КАТЕГОРИИ: Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748) |
Вопрос 24. Нейросети. Применение в СОВ
Применение в системах обнаружения атак. Первый проект. Использовались в качестве обучающих данных записи из локального журнала аудита. Строка кодировала 6 событий. Говорили, что 6 событий достаточно, чтобы определить разницу между нормальным и аномальным поведением. Если закодировали символами в строке, то можно говорить о разницей между строками. Подали обучающие строки на сеть из 1 скрытого слоя и единственного выходного узла, которы оценивал аномальность выходных данных. Подозрительным был тот случай, если оценка стремилась к 1. Количество входных узлов – 6. Эксперимент шел 4 недели, когда настраивались веса. Процесс обучения останавливался, когда общий процент ошибся прекращал уменьшаться, либо когда количество циклов превышено. Структура сети варьеировалась на основе количества скрытых узлов. Выбор был из 20-40 с шагом 5 узлов. До обучения веса выбирались случайным образом. Выбор начальных весов сильно влияет на процесс обучения. Для улучшения производительностьи, для каждого скрытого узла было проинициализировано 10 внутренних сете с различными весами. И того обучалось 90 сетей. Для окончательной работы была выбрана сеть, показавшая лушчие результаты. Сеть хараткреризовала отдельные последовательности сбытия аудита. Задача была определения характера всего аудита. По этому выход выходного нейрона подавался на вход устройства, реализующего алгоритм дырявого ведра. Суть алгоритма заключается в том, что если идет нормальный трафик, то константа постепенно уменьшается. Если пришла аномалия, то константа резко возрастает. Это характеризует аномальность сессии в целом. Что в итоге полчилось? Разработанная ситсема была протестирована на 132 нормальных и 123 аномальных. Параметр алгоритма дырявого ведра был выбран 0.2. Для этого значения процент обнаружения аномалий был равен 77.3%.Количество ложных срабатываний – 3,6%. После этого делали ту же систему, но начали ее учить атакам. Было обнаружено 90,9% атак и процент ложных срабатываний – 18.8%.
Эластичное обратное распространение – коэффициент «эта». Принимается во внимание только знак частной производной и отбрасывается ее вес. В эксперименте если получалось больше нуля, то бралось 1.2, если меньше нуля, то 0.5. Эти коэффициенты выбираются эмпирически. Инерция – чтобы дэльта изменялась не в соответствии с вычисленным выражением, а в соответствии. Изменение весов происходит более сглажено. Если веса изменяются в одном направлении, то мы увеличиваем скорость сходимости. Еще одна нейросеть работала с использованием нечетнких ка-средних с учетом нечеткой принадлежности к кластерам. В скрытом слое было три нейрона. Функции членства были треугльными и трапециевидными. Нельзя проследить логику принятия решения. В настоящее время центр исследований в области применения НС к проблемам обнаружения вторжений переместился к сетевым СОВ, что объясняется следующими основными достоинствами НС: · способность быстрой обработки данных вследствие параллельности самой структуры НС; · способность к обучению и самоорганизации. Поэтому сетевые СОВ на базе НС могут анализировать сетевой трафик в реальном масштабе времени, что, в силу непрерывного увеличения пропускной способности каналов связи, является одним из основных требований к СОВ. В зависимости от типа используемых НС направления применения НС для построения СОВ можно классифицировать следующим образом: Многоуровневые нейронные сети прямого распространения (Multi Layers Feed-Forward, MLFF). Первые работы с такими сетями фокусировались на обнаружении аномалий поведения пользователя (например, рассмотрение перечня исполняемых пользователем команд). Рекуррентные и адаптивные НС. В таких системах производится анализ реакции защищаемой системы или сети на результат работы нейронной сети, что позволяет оценивать корреляцию текущих выходов нейронной сети с предыдущими входами и состояниями. Примером таких систем является ELMAN (Cerebellar Model Articulation Controller). Нейронные системы без учителя. Большинство таких систем использует самоорганизующиеся шаблоны (Self-Organizing Maps, SOM) для обучения характеристикам нормальной системной активности и идентификации статистических отклонений от нормальных характеристик. Нейронные сети
Большинство современных методов обнаружения атак используют некоторую форму анализа контролируемого пространства на основе правил или статистического подхода. В качестве контролируемого пространства могут выступать журналы регистрации или сетевой трафик. Анализ опирается на набор заранее определённых правил, которые создаются администратором или самой системой обнаружения атак.
Любое разделение атаки во времени или среди нескольких злоумышленников является трудным для обнаружения при помощи экспертных систем. Из-за большого разнообразия атак и хакеров даже специальные постоянные обновления БД правил экспертной системы никогда не дадут гарантии точной идентификации всего диапазона атак.
Использование нейронных сетей является одним из способов преодоления указанных проблем экспертных систем. В отличие от экспертных систем, которые могут дать пользователю определённый ответ о соответствии рассматриваемых характеристик заложенным в БД правилам, нейронная сеть проводит анализ информации и предоставляет возможность оценить, согласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетевого представления может достигать 100 %, достоверность выбора полностью зависит от качества системы в анализе примеров поставленной задачи.
Сначала нейросеть обучают правильной идентификации на предварительно подобранной выборке примеров предметной области. Реакция нейросети анализируется и система настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к начальному периоду обучения, нейросеть набирается опыта с течением времени, по мере того, как она проводит анализ данных, связанных с предметной областью.
Важным преимуществом нейронных сетей при обнаружении злоупотреблений является их способность «изучать» характеристики умышленных атак и идентифицировать элементы, которые не похожи на те, что наблюдались в сети прежде.
Каждый из описанных методов обладает рядом достоинств и недостатков, поэтому сейчас практически трудно встретить систему, реализующую только один из описанных методов. Как правило, эти методы используются в совокупности. все есть в вики и и здесь: http://logic.pdmi.ras.ru/~sergey/teaching/ml/notes-01-dectrees.pdf —nikit89
Дата добавления: 2014-01-15; Просмотров: 733; Нарушение авторских прав?; Мы поможем в написании вашей работы! Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет |