CC BY
15
УДК 004.85
ПОСТРОЕНИЕ НЕЧЕТКОГО КЛЛССИОККЛТОРЛ СЕТЕВЫХ АТАК НА ОСНОВЕ АЛГОРИТМ* ДИФОЕРРНЦИАПКНОИ ЭВОЛЮЦИИ
И. Л. Ходаппшсклн. М. А. Мех Томский ¿осударстеиниый универсигиып систем упримикам и ридгюяшктрониси,
.-г Тпмгг, Рос.-.ия
Аипотаиия - Целью работы является описание метода построения систем распознавания сетевых <ияк на их» ^фф^кшшши нене1ки1 о класшфикаюра. иирм«|ры киюрии» ииш.'шшривииы шорш-мом лпфференттпалквлп жолмппи л отбор пифпрмлтпиныт ттрляилков ОГуЩРСЛИЛЯЛСЯ ллглрптилм пп-нарного гармонического попска. Эффективность разработанных нечетких классификаторов исследована па паборс данных КОР Сир 1999. Выоор оптимального классификатора выполнялся с помсшью крптс рня лкапке Оптимально построенная система распознавания имеет ошибку первого рода 1.21% п ошибку второго рода 0.39%.
Ключгсыг слоеа: образен, оформление, сттья.
1. ¿ЗЕЛЕИИЕ
Передача данных по сетевым коммуникациям стала неотъемлемой состазгающей функционирования бсль-лин'.пи иниорм лцииннь.л. сисхем з^ак ш- урозы«: ор! аши.мил, хал. и на урозне улдсвыл поль ки ¿имей. Одно-^"гч'гннп г ростом популярности игпольчоилния ГСТГКМХ КО\ГМуНТТКЛТНГ* воярлггллп И готтичг.-лно гг-гяы-х утро* работоспособности снстсмк. конфиденциальности и целостности обраоатьсвасмон информации.
Выявление атак в сетевом трефшее осуществляют системы класспфпкглпш. распознающие трафик по не но Iгриму нп")<>ру приникж и тненмп.иг согдиигниг классу хши или нп]х\1алкн()ш гигдинсни« Гипгмы распознавания могут быть пострссны на базе различны?: методов, таких как классификатор Бенсса. метод опорных эектсров. метрический классификатор. нейронные сети и нечеткие системы.
Основным преимуществом нечетких систем, в отлтпе от аналогов, является простота интерпретации иолу-чснно1 и piiy.ib.aia, чти ионышаег доьерне к шлеме и уирищае. обнаружение ишиОок иосгрсени* и их последующую корректировку [1].
Целью рзботы является описание метода лостроенн* снсгем распознавания сетевых атзк нз базе эффективно! и не-кг .кию клдссифкдеюу л.
П. ПОСТАНОВКА ЗАДАЧИ
Пусть имеется универсум 17= (А, где А = {хьх2, *>} - множество входных признаков. С = (сх, с>, п„} - множество классов Пусть X = * г2 х у г„ =?И* л-мерное пространство признаков Опмст и в задак-ном универсуме характеризуется своим вектором признаков. Задача классификации заключается в предсказании класса объекта и по вектору его признаков.
Неч?ткии классификатор может быть пред.-тавлен в пиле функции которая ттригляииярт точке в пространстве входных признаков метку класса с вычисляемой степенью уверенности:
Основой нечеткого клзеенфнкатора является продукционное правило следующего вида:
Ку . ЕСЛИх\-А\: ИХ2-АЬ ИЛ}-Ау, И ... Иля-АтТОс1до>-с;,
где - нечеткий герм, характеризующий ¿-й признак в 7-м правиле (г € [1, Л]), Я - число правил. Б нашей работе класс определяется по принципу «команда победителей получает всё»:
сЬэз = /* = агатах 3,,
1 " 11:1м '
Пусгь имеется таблица наблюдений {(х?; ср).р = 1 :.„, г}, определим следующую единичную функцию
'1, еслисп - Г(х_,0) ¿й!та(р,&) = < 9 ' р ,р = 1,2 ,7.
0. ииаче
тогда функция пригодности или мера точности классификации может был» выражена следующим образом:
Мт.а{р О) _ р-__
Проблема построения нечеткого классификатора гводт-'тгя к поиску максимума указанной функции в пространстве параметров класспоикатсра 6 - | 9]. (Г. ...,
«пах(/Г(в)Х Я* ( & ■ & < сУпх, 7 = 1X Я)
где О1- значение параметра ё из интервала [6/
ит- @теи] ф'мп- ~ нижняя н верхняя границы каждого параметра соответственно.
Для оптимизации параметров в предлагается использовать метод дифференциальной эволюции Для отссра признаков используется бииарпын алгоритм гармопэтеского поиска.
ПТ Гк:жия
13. Алгоритм дифференциальной эеслюции
.Алгоритм дифференциальной эвелюцнн относятся к классу эвелюцнонных метаэвристик Г21, задается следующими параметрами- Аг - количество итерации; Л" - когн^ество хромосом в популяции Сг— вероятность исполнения кроссовера; Г -коэффициент, используемый для генерации новей хромосомы
Псевдокод алгоритма для оптимизации параметров нечеткого классификатора приведен ниже.
