Научная статья на тему 'ОСОБЕННОСТИ ПРИМЕНЕНИЯ МЕТОДОВ ИСКУССТВЕННОГО ИНТЕЛЛЕКТА ПРИ РЕШЕНИИ ЗАДАЧИ МОНИТОРИНГА СЕТЕВОГО ТРАФИКА С ЦЕЛЬЮ ОБНАРУЖЕНИЯ АТАК'

ОСОБЕННОСТИ ПРИМЕНЕНИЯ МЕТОДОВ ИСКУССТВЕННОГО ИНТЕЛЛЕКТА ПРИ РЕШЕНИИ ЗАДАЧИ МОНИТОРИНГА СЕТЕВОГО ТРАФИКА С ЦЕЛЬЮ ОБНАРУЖЕНИЯ АТАК Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
277
51
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
СЕТЕВОЙ ТРАФИК / КОМПЬЮТЕРНАЯ АТАКА / ИСКУССТВЕННАЯ НЕЙРОННАЯ СЕТЬ / АНАЛИЗ ТРАФИКА / КОНФИГУРАЦИЯ НЕЙРОННОЙ СЕТИ

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Семыкина Н. А., Садовникова Н. М.

При активном внедрении и использовании интернет-технологий во все сферы жизни человека, обеспечение сетевой безопасности является важной и актуальной задачей. В статье проанализированы перспективы использования искусственных нейронных сетей для анализа сетевого трафика с целью обнаружения компьютерных атак. Рассмотрены различные конфигурации сетей в качестве метода машинного обучения. Для обучения и тестирования был использован набор данных UNSW-NB 15, имеющий свободный доступ. Данный датасет, созданный Австралийским центром кибербезопасности, содержит параметры как нормального трафика, так и аномального трафика. Представлены результаты вычислительных экспериментов, по результатам которых сделаны выводы.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Семыкина Н. А., Садовникова Н. М.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

NETWORK TRAFFIC MONITORING USING ARTIFICIAL INTELLIGENCE METHODS FOR DETECT ATTACKS

Nowadays, the organization security against cyber-attacks is a matter of great importance and a challenging area, as it affects them financially and functionally. Novel attacks are emerging daily, threatening a large number of businesses around the world. For this reason, the implementation and optimization of the performance of Intrusion Detection Systems is an urgent task. To solve this problem, the scientific community uses deep learning methods. In this paper, we pay special attention to attack detection methods built on different kinds of architectures, such as multilayer perceptron, gated recurrent unit, long short-term memory network, recurrent neural network, and convolutional neural network. To train and test their models, we used dataset UNSW-NB 15. The Australian Centre created this dataset for Cyber Security. It created to generate traffic, which is a hybrid of normal and attack activities. In finally we summarize this paper and discuss some ways to improve the performance of attack detection under thoughts of utilizing deep learning structures.Nowadays, the organization security against cyber-attacks is a matter of great importance and a challenging area, as it affects them financially and functionally. Novel attacks are emerging daily, threatening a large number of businesses around the world. For this reason, the implementation and optimization of the performance of Intrusion Detection Systems is an urgent task. To solve this problem, the scientific community uses deep learning methods. In this paper, we pay special attention to attack detection methods built on different kinds of architectures, such as multilayer perceptron, gated recurrent unit, long short-term memory network, recurrent neural network, and convolutional neural network. To train and test their models, we used dataset UNSW-NB 15. The Australian Centre created this dataset for Cyber Security. It created to generate traffic, which is a hybrid of normal and attack activities. In finally we summarize this paper and discuss some ways to improve the performance of attack detection under thoughts of utilizing deep learning structures.

