Нейросетевое распознавание атак на компьютерные сети

Размещено на http://www.allbest.ru/

Нейросетевое распознавание атак на компьютерные сети

Хананашвили М.Д.

Аннотация

В статье рассматривается возможность применения механизмов искусственной нейронной сети (ИНС) для решения задачи классификации трафика в компьютерных сетях. Проведён анализ предметной области обнаружения атак в компьютерных сетях. За основу исследования взята архитектура многослойного перцептрона, построено несколько моделей. Для их обучения и вычислительного эксперимента использован набор данных NSL-KDD, акцент сделан на выявлении зависимости показателей точности и ошибки предсказания от увеличения количества нейронов в слоях и самих слоёв в модели перцептрона. Показано, что разработанная модель в целом хорошо справляется с распознаванием нескольких классов.

Ключевые слова: машинное обучение, обучение с учителем, искусственная нейронная сеть, многослойный перцептрон, информационная безопасность, сетевые атаки

Annotation

The article considers the possibility of using artificial neural network (ANN) mechanisms to solve the problem of traffic classification in computer networks. The analysis of the subject area of attack detection in computer networks is carried out. The study is based on the architecture of a multilayer perceptron, and several models have been built. For their training and computational experiment, the NSL-KDD dataset was used, the emphasis is on identifying the dependence of accuracy and prediction error indicators on the increase in the number of neurons in the layers and the layers themselves in the perceptron model. It is shown that the developed model generally copes well with the recognition of several classes.

Key words: machine learning, supervised learning, artificial neural network, multilayer perceptron, information security, network attacks.

Современные информационные технологии активно внедряются в жизнь нашего общества. Повсеместная компьютеризация и близкий к неограниченному доступ к глобальной сети Интернет позволили людям различных профессий со всего мира вырабатывать огромные объёмы данных и обмениваться ими. Анализ этих данных позволяет находить неочевидные и практически полезные знания, а основными технологиями анализа являются системы искусственного интеллекта и машинное обучение.

Существует огромное количество сфер, где машинное обучение можно использовать. Оно широко применяется в автомобилестроении, навигации, банковском деле, поисковых системах, криминалистике, распознавании и синтезе речи, рекламе и прочих направлениях.

Машинное обучение быстро нашло применение и для обеспечения компьютерной безопасности. В большинстве случаев методы машинного обучения применяются в фильтрации спама, анализе трафика, при обнаружении вредоносного программного обеспечения. Они могут автоматически обрабатывать большие объемы данных с признаками угроз и позволяют быстро принимать решения.

Система обнаружения атак (IDS-система) является одним из ключевых звеньев системы безопасности, она отвечает за поиск и выявление зловредной активности внутри сети. Существует множество подходов к обнаружению сетевых атак, на практике дающих неоднозначный результат для компьютерных сетей различных архитектур. Перспективным направлением является применение методов ИАД в задаче распознавания зловредного трафика, в частности, применение нейросетевых классификаторов.

Анализ современного состояния исследований

Так, в работе [7] разработан метод анализа входящего трафика на основе трехслойного перцептрона, распознающий его как «норма» или «атака». Результаты обучения и тестирования спроектированной нейронной сети показывают 93% случаев правильной классификации трафика.

В работе [8] для сжатия пространства информативных признаков в сетевом трафике используется двухслойная рециркуляционная нейронная сеть, а для классификации трафика по этим признакам применяются двухслойный перцептрон и сеть Кохонена. На репрезентативной выборке точность классификации достигает 99%. Разработанный метод был оформлен в виде программного пакета для сетевой IDS Snort.

Автором [10] предложена многоуровневая модель классификатора трафика, обнаруживающая низкоинтенсивные DDoS-атаки, в которой для каждого контролируемого сервиса строится ИНС, для снижения размерности входных данных - самоорганизующаяся карта Кохонена, а для определения класса - многослойный перцептрон. Точность модели превышает 99%.

Авторы исследований сходятся во мнении о том, что закономерным этапом развития IDS-систем является объединение подходов сигнатурного (поиск закономерностей, т. е. известных атак) и поведенческого (поиск аномалий) анализа сетевого трафика.

Архитектура многослойного перцептрона

Для описания работы искусственной нейронной сети используется упрощенная модель работы нейрона [3]. Таким образом, сеть задается количеством входных значений х на входном слое, количеством скрытых слоев L и количеством результирующих классов на выходном слое ho(x) (рис. 1). Каждый нейрон сети описывается функцией активации ар') (z-го нейрона на j-ом слое). Функция активации может представлять собой сигмоидальную функцию от суммы множителей на предыдущем слое. Также в каждом слое есть нейрон смещения, значение которого всегда равно единице (в приведённом примере это х₀ и а⁽²⁾).

