УДК 004.492.4

ПРИМЕНЕНИЕ НЕЙРОННЫХ СЕТЕЙ В ОБНАРУЖЕНИИ ВТОРЖЕНИЙ

Фимичев Николай Николаевич
Вологодский Государственный Университет
аспирант

Аннотация
В настоящее время в различных отраслях науки и техники повышается интерес к использованию искусственных нейронных сетей. Такую популярность нейронных сетей можно объяснить возможностью их эффективного применения в задачах, с которыми «аналитические» методы плохо справляются. Одной из таких задач является создание системы обнаружения вторжений.

Ключевые слова: недостатки нейронных сетей, нейронные сети, обнаружение аномалий, преимущества нейронных сетей, реализации нейронных сетей, сетевые атаки, система обнаружения вторжений, экспертные системы


THE USE OF NEURAL NETWORKS IN INTRUSION DETECTION

Fimichev Nikolay Nikolaevich
Vologda State University
graduate

Abstract
Currently, the various branches of science and technology is growing interest in the use of artificial neural networks. Such popularity of neural networks can be attributed to the ability to use them effectively in the problems with which the analytical methods do not cope. One such problem is the creation of an intrusion detection system.

Keywords: advantages of neural networks, detection of anomalies, disadvantages of neural networks, expert systems, implementation of neural networks, intrusion detection system, network attacks, neural networks


Рубрика: 05.00.00 ТЕХНИЧЕСКИЕ НАУКИ

Библиографическая ссылка на статью:
Фимичев Н.Н. Применение нейронных сетей в обнаружении вторжений // Современные научные исследования и инновации. 2015. № 10 [Электронный ресурс]. URL: http://web.snauka.ru/issues/2015/10/58404 (дата обращения: 19.11.2016).

Хотя существует возрастающая потребность в системе, способной безошибочно выявлять вторжения в сети, на данный момент не существует альтернативы к системе обнаружения вторжений на основе правил. Этот метод зарекомендовал себя сравнительно эффективным, при условии, что точные характеристики атаки известны. Тем не менее, сетевые атаки постоянно изменяются из-за индивидуальности подходов злоумышленников и регулярных изменений в программном обеспечении и аппаратных средствах целевых систем. Из-за бесконечного количества атак и множества злоумышленников, даже целенаправленные усилия на постоянное обновление базы правил экспертной системы никогда не смогут точно идентифицировать различные вторжения.

Постоянно меняющийся характер сетевых атак требует гибкую защитную систему, которая способна анализировать огромное количество сетевого трафика по методу, который менее структурирован чем тот, что основан на построении определенных правил. Система обнаружения вторжений на основе нейронной сети может потенциально решить многие из проблем, которые имеют место быть в системах, основанных на правилах.

Преимущества систем обнаружения вторжений на основе нейронных сетей

Первое преимущество в использовании нейронной сети в выявлении вторжений — это гибкость, которую предоставляет эта сеть. Нейронная сеть способна анализировать данные из сети, даже если данные неполные или искажены. Кроме того, сеть будет обладать способностью проводить анализ с данными в нелинейной форме. Обе эти характеристики имеют важное значение в сетевой среде, где полученная информация подвержена случайным ошибкам системы. Кроме того, поскольку некоторые атаки на сеть могут быть проведены скоординированным вторжением нескольких злоумышленников, способность обрабатывать данные из нескольких источников в нелинейной форме особенно важна.

Скорость, свойственная нейронным сетям, является еще одним преимуществом этого подхода. Поскольку защита вычислительных ресурсов требует своевременного выявления атак, скорость обработки нейронной сети может обеспечить реагирование на вторжение до того, как будет нанесен непоправимый ущерб системе.

Поскольку результат работы нейронной сети выражается в виде вероятности, нейронная сеть обеспечивает возможность прогнозирования для обнаружения случаев вторжения. Система обнаружения вторжений на основе нейронных сетей определит вероятность того, что конкретное событие или ряд событий, свидетельствуют о нападении на систему. По мере получения опыта, нейронная сеть улучшает способность определять, какие события и где могут произойти в процессе атаки. Эта информация затем может быть использована, чтобы сгенерировать последовательность событий, которые должны произойти, если имеет место быть попытка вторжения. Отслеживая последующие возникновения этих событий, система будет способна улучшить анализ событий и, возможно, провести защитные меры, прежде чем атака будет удачно выполнена.[1]

Тем не менее, наиболее важным преимуществом нейронных сетей в выявлении вторжений является  способность нейронной сети “обучаться” признакам атак и определять случаи, которые нехарактерны для тех, что наблюдались ранее. Нейронная сеть может быть обучена распознавать известные подозрительные события с высокой степенью точности. Это очень ценное умение (злоумышленники часто повторяют «успехи» других) так же позволит получить возможность применять эти знания для выявления фактов о нападении, которые не соответствуют точным характеристикам предыдущих вторжений. Вероятность вторжения в систему может быть предполагаемая и помечена как потенциальная угроза, когда вероятность превышает определенный порог.

