Регистрация / Вход
Прислать материал

Использование искусственных нейронных сетей в системе обнаружения сетевых атак

Фамилия
Титов
Имя
Алексей
Отчество
Сергеевич
Номинация
Информационные технологии
Институт
Институт информационных технологий и автоматизированных систем управления (ИТАСУ)
Кафедра
Автоматизированных систем управления
Академическая группа
ИСУ-15-М
Научный руководитель
д.т.н., проф. Темкин Игорь Олегович
Название тезиса
Использование искусственных нейронных сетей в системе обнаружения сетевых атак
Тезис

Вовлеченность практически всех сфер жизни современного общества в сеть Интернет делает крайне актуальной проблему защиты информации. Целью данной работы является создание системы обнаружения атак, использующей нейронные сети для анализа входящего сетевого трафика. Выбор нейронных сетей обусловлен тем, что они позволяют построить систему, способную к самообучению и обнаружению ранее неизвестных типов сетевых атак в отличие от существующих на данный момент систем, основанных на сигнатурном анализе.

Работа системы обнаружения атак происходит в два основных этапа. На первом из них происходит первичная кластеризация сетевых соединений, целью которой является их распределение на две группы: нормальные и аномальные. На данном этапе используется нейронная сеть архитектуры ART2, способная к дальнейшему самообучению в процессе своего функционирования. В ней решена проблема стабильности-пластичности, присущая многим другим архитектурам. Структура сети ART2 представлена на рисунке 1. Количество нейронов в слое сравнения зависит от размерности входящих векторов, которая в данной работе равна 40, так как в выбранном обучающем наборе такое количество параметров описывают сетевое соединение. При этом, количество нейронов в слое распознавания равно итоговому количеству кластеров, которые смогла выделить нейронная сеть в ходе своей работы. На данный момент оно равняется 2, где первый кластер - нормальные соединения, а второй - аномальные.

Рисунок 1 - Структура сети ART2

На втором этапе происходит классификация тех соединений, которые были признаны аномальными на первом этапе. Для этого используется нейронная сеть, построенная на основе многослойного персептрона, обученного по алгоритму обратного распространения ошибки. Целью второго этапа является попытка выделить конкретные типы атак среди аномальных соединений для более эффективной попытки ее отражения. В отличие от ART2 нейронную сеть на данном этапе необходимо с определенной периодичностью обучать заново дабы классификация соединений происходила с большей эффективностью.

В качестве обучающего набора данных был выбран gureKddcup, содержащий 35 видов различных сетевых атак помимо нормальной сетевой активности. Данный набор используется для обучения сетей, находящихся на обоих этапах работы системы обнаружения.