CC BY
129
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
Вестн. Ом. ун-та. 2012. № 2. С. 189-190.
УДК 681.322 С.А. Поздняков
ИСПОЛЬЗОВАНИЕ СХЕМЫ СОВПАДЕНИЙ В СИСТЕМАХ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ НА ОСНОВЕ НЕЙРОННЫХ СЕТЕЙ
Предложена схема совпадений для систем обнаружения вторжений на основе ней-росетевого подхода. Показано, что использование нескольких нейросетей с последующим сравнением результатов приводит к повышению эффективности обнаружения сетевых атак. Проведен компьютерный эксперимент с использованием теста КББ99.
Ключевые слова: система обнаружения вторжений, нейронные сети, схема совпадений.
1. Введение
Одним из способов повышения эффективности работы систем обнаружения вторжений является использование алгоритмов искусственного интеллекта. Наибольшее распространение получили системы с использованием нейронных сетей различной топологии. Так, в статье [1] предложено использование нейросетей в рамках анализатора системы обнаружения вторжений. Данный метод позволяет использовать свойство обучаемости нейронных сетей для обнаружения новых атак и не требуется добавлять сигнатуры атак в базу данных системы обнаружения вторжений. Авторы исследовали три различных топологии нейросетей. Наилучшие результаты (99 % обнаружения) были получены для топологии MLP с алгоритмом обучения Quasi Newton при времени обучения 4 с. Близкий результат (98,5 % обнаружения) был продемонстрирован нейросетью MLP с алгоритмом обучения Levenberg-Marquardt при времени обучения 4 с. Значительно худшими оказались результаты на самообучающихся картах Кохонена SOM (84 % обнаружения) при значительном времени обучения, которое составило 7 минут.
В статье [2] описывается эксперимент по детектированию новых атак системой обнаружения вторжений, основаной на нейросети. Главной идеей данной статьи является алгоритм адаптации уже использующейся нейросети для корректировки классификации нормального трафика и вредоносного, не присутствующего в момент обучения. Когда это необходимо для новой атаки, легко получить векторы для тестирования и переобучения ней-росетевого классификатора. Описываются алгоритм и архитектура распределенной системы обнаружения вторжений, которые позволяют добиться необходимой эффективности фильтрации вредоносного трафика. В этой работе для нейросети с архитектурой MLP процент обнаружения новых атак составил 4,26 %, в то время как для атак, представленных во время обучения, процент обнаружения составил 98 %. Процент ложных срабатываний составил 2,5 %. Для сети SVM процент обнаружения новой атаки составил 18,7 %, в то время как для атак, присутствующих во время обучения, составил 97 %. Процент ложных срабатываний составил 2 %.
В статье [3] описывается метод применения вероятностных суффикс -ных деревьев для обнаружения аномального поведения программ. Используется «отпечаток» нормального поведения приложений с целью в дальнейшем обнаружить аномальное поведение как нечто, отклоняющиеся от модели. Для обработки аномального трафика предлагается применять гибридную нейронную сеть, состоящую из SOM и MLP. SOM используется для группировки пакетов и дальнейшей передачи на вход MLP уже для распознавания типа трафика.
© С.А. Поздняков, 2012
190
С. А. Поздняков
2. Описание метода совпадений
Предлагаемый метод совпадений основан на том, что различные нейросети могут детектировать различные атаки. Ложные срабатывания также происходят не всегда на одних и тех же пакетах. Будем использовать три нейросети с различными топологиями, на вход которых подается один и тот же трафик. На выходе каждой нейросети результаты будут представлены в виде многомерного вектора, каждая координата которого соответствует одному из видов атак. Если нейросеть детектирует атаку, то соответствующая координата принимает единичное значение, в противном случае - нулевое.
Результирующий вектор будем находить как сумму выходных векторов трех нейросетей. Если в результирующем векторе координата нулевая или единичная, то атака отсутствует. Единица означает, что на одной из нейросетей произошло ложное срабатывание. Если значение координаты вектора равно 2 или З, то произошла атака соответствующего типа.
3. Компьютерный эксперимент
Компьютерный эксперимент проводился на трех нейросетях MLP, SVM и SOM. В качестве трафика, содержащего атаки различного типа, был использован тест KDD99. Структура KDD99 представлена в табл. І.
Таблица 1
Типы атак в тесте KDD99
Dataset DoS Probe U2r U2l Normal
10 % KDD 39145B 4107 52 1126 97277
Whole KDD 3BB3370 41102 52 1126 9727B0
Сначала была протестирована эффективность каждой нейросети по отдельности. Результаты представлены в табл. 2.
Таблица 2 Эффективность обнаружения вторжений для отдельных нейросетей, %
MLP SVM SOM
Эффективность 99,B 94,36 99
Ошибка 1 рода 0,2 5,64 1
В табл. 2 приведено суммарное значение обнаруженных атак. Для каждого конкретного вида атак значения могут быть как выше, так и ниже среднего. Применение схемы совпадений позволило получить эффективность обнаружения 99,85 %, тогда как ошибка первого рода составила 0,1 %. Как можно видеть, эффективность предложенной схемы повысилась незначительно. Однако данный результат связан с тем, что сеть MLP самостоятельно достаточно хорошо справляется с данным тестом. Снижение же ошибки первого рода в два раза можно считать хорошим результатом.
ЛИТЕРАТУРА
[1] Kukielka P., Kotulski Z. Analysis of the different architectures of neural networks usage for Intrusion Detection Systems // Proceedings of the International Multiconference on Computer Science and Information Technology. Р. 807-811.
[2] Kukielka P., Kotulski Z. Adaptation of the neural network-based IDS to new attacks detection. URL: http://arXiv:1009 2406v1.
[3] Абрамов Е. С., Сидоров И. Д. Метод обнаружения распределенных информационных воздействий на основе гибридной нейронной сети // Известия ЮФУ. Технические науки. 2009. № 11. С. 154-163.
