетевом трафике, успешное решение которых позволит повысить эффективность использования таких интеллектуальных технологий в системах обнаружения вторжений в компьютерных сетях [2].
Ввиду широкого распространения подходов, в основе которых лежит использование нейронных сетей, на сегодняшний день разработано достаточно много
вариантов их структур и алгоритмов настройки и обучения сетей. Структура нейронной сети определяется количеством слоев в сети, связями между нейронами сети и видом активационных функций в каждом из нейронов сети. Если говорить о структуре связей между нейронами сети, то наиболее распространенным вариантом, используемым более чем в 80 % реальных приложений нейронных сетей, являются сети прямого распространения с топологией многослойного пер-септрона. Относительно количества нейронов на слоях можно говорить о наличии вполне обоснованных ограничений и рекомендаций по выбору максимального числа нейронов на каждом скрытом слое сети. Вопрос с видом активационных функций достаточно неоднозначен: исторически сложилось, что в большинстве нейронных сетей используются сигмоидаль-ные активационные функции или близкие к ним по характеристикам.
*Работа поддержана грантом Президента молодым кандидатам наук, договор № 14.124.13.473-МК от 04.02.2013.
Решетневскуе чтения. 2013
Результаты исследования эффективности алгоритмов на задаче KDD Cup'99
Нейронная сеть с радиальными базисными функциями Нейронная сеть с сиг-моидальными активаци-онными функциями Нейронная сеть с расширенным набором активационных функций
Оценки для задачи обнаружения и классификации нескольких видов атак 0.902/0.018 0.818/0.007 0.847/0.014
Оценки для задач обнаружения отдельных атак Probe и DoS 0.852/0.011 0.862/0,004 0.91/0.008
Тем не менее, одним из наиболее перспективных, в том числе для решения задачи классификации видится использование нейронных сетей с радиальными базисными функциями [3].
Нейронные сети с радиальными базисными функциями отличаются простотой, так как содержат только один скрытый слой, поэтому сложный, неформализованный этап подбора структуры сетей может быть исключен. Радиально-базисная нейронная сеть представляет собой сеть с двумя слоями. Первый слой осуществляет преобразование входного вектора с использованием радиально-базисных функций. Практически используются различные радиально-базисные функции. Наиболее часто употребляемая функция -гауссиан. Одним из главных достоинств нейронных сетей с радиальными базисными функциями является возможность использования различных алгоритмов обучения для формирования оптимальных параметров радиально-базисных функций.
Для выполнения статистических исследований с целью оценки эффективности использования нейронных сетей с радиальными базисными функциями с предлагаемыми модификациями соответствующие алгоритмы были реализованы в программной системе. В качестве задачи, на которой проводились исследования, была выбрана задача KDD Cup'99 [4], исходные данные которые были предобработаны с целью исключения неинформативных признаков и удаления записей с пропущенными значениями. В качестве альтернативных подходов рассматривалось использование нейронных сетей с сигмоидальной активацион-ной функцией и с расширенным набором активацион-ных функций (сигмоидальная, синус, косинус, y = fx), гиперболический тангенс и др.). Полученные результаты для различных вариантов задачи приведены в таблице.
В качестве критериев эффективности рассматриваемых подходов использовались оценки вероятности ошибок первого и второго рода. Общее количество запусков каждого из алгоритмов для получения статистических оценок было установлено равным 50. Для оценки статистической значимости результатов использовались методы дисперсионного анализа -ANOVA, уровень значимости - 5 %.
Полученные результаты показывают, что при попытке классификации всех видов атак одновременно более высокие результаты демонстрирует основанный
на использовании нейронных сетей с радиальными базисными функциями. Для задачи классификации отдельных типов сетевых атак в среднем чуть лучшие результаты демонстрирует подход, использующий расширенный набор активационных функций. Ввиду такого дуализма полученных результатов авторами предлагается использовать в дальнейшем коллективы искусственных нейронных сетей, включающие в себя как искусственные нейронные сети с радиальными базисными функциями, так и нейронные сети со структурой многослойного персептрона и расширенным набором «традиционных» активационных функций.
Библиографические ссылки
1. Hay kin S. Neural networks: a comprehensive foundation. Prentice Hall PTR, 1994.
2. Mukkamala S., Janoski G., Sung A. Intrusion detection using neural networks and support vector machines // Neural Networks, 2002. IJCNN'02: Proceedings of the 2002 Intern. Joint Conf. on. IEEE, 2002. Т. 2. С. 1702-1707.
3. Chen S., Cowan C. F. N., Grant P. M. Orthogonal least squares learning algorithm for radial basis function networks // Neural Networks, IEEE Transactions on. 1991. Т. 2. №. 2. С. 302-309.
4. Tavallaee M. [et al.] A detailed analysis of the KDD CUP 99 data set // Proceedings of the Second IEEE Symposium on Computational Intelligence for Security and Defence Applications 2009. 2009.
References
1. Haykin, Simon. Neural networks: a comprehensive foundation. Prentice Hall PTR, 1994.
2. Mukkamala S., Janoski G., & Sung, A. (2002). Intrusion detection using neural networks and support vector machines. In Neural Networks, 2002. IJCNN'02. Proceedings of the 2002 International Joint Conference on, vol. 2, pp. 1702-1707.
3. Chen Sheng, C. F. N. Cowan, and P. M. Grant. "Orthogonal least squares learning algorithm for radial basis function networks." Neural Networks, IEEE Transactions on 2, vol. 2, 1991, pp. 302-309.
4. Tavallaee M. [et al.] A detailed analysis of the KDD CUP 99 data set // Proceedings of the Second IEEE Symposium on Computational Intelligence for Security and Defence Applications 2009. 2009.
© Жуков В. Г., Бухтояров В. В., 2013