Текст научной работы на тему «ОСОБЕННОСТИ ПРИМЕНЕНИЯ МЕТОДОВ ИСКУССТВЕННОГО ИНТЕЛЛЕКТА ПРИ РЕШЕНИИ ЗАДАЧИ МОНИТОРИНГА СЕТЕВОГО ТРАФИКА С ЦЕЛЬЮ ОБНАРУЖЕНИЯ АТАК»

Особенности применения методов искусственного интеллекта при решении задачи мониторинга сетевого трафика с целью обнаружения

атак

1 2 Н.А. Семыкина , Н.М. Садовникова

1 Тверской государственный университет 2 ЦНИИ ВВС (Минобороны России), Москва

Аннотация: При активном внедрении и использовании интернет-технологий во все сферы жизни человека, обеспечение сетевой безопасности является важной и актуальной задачей. В статье проанализированы перспективы использования искусственных нейронных сетей для анализа сетевого трафика с целью обнаружения компьютерных атак. Рассмотрены различные конфигурации сетей в качестве метода машинного обучения. Для обучения и тестирования был использован набор данных UNSW-NB 15, имеющий свободный доступ. Данный датасет, созданный Австралийским центром кибербезопасности, содержит параметры как нормального трафика, так и аномального трафика. Представлены результаты вычислительных экспериментов, по результатам которых сделаны выводы.

Ключевые слова: сетевой трафик, компьютерная атака, искусственная нейронная сеть, анализ трафика, конфигурация нейронной сети.

Введение

Обнаружение, классификация сетевых атак и предотвращение вторжений - приоритетны для сферы информационной безопасности. По данным российской компании Positive Technologies в 2022 году количество инцидентов по всему миру увеличилось на 20,8%. Если говорить о России, то количество атак возросло почти в два раза [1-2]. Это связано с тем, что современные сценарии атак характеризуются большой сложностью, многоэтапностью и автоматизированностью. Злоумышленники имеют высокий технический уровень подготовки и активно используют методы искусственного интеллекта. Общая динамика роста атак заставляет изменить принципы построения средств защиты и учитывать новейшие технологии анализа сетевого трафика на ранних стадиях разработки [2].

Анализ сетевого трафика с целью обнаружения угроз и аномалий сопряжен с обработкой большого количества данных в реальном времени.

Одно из направлений исследования этой проблемы - использование искусственных нейронных сетей (далее ИНС). При этом, сеть должна являться комбинацией нескольких типов ИНС и изначально быть обучена при штатном функционировании системы. Эти условия позволят снять часть сложностей в процессе применения технологий ИНС в распознавании атаки в сетевом трафике [3-4].

Российские IT-компании активно развивают решения, применяющие нейронные сети. Например, Positive Technologies разработала нечеткий нейроанализатор кода Application Inspector, основанный на использовании универсальных нечетких шкал лингвистических переменных и нейронной сети. При этом, обучение ИНС с двумя скрытыми слоями происходит на заданных эталонах [5]. Компания Kaspersky создала систему раннего обнаружения аномалий в режиме реального времени (Machine Learning for Anomaly Detection, далее MLAD) [6]. Для этого отслеживаются параметры технологического процесса и сравниваются с нормальным режимом, определяемого физическими законами. Так как все параметры явно или косвенно взаимосвязаны, то изменение показателей одного из них влечет за собой изменение других параметров. Нейронная сеть в составе Kaspersky MLAD обучается без учителя, выявляет взаимосвязи параметров и их влияние на последовательность событий, диагностирует аномальные отклонения в работе объекта. Настройка MLAD происходит для конкретного объекта со своим набором правил и исключений.

На сегодняшний день универсального решения задачи анализа сетевого трафика с помощью ИНС не существует.

Сравнение архитектур ИНС

Задача обнаружения атаки на сетевой трафик с помощью ИНС представляет собой задачу бинарной классификации, т. е. по набору параметров трафика определить, к какому множеству будет принадлежать

передающийся пакет информации: трафик с аномалией или нормальный трафик. В последнее время все больше ученых решают вопросы классификации в различных областях исследования с помощью ИНС, так как это позволяет автоматизировать процесс, а обученные нейронные сети на качественной выборке большой мощности дают возможность использовать их в режиме реального времени.

