4. Понятие искуственной нейронной сети
Искусственная нейронная сеть (Artificial Neural Network – ANN) в общем случае представляет собой организованную определенным образом совокупность узлов (нейронов) и связей между ними (рис. 2). Связь между двумя отдельными узлами характеризуется весовыми коэффициентами, которые определяют степень влияния одного элемента на другой. Подмножество элементов (Xi) является входным, а другое подмножество (Yj) – выходным. Сеть осуществляет функциональное преобразование входного вектора значений, формируемого элементами первого слоя, в выходной, которому соответствует набор элементов второго слоя. Само преобразование задается значениями весовых коэффициентов нейронной сети.
Рис. 2 – Нейронная сеть.
Работа с нейронной сетью предполагает наличие следующих этапов: 1. Сбор и подготовка исходных данных; 2. Построение и обучение сети; 3. Тестирование сети и анализ результатов.
5. Применение нейронных сетей в задачах обнаружения вторжений
Процесс обработки информации в IDS приведен на рис. 3. Он включает три этапа.
Рис.
3 – Процесс обнаружения.
На первом этапе осуществляется захват трафика сети . Сбор необходимых данных выполняет специальное программное средство (packet sniffer). Эти данные поступают в виде сетевых пакетов, заголовки которых содержат важную первичную информацию. Результаты первого этапа не могут быть сразу использованы классификатором, поскольку они представлены в “сыром” виде и нуждаются в предварительной обработке. Поэтому второй этап (preprocessor) связан с вычислением (на основе входных данных) параметров, характеризующих активность сети и представленных в той форме, в которой их сможет принять классификатор. Для решения поставленных нами задач можно использовать базу данных KDD-99 (rules). Эта база содержит около 5 000 000 записей о соединениях. Каждая запись в этой базе представляет собой образ сетевого соединения. Соединение – последовательность TCP пакетов за некоторое конечное время, моменты начала и завершения которого четко определены, в течение которого данные передаются от IP-адреса источника на IP-адрес приемника (и в обратном направлении) используя некоторый определенный протокол. Отдельная запись состоит из около 100 байт, включает 41 параметр сетевого трафика и промаркирована как “атака” или “не атака”. Например, первый параметр определяет длительность соединения, второй – указывает используемый протокол, третий – целевую службу и т.д. Третий этап состоит в обнаружении и распознавании атак(classification). Мы предлагаем применять в качестве классификатора различные нейронные сети. После обучения нейронной сети, такая IDS способна выявлять возникающие в сети угрозы. В базе KDD-99 представлены 22 типа атаки. При этом атаки делятся на четыре основные категории: DoS, U2R, R2L и Probe.
Атака DoS – отказ в обслуживании, характеризуется генерацией большого объема трафика, что приводит к перегрузке и блокированию сервера. Атака U2R предполагает получение зарегистрированным пользователем привилегий локального суперпользователя (администратора). Атака R2L характеризуется получением доступа незарегистрированного пользователя к компьютеру со стороны удаленной машины. Атака Probe заключается в сканировании портов с целью получения конфиденциальной информации. Выходные значения соответствуют четырем классам атак и “нормальному” состоянию сети.