- •Введение
- •1. Анализ существующих подходов к обнаружению атак
- •1.1. Классификация атак
- •1.2. Современные подходы к обнаружению атак
- •1.3. Технологии систем обнаружения атак
- •1.4. Обнаружение аномальной сетевой активности
- •2. Системы обнаружения атак на основе нейронных сетей
- •2.1. Понятие нейронной сети
- •2.2. Нейросетевые системы обнаружения аномалий
- •2.3. Нейросетевые системы обнаружения злоупотреблений
- •3. Разработка нейронной сети для диагностики аномальной сетевой активности
- •3.1. Задача разработки нейронной сети
- •3.2. Описание разработанной нейронной сети
- •Заключение
- •Список литературы
2.3. Нейросетевые системы обнаружения злоупотреблений
В то время как потребность в системах, способных точно идентифицировать примеры злоупотреблений в сети, растет, в настоящее время нет применимой альтернативы к системам обнаружения атак на основе правил. Этот метод продемонстрировал, что он является сравнительно эффективным, если известны точные характеристики атаки. Однако сетевые атаки постоянно изменяются, поскольку хакеры используют индивидуальные подходы, а также в связи с регулярными изменениями в ПО и аппаратных средствах выбранных систем. Из-за неограниченного разнообразия атак и хакеров, даже специальные постоянные обновления базы данных правил экспертной системы никогда не дадут гарантии точной идентификации всего диапазона атак.
Постоянно изменяющаяся природа сетевых атак требует гибкой защитной системы, которая способна анализировать грандиозное количество сетевого трафика способом, который является менее структурированным, чем системы на основе правил. Система обнаружения злоупотреблений на основе нейронных сетей могла бы решить многие из проблем, имеющихся в системах на основе правил.
К преимуществам нейросетевых систем обнаружения злоупотреблений относятся следующие.
1. Гибкость, предоставляемая сетями.
Нейронная сеть способна анализировать данные от сети, даже если эти данные являются неполными или искаженными, обладает возможностью проводить анализ данных в нелинейном режиме. Более того, способность обрабатывать данные от большого количества источников в нелинейном режиме является особенно важной, поскольку некоторые атаки могут быть проведены против сети скоординировано многочисленными хакерами.
2. Быстрая скорость обработки.
Поскольку защита вычислительных ресурсов требует своевременной (быстрой) идентификации атак, скорость обработки в нейронной сети может быть достаточной для реагирования в реальном времени на проводимые атаки до того, как в системе появятся непоправимые повреждения.
3. Возможность прогнозирования.
Характерно, что выходные данные нейронной сети выражаются в форме вероятности, нейронная сеть предоставляет возможность прогнозирования (предсказания) дальнейших злоупотреблений. Система обнаружения злоупотреблений на основе нейронной сети идентифицирует вероятность того, что отдельное событие, либо серия событий указывают, что против системы осуществляется атака. По мере того, как нейронная сеть "набирается опыта", она будет улучшать свою способность определять, в каком из этих событий наиболее вероятно имеются признаки атаки. Затем эта информация может быть использована для генерации серии событий, которые должны реализовываться, если бы действительно имела место попытка атаки. Отслеживая последовательное местонахождение этих событий, система способна улучшить анализ событий и провести защитные мероприятия прежде, чем атака станет успешной.
4. Способность "изучать" характеристики умышленных атак и идентифицировать элементы, которые не похожи на те, что наблюдались в сети прежде.
Нейронная сеть может быть обучена распознавать известные подозрительные события с высокой степенью точности. Это представляет собой очень ценную способность, поскольку хакеры очень часто подражают "успехам" других. Сеть также может использовать эти знания для идентификации атак, которые неточно соответствуют характеристикам предыдущих вторжений. Вероятность атаки против системы может быть оценена и потенциальная угроза обозначена, независимо то того, превышает или нет вероятность установленную пороговую величину.
К недостаткам нейросетевых систем обнаружения злоупотреблений относятся следующие.
1. Жесткие требования к обучению нейронной сети.
Поскольку способность искусственной нейронной сети идентифицировать указания на атаку полностью зависит от точности обучения системы, обучающие данные и используемые методы обучения являются наиболее важными. Порядок обучения требует большого количества данных с тем, чтобы убедиться, что результаты являются статистически значимыми. Обучение нейросети в целях обнаружения злоупотреблений может потребовать проведения тысячи индивидуальных атак, а такое количество информации трудно получить.
2. Проблема "черного ящика" нейронной сети.
В отличие от экспертных систем, которые имеют жесткие правила анализа событий, нейронное сети адаптированы на анализ данных по результатам ее обучения. Веса и активационные функции узлов обычно замораживаются после того, как сеть достигла допустимого уровня успеха в идентификация событий. Хотя анализ трафика достигает достаточно хорошего значения, базовый уровень его зачастую не известен. Проблема «черного ящика весьма» характерна для нейросетевых приложений.