Для обучения ИНС требуется сформировать качественный набор данных, который поможет однозначно выделить признаки атак на сетевой трафик. В открытом доступе можно найти большое количество датасетов, которые описывают определенное множество атак. В работе будем использовать набор данных UNSW-NB 15 [7]. UNSW-NB 15 представляет собой набор параметров сетевого трафика, сгенерированный с помощью инструмента IXIA PerfectStorm в лаборатории Cyber Range Австралийского центра кибербезопасности (ACCS). Датасет состоит из нормального трафика и трафика, характеризующий один из девяти типов сетевых атак: Fuzzers, Analysis, Backdoors, DoS, Exploits, Generic, Reconnaissance, Shellcode, Worms. Количество записей в обучающей выборке составляет более 175 тысяч записей, набор для тестирования - более 82 тысяч записей [7].

Используем для программной реализации язык Python с библиотекой глубокого обучения Keras и библиотекой обработки данных Pandas. Для исследования рассмотрим различные типы ИНС:

1. Многослойный персептрон (MLP) [S] характеризуется 9 последовательно связанными слоями, З из которых скрытые слоя и З слоя исключения. На слое активации в качестве функции активации используем функцию ReLu, которая возвращает значение аргумента, если он положителен (max{0, x}). Функция потерь - бинарная перекрестная энтропия.

2. Рекуррентная нейронная сеть (Simple RNN) [8-9] состоит из 5 слоев, из них 2 скрытых слоя и 1 слой активации с функцией активации - сигмоида. Функция потерь - бинарная перекрестная энтропия.

3. Сеть долгой краткосрочной памяти (LSTM) является подвидом рекуррентной нейронной сети [9]. В исследовании рассмотрена сеть, содержащая 9 слоев, где 4 скрытых слоя, 3 слоя исключения. Слой активации использует функцию сигмоида. Функция потерь - бинарная перекрестная энтропия.

4. Управляющий рекуррентный блок (GRU) [9] - механизм нейронных сетей, объединяющий кратковременную и долговременную памяти в одно состояние, состоит из 7 слоев, из них 3 скрытых слоя и 2 слоя исключения. Выходной слой активации с функцией активации - сигмоида. Функция потерь - бинарная перекрестная энтропия.

5. Сверточная нейронная сеть (CNN) [10] состоит из 8 слоев, 2 из которых слои 1D свертки, 1 слой субдискретизации, 1 слой преобразования тензора, 1 срытый слой и 1 слой исключения. Выходной слой использует функцию активации ReLu. Функция потерь - бинарная перекрестная энтропия.

Для всех перечисленных конфигураций нейронных сетей проблему переобучения решаем с помощью метода исключений. В первых четырех конфигурациях сетей рассматривалось 10% отсеиваемых нейронов, а для сверточной сети - 35%. В таблице 1 приведены результаты численных экспериментов для перечисленных архитектур ИНС.

Как можно заметить лучшие результаты по точности обучения показала простая рекуррентная нейронная сеть (Simple RNN), однако по времени обучения лучшие результаты у сверточной нейронной сети (CNN). Были проведены дополнительные численные исследования. У

М Инженерный вестник Дона, №4 (2023) ivdon.ru/ru/magazine/arcliive/n4y2023/8367

перечисленных ИНС производилось добавление скрытых слов. Это привело к увеличению времени обучения и слабо повлияло на точность.

Таблица № 1

Результаты обучения ИНС

№ п/п Конфигурация ИНС Точность, % Время обучения, с

1 MLP Keras 87.21 429.3

2 Simple RNN Keras 93.52 532.9

3 GRU Keras 86.75 672.0

4 LSTM Keras 88.38 661.3

5 CNN Keras 91.11 412.5

Заключение

В работе были представлены результаты тестирования различных типов нейронных сетей для применения в задаче бинарной классификации сетевого трафика в условиях кибератак. По совокупности характеристик (точность и время обучения), наиболее удачной конфигурацией является сверточная нейронная сеть.

Изучение типов ИНС, их анализ и сравнение позволит в дальнейшем оптимизировать процесс нахождение параметров самой нейронной сети, что даст возможность уменьшить вычислительные ресурсы системы.