Недостатки систем обнаружения вторжений на основе нейронных сетей

Есть две основные причины, почему нейронные сети не применялись в разрешении задачи обнаружения вторжений в прошлом. Первая причина связана с требованиями к обучению нейронной сети. Поскольку способность искусственной нейронной сети к идентификации признаков вторжение полностью зависит от правильного обучения системы, данные для обучения и методы обучения, которые используются, являются критическими. Процедура обучения требует очень большой объем данных, чтобы гарантировать статистически точные  результаты. Обучение нейронной сети для целей обнаружения вторжений может потребовать тысячи последовательностей индивидуальных атак, и это количество нужной информации трудно получить.

Тем не менее, наиболее существенным недостатком применения нейронных сетей для обнаружения вторжений является природа “черного ящика” нейронной сети. В отличие от экспертных систем, которые имеют жестко закодированные правила для анализа событий, нейронные сети адаптируют свой анализ данных в ответ на полученное обучение. Вес связи и передаточные функции различных сетевых узлов, как правило, замораживаются после того, как сеть достигла приемлемого уровня успеха в идентификации событий. В то время как анализ сети достигает достаточной вероятности успеха, основа для этого уровня точности не всегда известна. “Проблема черного ящика” преследует нейронных сетей в ряде приложений. Это постоянная область исследований в нейронных сетях.[2]

Потенциальные реализации

Есть две основные реализации нейронных сетей в системах обнаружения вторжений. Первая предполагает включение их в существующие или модифицированные экспертные системы. В отличие от предыдущих попыток использовать нейронные сети в обнаружения аномалий, используя их в качестве замены для существующих компонентов статистического анализа, этот вариант связан с использованием нейронной сети для фильтрации входящих данных с целью выявления подозрительных событий, которые могут указывать на вторжение и направлять эти события экспертной системе. Эта конфигурация должна улучшить эффективность системы обнаружения за счет уменьшения ложных тревог экспертной системы. Поскольку нейронная сеть определяет вероятность того, что определенное событие является показателем атаки, можно установить порог, при котором событие направляется в экспертную систему для дополнительного анализа. Поскольку экспертная система только получает данные о событиях, которые рассматриваются как подозрительные, чувствительность экспертной системы может быть увеличена, (обычно, чувствительность экспертных систем должна быть низкой, чтобы уменьшить частоту ложных тревог). Эта конфигурация будет полезна для организаций, которые инвестировали в технологии экспертных систем на основе правил, за счет повышения эффективности системы при сохранении инвестиций, которые были сделаны в существующие системах обнаружения вторжений. Недостатком этого подхода будет то, что, в то время, как  нейронная сеть расширила свои возможности для выявления новых атак, экспертную систему необходимо будет обновить для того, что бы она так же распознавала эти угрозы. Если экспертная система не обновлялись, новые атаки, определенные нейронной сетью, в большей степени будут игнорироваться экспертной системой, потому что ее база правил не будет способна распознать новую угрозу.[3]

Второй подход определяет нейронную сеть как автономную систему обнаружения вторжений. В этой конфигурации, нейронная сеть будет получать данные из сетевого потока и анализировать информацию на наличие вторжения. Любые случаи, которые определены как показатель атаки будут направлены администратору безопасности или использованы автоматизированной системой реагирования на вторжения. Этот подход предполагает большую скорость обнаружения по сравнению с предыдущим подходом, поскольку задействован только один слой анализа. Кроме того, эта конфигурация должна улучшить эффективность с течением времени, так как сеть изучает новые признаки атак. В отличие от первого подхода, эта концепция не ограничена аналитическими способностями экспертной системы, и, как следствие, она сможет расширится за пределы базы правил экспертной системы.


Библиографический список
  1. Круглов В.В., Борисов В.В. Искусственные нейронные сети. – М.: Горячая линия-Телеком, 2002.
  2. Каллан Р. Основные концепции нейронных сетей.: Пер. с англ. – М.: Вильямс, 2003.
  3. Люгер Ф. Искусственный интелект: стратегии и методы решения сложных проблем, 4-е издание.: Пер. с англ. – М.: Вильямс, 2003.


Все статьи автора «Фимичев Николай Николаевич»


© Если вы обнаружили нарушение авторских или смежных прав, пожалуйста, незамедлительно сообщите нам об этом по электронной почте или через форму обратной связи.

Связь с автором (комментарии/рецензии к статье)

Оставить комментарий

Вы должны авторизоваться, чтобы оставить комментарий.

Если Вы еще не зарегистрированы на сайте, то Вам необходимо зарегистрироваться:
  • Регистрация