- •Нейронные модели обнаружения вторжений и атак на компьютерные сети
- •1. Компьютерные системы как среда проведения вторжений и атак
- •1.1. Определение понятия компьютерных систем
- •1.2. Классификация сетевых атак для компьютерных систем
- •1.2.1. Атаки на основе подбора имени и пароля посредством перебора
- •1.2.2. Атаки на основе сканирования портов
- •1.2.3. Атаки на основе анализа сетевого трафика
- •1.2.4. Атаки на основе внедрения ложного
- •1.2.5. Атаки на основе отказа в обслуживании
- •1.2.5.1. Математическая модель атаки «отказ в обслуживании»
- •1.2.5.2. Атаки, основанные на ошибках
- •1.2.5.3. «Лавинные атаки»
- •2. Подходы к выявлению вторжений и атак
- •2.1. Системы обнаружения вторжений и атак
- •2.3. Возможности систем обнаружения
- •2.4. Технические аспекты выявления атак
- •2.4.1. Обнаружение атак на различных уровнях
- •2.4.2. Время сбора и анализа информации
- •2.5. Подход к построению входного вектора искусственной нейронной сети
- •3. Построение математической модели обнаружения вторжений и атак в компьютерные системы на основе
- •3.1. Основы искусственных нейронных сетей
- •3.1.1. Биологический прототип
- •3.1.2. Искусственный нейрон
- •3.1.3. Персептрон
- •3.2. Обоснование топологии искусственной нейронной сети
- •3.3. Построение структуры сети
- •3.4.1. Дельта-правило
- •3.4.2. Процедура обратного распространения
- •3.4.3. Обучающий алгоритм обратного распространения
- •3.4.4. Алгоритм обучения искусственной нейронной сети
- •3.5. Выбор тестового множества
- •3.6. Оценка возможности модели по обнаружению вторжения и атак
- •3.7. Обобщенная схема системы обнаружения вторжений и атак, на основе полученной математической модели
- •Вопросы для самоконтроля
- •Заключение
- •394026 Воронеж, Московский просп., 14
3.5. Выбор тестового множества
На всех предыдущих этапах существенно использовалось одно предположение. А именно, обучающее, контрольное и тестовое множества должны быть репрезентативными (представительными) с точки зрения существа задачи (более того, эти множества должны быть репрезентативными каждое в отдельности). Известное изречение программистов "garbage in, garbage out" ("мусор на входе - мусор на выходе") нигде не справедливо в такой степени, как при нейросетевом моделировании. Если обучающие данные не репрезентативны, то модель, как минимум, будет не очень хорошей, а в худшем случае - бесполезной. Обычно в качестве обучающих, берутся эталонные данные [45].
В нашем исследовании, для обучения сети был взят трафик содержащий "обычные" сетевые события и несколько событий со смоделированной атакой. В качестве модели атаки, нами была использована атака на основе отказа в обслуживании (сгенерированная с помощью программы SATAN, SYNFlood ).
Репрезентативное множество, используемое для обучения сети, представлено в приложении Б.
3.6. Оценка возможности модели по обнаружению вторжения и атак
Для оценки эффективности и расчета оптимального порога срабатывания ИНС найдем функцию плотности распределения выходного значения ИНС при нормальной и аномальной активности. Для расчетов являются приемлемыми следующие предположения о том, что входное значение NET для каждого формального нейрона (ФН) имеет нормальный закон распределения. В доказательство этого утверждения входное множество было подвергнуто критерию Пирсона, для проверки гипотезы о подчинении нормальному закону распределения [87].
,
где k - это число разрядов наблюдаемых значений, а n’- теоретические частоты соответствующих значений.
Далее в результате расчетов получим функцию плотности распределения выходного значения ФН выходного слоя.
Рассмотрим нейроны первого слоя ИНС.
,
где - взвешенная сумма входных сигналов для 1-ого ФН первого слоя; - i-я компонента входного вектора; - весовой коэффициент, соответствующей связи i-ого ФН нулевого слоя l-ого ФН 1-ого слоя.
Рассчитаем математическое ожидание и дисперсию взвешенной суммы :
=
.
При этом функция распределения величины близка к нормальной как сумма большого числа достаточно слабо зависимых величин [87], то есть:
Пусть ФН имеет функцию активации , где - выходное значение l-ого ФН 1-ого слоя;
Рассчитаем математическое ожидание и дисперсию :
,
.
Величины , i=1…k, образуют входной вектор второго слоя ИНС, для которого:
,
где - взвешенная сумма входных ФН второго слоя; - весовой коэффициент, соответствующей связи i-ого ФН первого слоя и единственного ФН выходного слоя. k – количество ФН внутреннего слоя.
Рассчитаем математическое ожидание и дисперсию взвешенной суммы :
В силу слабой зависимости значений выходов внутреннего слоя ИНС, второе слагаемое в выражении для дисперсии дает малый вклад в значение дисперсии и его можно не учитывать [81], то есть получим:
А налогично внутреннему слою:
С учетом приведенных формул можно рассчитать функцию плотности распределения выходного значения ФН выходного слоя ИНС:
,
где
Такая функция находится для нормальной и аномальной активностей и соответственно.
В качестве показателя эффективности обнаружения атак рассмотрим вероятность правильного обнаружения аномалий сетевого трафика , являющейся функцией значения оптимального порога принятия решения о наличии аномалии . При этом
,
где вероятность ошибки, то есть или пропуска или ложного обнаружения атаки при оптимальном выборе порога, устанавливаемом на выходе ИНС:
,
где и - вероятности пропуска и ложного обнаружения атаки соответственно при оптимальном значении порога.
Данные вероятности рассчитываются на основе известных соотношений
,
.
Значение выбирается таким, чтобы вероятность ошибки была минимальной и, соответственно, вероятность правильного решения максимальной [74].
Рассчитанный таким образом показатель позволяет оценить эффективность обнаружения аномалий в сетевом трафике как признаке сетевых атак и одновременно оценить эффективность функционирования ИНС как адаптивного средства обнаружения.