Рисунок 1. Модель нейронной сети

Расчеты внутри сети передаются от каждого нейрона с входного слоя каждому нейрону в скрытом слое и так далее до выходного слоя. Вес или параметр 3 представляет силу связи между нейронами.

Оценка работы нейронной сети производится с использованием усложненной версии функции стоимости для логистической регрессии. Для оптимальной работы нейронной сети нужно подобрать такие параметры 3, чтобы значение функции стоимости было минимальным. Этим занимается обучающий алгоритм, например, алгоритм обратного распространения ошибки.

Многослойный перцептрон строится из трёх и более слоев и применяет нелинейную функцию активации для классификации данных. Каждый узел в слое соединён с каждый узлом в последующем слое, что делает сеть полностью связанной. Такая архитектура находит применение в задачах классификации, распознавания речи и машинном переводе (рис. 2) [3].

Рисунок 2. Многослойный перцептрон

Результаты вычислительных экспериментов

В настоящей работе используется набор данных NSL-KDD [19], который является переработанной версией набора, подготовленного совместными усилиями DARPA и MIT Lincoln Labs. В NSL-KDD содержатся 125 973 обучающих и 22 544 тестовых примеров.

Каждый пример в базе NSL-KDD представляет собой последовательность пакетов, зафиксированную за промежуток времени. Примеры включают 41 информационный признак, одну метку, содержащую тип трафика (нормальный трафик или конкретный тип атаки), и одну метку, описывающую оценку трудности предсказания типа трафика в примере. База содержит 39 типов атаки, которые разделены на четыре категории: Denial of Service (DoS), Remote to Local (R2L), User to Root (U2R), Probe.

Модель нейронной сети описывает ее архитектуру и конфигурацию, а также используемые алгоритмы обучения. Под архитектурой нейронной сети понимаются принципы ее построения (многослойный перцептрон, сеть Кохонена, сверточная сеть и т. д.), а под конфигурацией - конкретизацию структуры в рамках заданной архитектуры (число входных и выходных нейронов, число слоев и нейронов в них, функции активации и т. д.).

В работе используются разные конфигурации многослойного перцептрона, которые представлены в виде отдельных моделей. Модели нейронной сети различаются количеством слоёв и количеством нейронов в слоях. Функцией активации для нейронов скрытых слоёв является сигмоида, для выходного слоя - функция «softmax», которая хорошо подходит именно для этого слоя при мультиклассовой классификации [13].

В итоге разработано 9 моделей для классификации сетевых атак, их конфигурации представлены в таблице 3.1. Каждая последующая модель является версией предыдущей с добавленными нейронами или скрытым слоем, т. о. проверялась зависимость достоверности классификации ИНС от изменения количества добавляемых параметров.

Таблица 1.Конфигурация моделей перцептрона

На этапе обработки входных данных обучающий и тестовый наборы NSL-KDD были загружены и помещены в единую структуру для уменьшения влияния дисбаланса классов в этих наборах. Выделяются следующие классы: Normal (отсутствие атаки), DoS, Probe, R2L, U2R. Все категориальные признаки переводятся в числовые, то есть каждой категории присваивается порядковый номер.

Для обработанного набора вычислялась матрица попарных корреляций и на её основе была определена промежуточная конфигурация модели нейронной сети: входной слой имеет 40 нейронов-признаков, выходной - 5 нейронов-классов.

На этапе построения модели набор данных разделялся на обучающую, проверочную и тестовую выборки в соотношении 60:20:20. Использовалась разреженная перекрёстная энтропия в качестве функции стоимости, количество образцов на обновление градиента - 1753, количество итераций - 500. На этапе тестирования выводились метрики (Accuracy, Precision, Recall и т. п.) и строятся графики (матрица ошибок, ROC- и PR-кривые).

В ходе исследования изначально было проведено 9 экспериментов с моделями из таблицы 1, их результаты представлены на рисунках 3 и 4.

Рисунок 3. График зависимости точности предсказания модели от количества слоёв и нейронов в слое (500 итераций)

Рисунок 4. График зависимости ошибки функции стоимости модели от количества слоёв и нейронов в слое (500 итераций)

Из графиков видно, что модель №9 (3 слоя по 32 нейрона) достигает «плато» в показателях точности и ошибки, поэтому не имеет смысла добавлять новые нейроны и/или слои. Исходя из полученных результатов, было принято решение для продолжения исследования взять за основу именно эту модель. Суммарное количество весов модели равно 3589.

