Научная статья на тему 'Исследование новой модели искусственного нейрона как элемента системы обнаружения сетевых атак'

Исследование новой модели искусственного нейрона как элемента системы обнаружения сетевых атак Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
280
72
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИСКУССТВЕННАЯ НЕЙРОСЕТЬ / ОБНАРУЖЕНИЕ СЕТЕВЫХ АТАК / КЛАССИФИКАЦИЯ / AN ARTIFICIAL NEURAL NETWORK / INTRUSION DETECT SYSTEMS / CLASSIFICATION

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Поликарпов Сергей Витальевич

Рассматривается возможность применения новой модели искусственного нейрона в качестве элемента классификации системы обнаружения атак. Приводится краткое описание новой модели искусственного нейрона, основанной на использовании табличных подстановок вместо операций перемножения на весовые коэффициенты и нелинейной выходной функции. Предложен метод синтеза нейроклассификаторов в виде древовидных структур, основанный на поэтапном наращивании нейросети. На основе набора данных KDD cup'99 оценивается эффективность полученных нейроклассификаторов в сравнении с известными мировыми аналогами.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Поликарпов Сергей Витальевич

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

INVESTIGATION OF A NEW MODEL OF ARTIFICIAL NEURON AS AN ELEMENT OF INTRUSION DETECTION SYSTEM

The possibility of a new model of artificial neuron as an element of the classification of intrusion detection systems. A brief description of a new model of artificial neuron, based on the use of table lookup operations, instead of multiplying the weighting coefficients and the nonlinear output function. Method is proposed for synthesizing neuroclassifiers in the form of tree structures, based on the gradual build a neural network. Based on the data set KDD cup'99 evaluated the effectiveness of the obtained neuroclassifiers in comparison with the known world analogues.

Текст научной работы на тему «Исследование новой модели искусственного нейрона как элемента системы обнаружения сетевых атак»

УДК 681.3.06

С.В. Поликарпов

ИССЛЕДОВАНИЕ НОВОЙ МОДЕЛИ ИСКУССТВЕННОГО НЕЙРОНА

КАК ЭЛЕМЕНТА СИСТЕМЫ ОБНАРУЖЕНИЯ СЕТЕВЫХ АТАК

Рассматривается возможность применения новой модели искусственного нейрона в качестве элемента классификации системы обнаружения атак Приводится краткое описание новой модели искусственного нейрона, основанной на использовании табличных подстановок вместо операций перемножения на весовые коэффициенты и нелинейной выход.

, .

KDD cup'99 оценивается эффективность полученных нейроклассификаторов в сравнении с известными мировыми аналогами.

Искусственная нейросеть; обнаружение сетевых атак; классификация.

S.V. Polikarpov

INVESTIGATION OF A NEW MODEL OF ARTIFICIAL NEURON AS AN ELEMENT OF INTRUSION DETECTION SYSTEM

The possibility of a new model of artificial neuron as an element of the classification of intrusion detection systems. A brief description of a new model of artificial neuron, based on the use of table lookup operations, instead of multiplying the weighting coefficients and the nonlinear output function. Method is proposed for synthesizing neuroclassifiers in the form of tree structures, based on the gradual build a neural network. Based on the data set KDD cup'99 evaluated the effectiveness of the obtained neuroclassifiers in comparison with the known world analogues.

An artificial neural network; Intrusion detect systems; classification.

Актуальность разработки и исследования методов классификации. Одной из наиболее актуальных задач в эпоху развития распределённых информационных технологий является информационная безопасность глобальных и локальных сетей, в частности обнаружение сетевых атак в компьютерных сетях. Сложность данной задачи заключается в практическом отсутствии однозначного описания всех возможных сетевых атак и, как следствие, в невозможности их гарантированного обнаружения. Это объясняется такими факторами, как:

♦ наличие неизвестного количества уязвимостей программного обеспечения на сетевых узлах и сетевого оборудования;

♦ наличие уязвимостей в сетевых протоколах;

♦ ошибки в конфигураци и сетевого оборудования.

Существует две актуальные проблемы, решение которых позволит значительно повысить эффективность систем обнаружения сетевых атак (IDS):

1) проблема автоматизации процесса выделения из сетевых атак специфиче-

;

2) проблема обобщения выделяемых признаков для обеспечения возможности обнаружения модификаций сетевых атак.

