О. И. Шелухин – д.т.н., профессор, зав. кафедрой «Информационная безопасность», Московский технический университет связи и информатики
E-mail: sheluhin@mail.ru
В. О. Мусатов – магистрант, кафедра «Информационная безопасность», Московский технический университет связи и информатики
E-mail: vladimirus@protonmail.com
Постановка проблемы. Рассмотрены проблемы обнаружения сетевых атак с помощью двух искусственных нейронных сетей (ИНС): «быстрой» и «медленной». На первом этапе с целью повышения достоверности обнаружения сетевых аномалий предложено подавать анализируемый трафик на вход «быстрой» первичной ИНС, фиксирующей наличие любых отклонений от нормы. На втором этапе принято решение использовать «медленную» ИНС, повышающую точность классификации аномального трафика.
Цель. Оценка эффективности комбинированного подхода с применением двух ИНС к обнаружению и классификации сетевых аномалий.
Результаты. Для решения поставленной задачи в работе использованы методы машинного обучения и интеллектуальной обработки данных, в том числе ИНС. В качестве «быстрой» ИНС использована двухслойная ИНС типа SVM (Support Vector Machine) {36-48-24-1}. Отмечено, что основным требованием, предъявляемым к «быстрой» ИНС, является высокая достоверность фиксации аномалий, что достигается минимизацией ошибок второго рода при допустимом уровне ошибок первого рода. В качестве «медленной» ИНС использована трехслойная ИНС с алгоритмом BFGS {36-36-48-36-6} (Broyden –Fletcher – Goldfarb – Shanno, алгоритм Бройдена – Флетчера – Гольдфарба – Шанно). Для экспериментальной оценки полученных результатов использован набор данных NSL KDD. Показано, что в рассмотренных классах нормального и аномального трафика, содержащего сетевые атаки (DoS, R2L, U2R, Probe), предложенная гибридная структура демонстрирует более высокую достоверность обнаружения, чем обычные методы, базирующиеся на алгоритмах машинного обучения (SVM и NaiveBayes) или одиночные ИНС BPNN {36-36-36-6}. Исследуемая модель синтезирована с помощью библиотеки машинного обучения scikit-learn для языка программирования Python.
Практическая значимость. В результате исследований установлено, что гибридная структура обладает более высокой достоверностью обнаружения в классе атак (DoS, R2L, U2R, Probe) по сравнению с другими рассмотренными алгоритмами, в том числе одиночными ИНС. Отмечено, что основным преимуществом предложенной структуры является возможность обнаруживать атаки с малой частотой появления таких записей в выборке и большим количеством признаков классификации.
- Beghdad R. Critical study of neural networks in detecting intrusions // Computers and Security. 2008. V. 27. P. 168–175. DOI: 10.1016/j.cose.2008.06.001
- Moradi M., Zulkernine M. A neural network based system for intrusion detection and classification of attacks // Proceedings of 2004 IEEE International Conference on Advances in Intelligent Systems – Theory and Applications. 2004.
- Shah B., Trivedi B.H. Artificial neural network based intrusion detection system: a survey // International Journal of Computer Applications. 2012. V. 39. № 6. P. 13–18. DOI: 10.5120/4823-7074
- Depren O., Topallar M., Anarim E., Ciliz M.K. An intelligent intrusion detection system (IDS) for anomaly and misuse detection in computer networks // Expert Systems with Applications. 2005. V. 29. P. 713–722.
- Набор данных KDDCUP 1999. URL: http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html
- Kim G., Lee S., Kim S. A novel hybrid intrusion detection method integrating anomaly detection with misuse detection // Expert Systems with Applications. 2014. V. 41. P. 1690–1700.
- Faroun K.M., Boukelif A. Neural network learning improvement using k-means clustering algorithm to detect network intrusions // International Journal of Computational Intelligence. 2007. V. 3. № 2. P. 161–168.
- Lin S.W., Ying K.C., Lee C.Y., Lee Z.J. An intelligent algorithm with feature selection and decision rules applied to anomaly intrusion detection // Applied Soft Computing. 2012. V. 12. P. 3285–3290.
- Sabhnani M., Serpen G. Application of machine learning algorithms to KDD intrusion detection dataset within misuse detection context // Proc. of International Conference on Machine Learning: Models, Technologies, and Applications. Las Vegas, Nevada, USA. 2003. P. 209–215.
- Hussain J., Lalmuanawma S., Chhakchhuak L. A novel network intrusion detection system using two-stage hybrid classification technique // International Journal of Computer & Communication Engineering Research (IJCCER). 2015. V. 3. № 2. P. 16–25.
- Набор данных NSLKDD. URL: https://github.com/defcom17/NSL_KDD
- Géron A. Hands-on machine learning with Scikit-Learn and TensorFlow. Concepts, tools, and techniques to build intelligent systems. O'Reilly Media. 2017.