вход
Выход:
Рори! := ГО], О2-
цичд пока (\"-0)
цикл по р от 1 до о
0пг:=РориЫ; Сй :=гапс1(0.1);
ЦИКЛ ПО $ ОТ 1 ДО |д;|
ссли (rand(0.1)< CRjо
ад ад);
œi34e_9Wb[<j:=etu/[û]; конец цикла
ГСМЯ (i(C) < ш
Orvr - <Ur,
Л":=ЛЧ; конец цикла конец цикла вывод = Sparrh_he.sr(Popw/)
14. Бинарный xiîopuvm гармонического поиска
Алгоритм гаэмоннчсского поиска относится к группе мстааврисгнчсскнх алгоритмов оптимизации [21. Бинарный гзрмокнчсскнн попек имеет слсд^-ошнс параметры: HMCR. PAR е'О 1| коне таить:, исоользусмыс для создания нового вектора; HMS - размер гармонической памяти: -v- количсстео итераций.
Псевдокод алгоритма, адаптированный для задачи отбора признаков нечеткого классификатора, приведен ниже.
Вход- N. mfCR PAR Вьлид. А^;.
ИМ := {А.. А,.....Адав):
цикл пока (N > 0]
А,. := -<3r.dom_chooee(/f/i) И1Ш1 по d от 1 до X
если (ranri(C 1 ) < HMCR) то
.w d].-AJM
еелн (rand(O.l) <PAR) то A^'d] :=Аr\d\ и:таче если (гакЦОЛ) < 0.5) то
A„¿d] := 0; иначе Аот[л] := 1;
коней ттиклта-
«•ели (№■»*) > Е(Аютг» И2 AvKr.'.f := Awt!
N-N- 1; конец цикла;
вывод Аьы '■- Se3ich_best(iT2/J.
гу результаты экспериментов Прокгрьи чф|[|гк I ич-мк ги нечпшш) kjixi:hi|ihmiiiim, ikk григннмм; но укххяннчм алшртмам. и^кжмдиллгч иг наборе данных KDD C'up 19SS [3]. который содержит 41 признак, характсризуюонй сетевые соединения, включающие 23 класса сетевых атак н класс пормгльпого соедш:епия.
На наборе данных KDD Сир 1У99 было сформировано несколько классификаторов сетевых атак, характеризующихся количеством используемых признаков, точностью иа обучающих данных и тестовых данных, а также сшибками -тертого и второго года Рртулътаты работы пяти нечетгих ялаггификаторов ттричрдетш в тяёл 1
ТАБЛИЦА 1
РЕЗУЛЬТАТЫ РАБОТЫ НЕЧЕТКИХ КЛАССИФИКАТОРОВ
Характеристики h'j.Mfp k.i«Ktii4>uk,uupa
1 2 3 4 5
Число признаков F$ 24 19 17 22 10
Процент правильно классификации нз обучающей вьюорке 98.74 99.1 97.85 98.27 98.94
Процент правильно классификации нз тестовой выборке 98.71 99.08 97.84 98.25 99.С5
Ошибка первого рода 1.58 1.06 1.01 1.14 1.21
Ошибка второго рода £RZ 0.12 0.36 6.87 4.25 0.39
V. ОБСУЖДЕНИЕ РЕЗУЛЬТАТОВ Для определения оптимального классификатора был использован критерий Анике AIC [4]. адаптированный под решаемую задачу:
AIC - MF-Sl -k-ER,) + —(l + Fs)
Ш
где m - количество сравниваемых классификаторов, к— коэффициент, определяющий приоритет ошибки второго рода относительно первого: в эксперименте значение коэффициента к было равно 2 Исходя нз заданного критерия оптимальным является классификатор под номером 5.
VI ВЫВОДЫ И 'ЗАКЛЮЧЕНИЕ В работе предложен метод построения нечеткого классификатора сетевых атак, включающий алгоритм отбора классифицирующих признаков, алгоритм оптимизации параметров нечеткого классификатора и критерий выбора оптимального классификатора Экспериментальное исследование на наборе данных KDD Сир 1999 Dara. Результаты эксперимента показали практическую пригодность разработанного метода.
СПИСОК ЛИТЕРАТУРЫ
1 Hodashinsky L A.. Gorbunov I V. Algorithms of the tradeoff between accuracy and complexity in the design of fuzzy approximators II Optoelectronics, Instrumentation and Data Processing. 2013. T. 49. no. 6. C. 569-577.
2. Yang X.-S Nature-Inspired Optimization Algorithms. USA: Elsevier Inc., 2014. 258 p
3. KDD Cup 1999. URL: http://kdd.ics.uci.edu'databa5es/kddcup99/kddcup99.html. May 2016.
4 Akaike H. A. New Look at rlie Statistical Model Identification I I IEEE Transactions on Automatic Control. AC 19. 1974. P. 716-723.