Далее менялось число итераций из пула значений 500, 1000, 2000 и 5000. В ходе экспериментов лучшие результаты показала модель, прошедшая 5000 итераций обучения. На рис. 5 и 6 показаны точность и ошибка модели. Можно заметить, что после 1000 итераций алгоритм достигает локального минимума функции стоимости.

Точность предсказания на тестовой выборке составляет 98,76%, а значение ошибки функции стоимости равно 0,0413. Точность предсказания для каждого класса можно оценить с помощью матрицы ошибок (рис. 7):

Рисунок 7. Матрица ошибок модели НС для тестового набора

Из неё видно, что модель отлично распознаёт классы Normal, DoS и Probe, хорошо справляется с классом R2L, а с U2R у модели возникают трудности, возможно, из-за небольшого числа примеров в тестовой выборке, содержащих этот класс. Метрики по каждому классу показаны в таблице 2.

Таблица 2.Значения метрик оценки качества модели

Построим ROC-кривые для исследуемого классификатора (рис. 8). На них можно ориентироваться, если нужно изменить пороговое значение классификации у модели и при этом предсказываемые классы сбалансированы (имеют сопоставимое количество примеров) либо имеет значение общая оценка классификации. При этих условиях модель будет выдавать хорошую общую точность почти при любом значении порога.

Рисунок 8. ROC-кривые для разных классов

Однако, набор данных имеет несбалансированные классы, поэтому имеет смысл рассматривать PR-кривые (рис. 9). С их помощью можно оценить работу модели для всех классов по отдельности, когда не важна мощность (количество примеров) класса. Так, при значении порога 0,5 модель тривиально предсказывает только класс U2R, остальные классы модель уверенно распознаёт.

Рисунок 9. PR-кривые для разных классов

Выводы

Проведён анализ предметной области по направлению нейросетевого распознавания атак на компьютерные сети. Авторы исследований показали, что данное направление в разработке современных IDS-систем является перспективным. Выбрана архитектура для разрабатываемой модели - многослойный перцептрон, содержащий 40 нейронов на входном слое и 5 на выходном. Реализовано 9 моделей многослойного перцептрона, различающихся количеством скрытых слоёв и нейронов в них. Среди них была отобрана модель с наибольшей точностью классификации и наименьшей ошибкой функции стоимости. Показано, что усложнение структуры НС за счёт увеличения количества слоёв и/или нейронов в них не приводит к существенному улучшению конечного результата. Тестирование выбранной модели дало оценку общей точности классификации более 98%, модель уверенно распознаёт 4 из 5 классов. Можно сказать, что решения, основанные на ИНС, подходят для распознавания трафика в компьютерных сетях.

Использованные источники

нейросетевое распознавание атак компьютерные сети

1. Мустафаев А.Г. Нейросетевая система обнаружения компьютерных

атак на основе анализа сетевого трафика // Вопросы безопасности. - 2016. - №2. - С. 1-7. DOI: 10.7256/2409-7543.2016.2.18834 URL:https://nbpublish.com/library_read_article.php7idM8834 (дата обращения:10.05.2024).

2. Ю. Г. Емельянова, А. А. Талалаев, И. П. Тищенко, В. П. Фраленко. Нейросетевая технология обнаружения сетевых атак на информационные ресурсы // Программные системы: теория и приложения: электрон. научн. журн. - 2011. - № 3(7), с. 3-15. - URL: http://psta.psiras.ru/read/psta2011_3_3- 15.pdf (дата обращения: 10.05.2024).

3. Тарасов Я. В. Исследование применения нейронных сетей для обнаружения низкоинтенсивных DDoS-атак прикладного уровня // Вопросы кибербезопасности: электрон. научн. журн. - 2017. - №5(24), с. 23-29. - URL: https://cyberrus.com/wp-content/uploads/2018/02/23-29-524-17_3.-Tarasov.pdf (дата обращения: 10.05.2024).

4. Воронова Л. И., Воронов В. И. Machine Learning: регрессионные методы интеллектуального анализа данных: учебное пособие / МТУСИ - М., 2017. - 92с.

5. NSL-KDD dataset: Canadian Institute for Cybersecurity: site. [Электронный ресурс] - URL: https://www.unb.ca/cic/datasets/nsl.html (дата обращения: 10.05.2024).

6. Обзор функций активации + softmax // Русские блоги: сайт. [Электронный ресурс] - URL: https://russianblogs.com/article/69151212591/ (дата обращения: 10.05.2024).

Размещено на Allbest.ru