Литература

1. Актуальные киберугрозы: итоги 2022 года. // Positive Technologies URL: ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2022/. (дата обращения: 17.03.2023).

2. Кибербезопасность 2022 - 2023. Тренды и прогнозы. // Positive Technologies URL: ptsecurity.com/ru-ru/research/analytics/ogo-kakaya-ib/. (дата обращения: 17.03.2023)

3. Федоров В.Х., Васюков Д.Ю., Лаута О.С, Баленко Е.Г., Иванов Д.А. Подход к работе системы защиты сети передачи данных от компьютерных атак на основе гибридной нейронной сети // Инженерный вестник Дона,

2023, №1. URL: ivdon.ru/ru/magazine/archive/n1y2023/8163 (дата обращения: 24.03.23).

4. Глушанский С.М., Буглов В.Е. Разработка гибридной нейросети для классификации изображений // Инженерный вестник Дона, 2023, №1. URL: ivdon.ru/ru/magazine/archive/n1y2023/8150 (дата обращения: 22.03.23).

5. Как мы анализируем уязвимости с помощью нейронных сетей и нечеткой логики // Хабр URL: habr.com/ru/company/alexhost/blog/528796/ (дата обращения: 24.02.23).

6. Kaspersky Machine Learning for Anomaly Detection // Kaspersky Machine Learning for Anomaly Detection URL: mlad.kaspersky.ru/ (дата обращения: 24.02.23).

7. The UNSW-NB15 Dataset // UNSW Research URL: research.unsw.edu.au/projects/unsw-nb15-dataset (дата обращения: 10.02.2023).

8. Хайкин С. Нейронные сети: полный курс. - 2-е изд. - М, Издательский дом "Вильямс", 2006. 1104 с.

9. RNN, LSTM, GRU и другие рекуррентные нейронные сети. // Записная книжка. URL: vbystricky.ru/2021/05/rnn_lstm_gru_etc.html# recurrent-neuralnetwork (дата обращения 21.10.22).

10. Гафаров Ф.М., Галимянов А.Ф. Искусственные нейронные сети и приложения. Казань: Изд-во Казан. ун-та, 2018. 121с.

References

1. Aktuafnye kiberugrozy: itogi 2022 goda. Positive Technologies URL: ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2022.

2. Kiberbezopasnost 2022 - 2023. Trendy i prognozy. Positive Technologies URL: ptsecurity.com/ru-ru/research/analytics/ogo-kakaya-ib/.

3. Fedorov V.X., Vasyukov D.Yu., Lauta O.S, Balenko E.G., Ivanov D.A. Inzhenernyj vestnik Dona, 2023, №1. URL: ivdon.ru/ru/magazine/archive/n1y2023/8163.

4. Glushanskij S.M., Buglov V.E. Inzhenernyj vestnik Dona, 2023, №1. URL: ivdon.ru/ru/magazine/archive/n1y2023/8150.

5. Kak my analiziruem uyazvimosti s pomoshhyu nejronnyx setej i nechetkoj logiki. [How we analyze vulnerabilities with neural networks and fuzzy logic]. Xabr. URL: habr.com/ru/company/alexhost/blog/528796.

6. Kaspersky Machine Learning for Anomaly Detection. Kaspersky Machine Learning for Anomaly Detection URL: mlad.kaspersky.ru.

7. The UNSW-NB15 Dataset. UNSW Research. URL: research.unsw.edu.au/proj ects/unsw-nb 15-dataset.

8. Xaykin S. Nejronny'e seti: polny'j kurs. [Neural networks. A comprehensive foundation]. Moskva, Izdatefskij dom "Williams", 2006. 1104 p.

9. RNN, LSTM, GRU i drugie rekurrentnye nejronnye seti. URL: vbystricky.ru/2021/05/rnn_lstm_gru_etc.html# recurrent-neuralnetwork.

10. Gafarov F.M., Galimyanov A.F. Iskusstvennye nejronnye seti i prilozheniya [Artificial neural networks and applications]. Kazan: KFU, 2018. 121 p.

i Надоели баннеры? Вы всегда можете отключить рекламу.