3.2. Описание разработанной нейронной сети
Разработанная нейронная сеть представляет собой многослойную сеть прямого распространения, состоящую из четырех полностью связанных слоев с девятью входными нейронами и двумя выходными. Несмотря на то, что существует большое количество архитектур, которые могут быть использованы для решения задачи диагностики аномальной сетевой активности, разработанная архитектура нейронной сети была выбрана на основании гибкости и применимости данного подхода.
Большое количество скрытых слоев и большое количество нейронов в скрытых слоях было определено на основе проб и ошибок. К каждому из скрытых узлов и выходному узлу для различных по значимости соединений применялась сигмоидальная функция активации f(x)=1/(1+exp(-x)). Нейросеть была спроектирована на получение выходного значения из 0.0 и 1.0 в двух выходных нейронах, когда анализ указывал, что атаки нет, и 1.0 и 0.0 –в случае атаки.
Данные для получения обучающей выборки генерировались с использованием сетевого монитора RealSecure от компании Internet Security Systems. Система RealSecure предназначена для использования администраторами сетевой безопасности для пассивного сбора данных из сети и идентификации атак. RealSecure использует экспертную систему, которая включает свыше 360 сигнатур атак, которые он сравнивает с текущим трафиком для обнаружения вторжений. Монитор RealSecure был сконфигурирован для сбора данных о каждом событии, последовательно происходящем в сетевом сегменте (например, исходный адрес, конечный адрес, данные пакета и т.д.) и результатов анализа каждого события системой RealSecure.
В дополнение к "обычной" сетевой активности, информация о которой собиралась системой RealSecureT, хост для монитора был "атакован" с использованием продукта Internet Scanner компании ISS. Это приложение использовалось из-за своей способности генерировать большое количество смоделированных атак против определенного хоста сети. Сканер был сконфигурирован на большое количество атак, начиная от атак типа "отказ в обслуживании" до сканирования портов. Приблизительно 10000 отдельных событий были собраны системой RealSecure и сохранены в базе данных Microsoft Access, из которых приблизительно 3000 были смоделированными атаками.
Для формирования обучающей выборки были выбраны девять параметров сетевого трафика, потому что они, как правило, представляют в сети пакеты данных и предоставляют полное описание информации, передаваемой пакетом.
1. Protocol ID - Протокол, связанный с событием (TCP = 0, UDP = 1, ICMP = 2 и Unknown = 3).
2. Исходный порт - Номер порта источника.
3. Порт назначения - Номер порта хоста назначения.
4. Исходный адрес - IP-адрес источника.
5. Адрес назначения - IP-адрес получателя.
6. ICMP Type - Тип ICMP пакета (Echo Request или Null).
7. ICMP Code - Кодовое поле из ICMP пакета (None или Null).
8. Raw Data Length - Длина данных в пакете.
9. Raw Data - Порция данных пакета.
Десятый параметр обучающей выборки (атака) был определен для каждой записи на основе того, представляло ли это событие часть атаки в сети. В таблице 1 приведен фрагмент сформированной обучающей выборки.
Таблица. 1. Фрагмент обучающей выборки
Protocol ID | Source Port | Destination Port | Source Address | Destination Address | ICMP Type ID | ICMP Code ID | Raw Data | Length Data | ID Attack |
0 | 2314 | 80 | 1573633013 | 1530473590 | 1 | 1 | 401 | 3753 | 0 |
0 | 1611 | 6101 | 301336032 | 926167166 | 1 | 1 | 0 | 2633 | 1 |
В данном примере первая строка таблицы определяет условия, при которых наблюдается нормальная сетевая активность. Вторая строка таблицы определяет условия появления аномальной сетевой активности.
- Введение
- 1. Анализ существующих подходов к обнаружению атак
- 1.1. Классификация атак
- 1.2. Современные подходы к обнаружению атак
- 1.3. Технологии систем обнаружения атак
- 1.4. Обнаружение аномальной сетевой активности
- 2. Системы обнаружения атак на основе нейронных сетей
- 2.1. Понятие нейронной сети
- 2.2. Нейросетевые системы обнаружения аномалий
- 2.3. Нейросетевые системы обнаружения злоупотреблений
- 3. Разработка нейронной сети для диагностики аномальной сетевой активности
- 3.1. Задача разработки нейронной сети
- 3.2. Описание разработанной нейронной сети
- Заключение
- Список литературы