3. Разработка нейронной сети для диагностики аномальной сетевой активности

3.1. Задача разработки нейронной сети

Практическое использование нейронных сетей предполагает решение двух основных задач на этапе их разработки – задачи идентификации структуры нейронной сети и задачи идентификации её параметров.

Идентификация структуры нейронной сети производится перед использованием процедуры обучения и включает в себя следующие основные этапы [1].

1. Выбор значимых входных и выходных переменных.

2. Определение архитектуры нейронной сети.

Выбор значимых входных переменных нейронной сети определяется из условия решаемой задачи. В задаче анализа аномальной сетевой активности входными переменными будут являться те параметры, которые определяют характеристики атаки. Выходными параметрами нейронной сети будут два нейрона, значения которых будут определять наличие либо отсутствие аномальной сетевой активности.

Определение архитектуры нейронной сети предполагает выбор числа слоев сети, количества нейронов в каждом слое, а также используемой функции активации нейронов. Данные параметры определяют степень точности решаемой задачи. С одной стороны, малое число нейронов и слоев может стать причиной плохой аппроксимации экспериментальных данных при обучении нейронной сети. С другой, слишком большие значения данных параметров могут привести к так называемому эффекту переобучения, когда нейронная сеть правильно распознает известные примеры и некорректно работает на неизвестных данных. Поэтому, данные параметры часто определяются экспериментально.

Задача идентификации параметров нейронной сети решается на этапе ее обучения. При этом важно выбрать эффективный алгоритм обучения, в качестве которого наиболее часто используют алгоритм обратного распространения ошибки.

3.2. Описание разработанной нейронной сети

Разработанная нейронная сеть представляет собой многослойную сеть прямого распространения, состоящую из четырех полностью связанных слоев с девятью входными нейронами и двумя выходными. Несмотря на то, что существует большое количество архитектур, которые могут быть использованы для решения задачи диагностики аномальной сетевой активности, разработанная архитектура нейронной сети была выбрана на основании гибкости и применимости данного подхода.

Большое количество скрытых слоев и большое количество нейронов в скрытых слоях было определено на основе проб и ошибок. К каждому из скрытых узлов и выходному узлу для различных по значимости соединений применялась сигмоидальная функция активации f(x)=1/(1+exp(-x)). Нейросеть была спроектирована на получение выходного значения из 0.0 и 1.0 в двух выходных нейронах, когда анализ указывал, что атаки нет, и 1.0 и 0.0 –в случае атаки.

Данные для получения обучающей выборки генерировались с использованием сетевого монитора RealSecure от компании Internet Security Systems. Система RealSecure предназначена для использования администраторами сетевой безопасности для пассивного сбора данных из сети и идентификации атак. RealSecure использует экспертную систему, которая включает свыше 360 сигнатур атак, которые он сравнивает с текущим трафиком для обнаружения вторжений. Монитор RealSecure был сконфигурирован для сбора данных о каждом событии, последовательно происходящем в сетевом сегменте (например, исходный адрес, конечный адрес, данные пакета и т.д.) и результатов анализа каждого события системой RealSecure.

В дополнение к "обычной" сетевой активности, информация о которой собиралась системой RealSecureT, хост для монитора был "атакован" с использованием продукта Internet Scanner компании ISS. Это приложение использовалось из-за своей способности генерировать большое количество смоделированных атак против определенного хоста сети. Сканер был сконфигурирован на большое количество атак, начиная от атак типа "отказ в обслуживании" до сканирования портов. Приблизительно 10000 отдельных событий были собраны системой RealSecure и сохранены в базе данных Microsoft Access, из которых приблизительно 3000 были смоделированными атаками.

Для формирования обучающей выборки были выбраны девять параметров сетевого трафика, потому что они, как правило, представляют в сети пакеты данных и предоставляют полное описание информации, передаваемой пакетом.

1. Protocol ID - Протокол, связанный с событием (TCP = 0, UDP = 1, ICMP = 2 и Unknown = 3).

2. Исходный порт - Номер порта источника.

3. Порт назначения - Номер порта хоста назначения.

4. Исходный адрес - IP-адрес источника.

5. Адрес назначения - IP-адрес получателя.

6. ICMP Type - Тип ICMP пакета (Echo Request или Null).

7. ICMP Code - Кодовое поле из ICMP пакета (None или Null).

8. Raw Data Length - Длина данных в пакете.

9. Raw Data - Порция данных пакета.

Десятый параметр обучающей выборки (атака) был определен для каждой записи на основе того, представляло ли это событие часть атаки в сети. В таблице 1 приведен фрагмент сформированной обучающей выборки.

Таблица. 1. Фрагмент обучающей выборки

Protocol ID	Source Port	Destination Port	Source Address	Destination Address	ICMP Type ID	ICMP Code ID	Raw Data	Length Data	ID Attack
0	2314	80	1573633013	1530473590	1	1	401	3753	0
0	1611	6101	301336032	926167166	1	1	0	2633	1

В данном примере первая строка таблицы определяет условия, при которых наблюдается нормальная сетевая активность. Вторая строка таблицы определяет условия появления аномальной сетевой активности.