Для решения такого рода проблем в настоящее время активно развивается направление «data mining» (извлечение данных), в основе которого лежит развитие методов классификации данных.

Основные проблемы при классификации данных - это определение критериев отнесения входных данных к конкретному классу и построение классификато-,

( ).

Классификаторы обычно тренируются на имеющемся массиве входных данных, после чего применяются для анализа новых входных данных. В результате анализа принимается решение о принадлежности новых данных к одному из из-( ).

Основные показатели точности классификации - вероятность правильного определения принадлежности к заданному классу (Detection Rate - DR) и вероятность ложного определения принадлежности к заданному классу (False Alarm Rate

- FAR). Для более детальной оценки качества классификации применяется матрица ошибок (confusion matrix).

Краткая характеристика набора данных KDD cup'99. Для про верки эффективности различных методов синтеза классификаторов при решении задач обнаружения сетевых атак организацией «ACM SIGKDD» в 1999 г. было проведено соревнование KDD cup'99 [1].

Набор данных KDD cup'99 [1] содержит записи из журналов событий реальной компьютерной сети. Каждая строка соответствует одному событию (сетевому соединению). В начале каждой строки идёт 41 значение (атрибуты), описывающее различные характеристики соединения, в конце каждое событие помечено как нормальное (normal) или как вредоносное (например, snmpgetattack - попытка использования протокола SNMP для вторжения). Все сетевые атаки разделены на 4 основных класса: Probe (сканирование), DoS (отказ в обслуживании), R2L (внедрение) и U2R (повышение привилегий). Каждый класс, в свою очередь, разделён ( ).

Для тестирования классификаторов данные разделены на две части: «kddcup.data_10_percent» и «Corrected KDD». Первая часть данных необходима для тренировки классификатора, вторая для проверки его эффективности. Для ра-

41

8- .

328 .

Предлагаемая модель искусственного нейрона. Для улучшен ия характеристик распознавания и уменьшения используемых вычислительных ресурсов в качестве элемента классификации предлагается использовать новую модель искусственного нейрона (CyberNeuron) [2]. В отличие от классических моделей искусственных нейронов данный тип нейрона использует табличные подстановки вместо операции умножения входных значений на весовые коэффициенты. Это позволило значительно увеличить информационную ёмкость отдельного нейрона (элемента ), -.

Пример работы кибернейрона [2] приведен на рис. 1. Модель состоит из двух блоков: блока табличной подстановки и блока суммирования.

Каждое входное значение подаётся на соответствующую таблицу подстановки (sbox). Дискретное значение входа интерпретируется как индекс ячейки табли-(index), , .

таблиц подстановок суммируются, в результате формируется выход нейрона.

N

output= ^ sbox i [ input i ]

i= 1

Модель имеет следующие особенности:

♦ таблица подстановки соответствует синапсу биологического нейрона, а операция суммирования - суммарному воздействию синапсов на возбуждение нейрона. В соответствии с данной моделью каждый синапс, в зависимости от входного воздействия, может быть как тормозящим, так и возбуждающим (к^дая ячейка таблицы может хранить как отрицательные, так и положительные числа);

♦ размерность таблицы подстановки (количество ячеек таблицы) соответствует диапазону входных значений;

♦ размерность хранящихся в ячейках таблицы чисел может быть произвольной и зависит от решаемой задачи;

♦ в данной модели отсутствует выходная нелинейная функция (функция активации). Это объясняется следующим: таблицей подстановки можно описать любую дискретную функцию, в том числе и функцию умножения дискретных чисел, и дискретные функции активации. Поэтому при помощи данной модели можно также реализовать формальный нейрон, использующий дискретные вычисления.

, -ния можно применять и другие методы объединения, например, подавать полученные значения с таблиц подстановок на входы таблиц подстановок искусственных нейронов последующих слоев нейросети.

inputs

index

о 1 2 3

о 15 о о

о о о 2о

14 о о о

о 18 о о

о о 16 о

о 17 о о

15

17

output

ев

Рис. 1. Пример работы кибернейрона, обученного на образ (1,3,0,1,2,1), при подаче

на его вход образа (1,3,2,0,2,1)

Главные преимущества новой модели искусственного нейрона перед фор:

1. , -

ности используемых входных таблиц подстановок и может достигать значения « »

(формальный нейрон - обычно не более нескольких «образов»).

2. -« », -кости отдельного нейрона.

3. .

