- •Введение
- •1. Анализ существующих подходов к обнаружению атак
- •1.1. Классификация атак
- •1.2. Современные подходы к обнаружению атак
- •1.3. Технологии систем обнаружения атак
- •1.4. Обнаружение аномальной сетевой активности
- •2. Системы обнаружения атак на основе нейронных сетей
- •2.1. Понятие нейронной сети
- •2.2. Нейросетевые системы обнаружения аномалий
- •2.3. Нейросетевые системы обнаружения злоупотреблений
- •3. Разработка нейронной сети для диагностики аномальной сетевой активности
- •3.1. Задача разработки нейронной сети
- •3.2. Описание разработанной нейронной сети
- •Заключение
- •Список литературы
2. Системы обнаружения атак на основе нейронных сетей
2.1. Понятие нейронной сети
Искусственная нейронная сеть (artificial neural network) [5,7] состоит из набора элементарных элементов, которые взаимосвязаны друг с другом и трансформируют набор входных параметров к набору желаемых выходных данных. Результат преобразования определяется характеристиками элементов и весами, соответствующими взаимосвязям между ними. Путем настройки весов соединений между узлами сети можно адаптироваться к желаемым выходным результатам.
На рисунке 2 представлена модель искусственного нейрона [5].
Рис. 2. Модель искусственного нейрона
Данная модель состоит из следующих элементов:
умножителей (синапсов);
сумматора ;
нелинейного преобразователя f, называемого функцией активации нейронного элемента или передаточной функцией.
Математическая модель искусственного нейрона может быть представлена выражением:
,
где – входной сигнал нейрона;
– вес синаптической связи;
b – смещение (порог) нейрона;
s – результат суммирования входных сигналов;
y – выходной сигнал нейрона;
n – число входов нейрона;
f – функция активации.
В качестве функции активации нейронного элемента может использоваться пороговая функция, сигмовидная, гиперболический тангенс и другие.
В отличие от экспертных систем, которые могут дать пользователю определенный ответ, соответствуют или нет рассматриваемые характеристики характеристикам, заложенным в базе данных правил, нейронная сеть проводит анализ информации и предоставляет возможность оценить, что данные согласуются с характеристиками, которые она научена распознавать. Отметим, что качество работы нейронной сети во многом определяется репрезентативностью обучающей выборки и достигнутым уровнем точности во время ее обучения.
Обучение нейронной сети заключается в правильной идентификации предварительно выбранных примеров предметной области. Реакция нейросети анализируется и система настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к первоначальному периоду обучения, нейронная сеть также может дообучаться с течением времени по мере того, как она проводит анализ данных, связанных с предметной областью.
2.2. Нейросетевые системы обнаружения аномалий
По вопросу применения нейронных сетей для обнаружения компьютерных атак было проведено небольшое количество исследований [4]. Искусственные нейронные сети предлагают потенциал для решения большого количества проблем, охватываемых другими современными подходами к обнаружению атак. Они были предложены в качестве альтернативы компонентам статистического анализа систем обнаружения аномалий. Статистический анализ включает статистическое сравнение текущих событий с предварительно определенным набором эталонных критериев. Этот метод наиболее часто используется при обнаружении отклонений от типичного режима и определяет события, аналогичные событиям, которые указывают на атаку. Нейронные сети были специально предложены для того, чтобы идентифицировать типичные характеристики пользователей системы и идентифицировать статистически значимые отклонения от установленного режима работы пользователя.
Искусственные нейронные сети также можно использовать для обнаружения компьютерных вирусов. Сеть может изучать характеристики деятельности обычной системы и производить идентификацию статистических отклонений от нормы, что может указывать на вирус.