УДК 004.032.26

Аналитический обзор нейронных сетей для обнаружения сетевых атак

Болдырихин Николай Вячеславович – доцент кафедры кибербезопасности информационных систем Донского государственного технического университета.

Карпенко Михаил Владиславович – магистрант Донского государственного технического университета.

Аннотация: Нейронные сети становятся все более популярным решением для систем обнаружения сетевых вторжений. Способность к обучению сложным моделям и поведению делает их подходящим решением для классификации сетевого трафика и сетевых атак. Однако существенным недостатком использования нейронных сетей до сих пор остается их привязанность к большому объему данных для обучения. В данной статье были рассмотрены архитектуры, которые могут быть использованы для выявления сетевых аномалий и также представлен новый вариант нейронной сети, которая также может определять нормальное поведение сети и аномальное поведение.

Ключевые слова: обнаружения аномалий, обнаружение сетевых вторжений, автоэнкодеры, ансамблевое обучение, линейные алгоритмы, сверточные нейронные сети.

Нейронные сети становятся все более популярным решением для систем обнаружения сетевых аномалий. Их способность к обучению сложным моделям и поведению делает системы на их основе подходящим решением для различения обычного трафика и аномальной активности. В данной статье представлен разбор нескольких архитектур нейронных сетей, которые могут быть применены для обнаружения аномальной сетевой активности с последующей классификацией этой активности и соотнесением её с известными классами сетевых атак.

Kitsune (KitNET) – нейронная сеть чья архитектура основана на ансамбле автоэнкодеров. Архитектура алгоритма обнаружения аномалий Kitsune (KitNET) показана на рисунке 1.

Рисунок7

Рисунок 1. Алгоритм обнаружения аномалий KitNET

Принцип работы данной сети заключается в следующем:

  1. Захватчик пакетов получает новый пакет и передает необработанный двоичный файл парсеру пакетов.
  2. Парсер пакетов получает файл, разбирает пакет и отправляет метаинформацию, о пакете далее.
  3. Следующий модуль, получив информацию от парсера разбивает ее на статистические данные, которые используются для описания текущего состояния канала, с которого пришел пакет.
  4. Далее вся эта информация передается для обучения нейронной сети. На данном этапе создается карта признаков, которые группирует признаки, полученные из информации предыдущего этапа. В конце режима обучения карта передается в модуль детектора аномалий, и он использует ее для построения архитектуры ансамбля.
  5. Детектор аномалий выполняет сразу две функции, а именно: осуществляет обучение нейронной сети на полученных данных и выполняет разбор полученного пакета. Если его значения будут превышать нормальное, то в журнал заносится предупреждение с подробной информацией о пакете.

Точность обнаружения и классификации данной сети может розниться в зависимости от уровня повреждения сетевого пакета и числу ложных срабатываний сети, но все равно остается на уровне 94-96%. [1]

EagerNet основана на архитектуре полносвязных нейронных сетей. Для представления сетевых данных в таких архитектурах используется статистическое представление характеристик потока данных. При обучении данной сети использовалось представление сетевого трафика CAIA.

Рисунок8

Рисунок 2. Архитектура сети EagerNet.

Начальные нейроны показаны синим цветом, а выходные нейроны (на каждый слой) – зеленым. После того как был обнаружен сетевой поток извлеченный образец данных подается в сеть через входной слой. Нейронная сеть поочередно оценивает слои и выдает значение уверенности прогнозе на каждом слое. Нейронная сеть определяет, нужно ли обрабатывать дополнительные слои или полученное на данный момент достаточно высоко, чтобы прекратить проверку. Использование данной методологии гарантирует, что более простые образцы сетевого трафика могут быть подвергнуты классификации на ранних этапах прямого прохождения, а более сложные образцы будут переданы в глубокие слои нейронной сети. [2]

Рисунок9

Рисунок 3. Графики, отображающие необходимое количество слоев нейронной сети, требуемое для получения удовлетворяющего результата.

Сеть, разработанная в ходе обучения на магистратуре основана на архитектурах сверточной нейронной сети и сети долгой краткосрочной памяти. Обобщенное представление данной сети представлена на рисунке 4.

Рисунок10

Рисунок 4. Архитектура нейронной сети

Данный тип архитектуры называется CNN Bidirectional LSTM, сверточные слои используются для захвата важных шаблонов. Затем сеть LSTM исследует последовательность уже обработанных шаблонов и может включать их в контекст на основе предыдущей и будущей информации.

Сверточный слой отвечает за извлечение ценных характеристик из введенного текста, а слой объединения служит для объединения извлеченных признаков в сжатый формат. Этот процесс позволяет модели уменьшить количество параметров и снизить вычислительную сложность при сохранении точности. Далее на рисунке 5 представлен первоначальный результат работы.

Рисунок11

Рисунок 5. Результат работы нейронной сети

Список литературы

  1. Kitsune: An Ensemble of Autoencoders for Online Network Intrusion Detection // paperswithcode URL: https://paperswithcode.com/ (дата обращения: 16.03.2024).
  2. EagerNet: Early Predictions of Neural Networks for Computationally Efficient Intrusion Detection // paperswithcode URL: https://paperswithcode.com/ (дата обращения: 15.03.2024).
  3. Шелухин О.И., Сакалема Д.Ж., Филинова А.С. Обнаружение вторжений в компьютерные сети [сетевые аномалии]. – Горячая линия – Телеком, 2013. – 220 с.
  4. Микова С.Ю, Оладько В.С. Модель системы обнаружения аномалий сетевого трафика // Информационные системы и технологии. 2016. №5 (97). С 115 – 121. – ISSN: 2072-8964. – Текст: непосредственный
  5. Шелухин О.И., Сакалема Д.Ж, Филинова А.С. Обнаружение вторжений в компьютерные сети [сетевые аномалии]. – Москва: Горячая линия - Телеком, 2013. – 220с.