4. ( )

объёме обучающей выборки и значительно выше скорость работы нейросети. Основные недостатки новой модели:

♦ требуют разработки принципиальн о других методов тренировки нейросети [2];

♦ неприменимы такие широко распространённые методы обучения, как метод обратного распространения ошибки.

Применение кибернейрона для классификации данных KDD cup'99. На основе предложенной модели искусственного нейрона был разработан метод синтеза кибернейронного «дерева» (Cyberneuron Tree). Данный метод заключается в поэтапном наращивании нейросети. На каждом этапе к нейросети добавляется одна таблица , .

1

з

о

2

о

о

2

1

Параметры соединений определяются эволюционным методом, для чего каждый этап разбивается на итерации. В течение каждой итерации определяется наилучшее текущее соединение для одного входа таблицы подстановки. Для этого отдельно выбранный вход таблицы подстановки поочерёдно соединяется со всеми доступными входными битами с одновременным обновлением содержимого таблицы. Выбирается то соединение, которое даёт наилучший прирост для параметра PROP. Параметр PROP отражает долю правильного распознавания входных данных классификатором и задаётся в следующем виде:

ГПСГ- Ngood = k-К11 + К00

Ngood + Nbad k-K11 + k-K10 + K01 + K00)'

Ngood = k - К11+K00 - количество правильных срабатываний классификатора;

Nbad = k -К10 + К01 - количество неправильных срабатываний классификатора; K11 - количество правильных срабатываний для «1» (DR);

К10 - количество неправильных срабатываний для «1»;

01 - «0» (FAR);

К00 - количество правильных срабатываний для «0»; k = N0 / N1 - выравнивающий коэффициент;

N0 - «0»;

N1 - «1»;

«0» - ;

«1» - .

Таким способом поочерёдно определяются параметры соединения для каждого входа таблицы подстановки.

В табл. 1 приведено сравнение эффективности синтезируемых нейросетей (при различной размерности таблиц подстановки) с известными результатами.

1

Knaccii(J)HKaTop Norm Probe DoS U2R R2L DR/ FAR

KDD 99 winner [3] 99.5 83.3 97.1 13.2 8.4 DR

27.G 35.2 G.1 28,б 1.2 FAR

PNrule [4] 99.5 73.2 9б.9 б.б 1G.7 DR

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

27.G 7.5 G.G5 89.5 12.G FAR

Multi-class SVM [5] 99.б 75 9б.8 5.3 4.2 DR

27.8 11.7 G.1 47.8 35.4 FAR

Layered Conditional Random Fields [6] - 98.6G 97.4G 86.3G 29.6G DR

- G.91 G.G7 G.G5 G.35 FAR

Columbia Model [7] - 9б.7 24.3 81.8 5.9 DR

Decision Tree [8] - 81.4 6G.G 58.8 24.2 DR

BSPNN [9] 99.8 99.3 98.1 89.7 48.2 DR

3.б 1.1 G.G6 G.G3 G.19 FAR

Окончание табл. 1

Классификатор Norm Probe DoS U2R R2L DR/ FAR

Cyberneuron Tree, 4bit - 83.7 97.13 94.73 33.51 DR

G.49 G.22 G.72 G.22 FAR

Cyberneuron Tree, 6bit - 8G.78 97.1б 5б.14 24.G5 DR

G.4G G.32 G.27 G.G4 FAR

Cyberneuron Tree, 8bit - б5.28 97.28 - - DR

1.7 G.1G3 - - FAR

Из приведенных данных видно, что синтезированные классификаторы в основном показывают сравнительные и более лучшие результаты (например, для атак вида R2L).

. -

дели искусственного нейрона позволяет формировать классификаторы, имеющие характеристики на уровне наилучших современных решений. При этом получаемые классификаторы являются вычислительно-эффективными - для их работы требуется небольшое количество операций табличной подстановки и сложений, а также небольшой объём оперативной памяти.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Официальный сайт организации «ACM Special Interest Group on Knoweledge Discovery and Data Mining». www.kdd.org.

2. . ., . ., . ., . . -венного нейрона: кибернейрон и области его применения. http://arxiv.org/abs/0907.0229.

3. Pfahringer B. Winning the KDD99 Classification Cup: Bagged Boosting // SIGKDD Explorations. - 2000. - Vol. 1. - P. 65-66.

4. Agarwal R. and Joshi M. V. PNrule: A New Framework for Learning Classifier Models in Data Mining // in A Case-Study in Network Intrusion Detection, 2000.

5. Ambwani T. Multi class support vector machine implementation to intrusion detection // in Proc. of IJCNN. - 2003. - P. 2300-2305.

6. Gupta K.K., Nath B., Kotagiri R. Layered Approach using Conditional Random Fields for Intrusion Detection // IEEE Transactions on Dependable and Secure Computing. - 2008. - Vol. 5.

7. Lee W., Stolfo S. A Framework for Constructing Features and Models for Intrusion Detection Systems // Information and System Security. - 2000. - Vol. 4. - P. 227-261.

8. Lee J.H., Sohn S.G., Ryu J.H., Chung T.M. Effective Value of Decision Tree with KDD 99 Intrusion Detection Datasets for Intrusion Detection System // in 10th International Conference on Advanced Communication Technology. - 2008. - Vol. 2. - P. 1170-1175.

9. Tich Phuoc Tran, Longbing Cao, Dat Tran, Cuong Duc Nguyen. Novel Intrusion Detection using Probabilistic Neural Network and Adaptive Boosting // International Journal of Computer Science and Information Security. - 2009. - Vol. 6, № 1. - P. 83-91.

Статью рекомендовал к опубликованию д.т.н., профессор ДА. Безуглов.

Поликарпов Сергей Витальевич - Технологический институт федерального государственного автономного образовательного учреждения высшего профессионального образования «Южный федеральный университет» в г. Таганроге; e-mail: [email protected]; 347928, г. Таганрог, ул. Чехова, 2; тел.: 88634315507; кафедра информационной безопасности телекоммуникационных систем; к.т.н.; доцент.

Polikarpov Sergej Vital’evich - Taganrog Institute of Technology - Federal State-Owned Autonomy Educational Establishment of Higher Vocational Education “Southern Federal University”; e-mail: [email protected]; 2, Chekhov street, Taganrog, 347928, Russia; phone: +78634315507; the department of information security of telecommunication systems; cand. of eng. sc.; associate professor.

УДК 621.391.25(075)

ИЛ. Трунов, УД. Линенко, А.В. Пустоварова ИСПОЛЬЗОВАНИЕ СВОЙСТВ ПОСЛЕДОВАТЕЛЬНОСТЕЙ ФИБОНАЧЧИ В СИСТЕМАХ ПОМЕХОУСТОЙЧИВОГО КОДИРОВАНИЯ

Рассмотрены особенности помехоустойчивых кодов, основанных на последовательностях Фибоначчи; обосновано применение максимальной и минимальной форм кодировки сообщений; предложены варианты структур помехоустойчивых систем передачи инфор-

, . приемной части системы передачи информаци, возможно обнаружить ошибку уже по двум последовательно принятым разрядам кода, причем локализовать ее с точностью до .

, .

; .

I.L. Trunov, U.D. Linenko, A.V. Pustovarova

USAGE OF SEQUENCES FIBONACCI PROPERTIES IN NOISE-RESISTANT

CODING SYSTEMS

Noiseproof codes features based on sequences of Fibonacci are considered; application of the maximum and minimum forms of messages coding is justified; structures options of the noiseproof information transmission systems using these codes are offered. Using properties of sequences of Fibonacci in a receiving part of information transmission system, it is possible to find an error already on two sequentially accepted code discharges, and to localize it to within two characters. It allows to draw an output on the accepted message reliability by its part, without waiting the message end.

Noise-resistant coding; sequences Fibonacci.

В настоящее время темпы развития телекоммуникационных систем стали предпосылкой для появления принципиально новых способов кодирования сообщений. Несмотря на рост мощности вычислительной техники, актуальным остается вопрос построения простых алгоритмов коррекции ошибок.

Помехоустойчивое кодирование передаваемой информации позволяет в приемной части системы обнаруживать и исправлять ошибки.

- -рального числа N, показанный в формуле (1):

N = anFp (n) + an — 1Fp (n — 1) + ... + aiFp (i) + ...) a1Fp, (1)

где ai = { 0 , 1} - двоичная цифра i-го разряда представления; n - разрядность пред; Fp(i) - - , -

(2) (3):

Fp (i) = Fp (i — 1) + Fp (i — p — 1), (2)

Fp (1) = Fp (2) = ... = Fp (p + 1) = 1, (3)

- , { 0 , 1,

2, 3 ...} [1, 2].

i Надоели баннеры? Вы всегда можете отключить рекламу.