Масальская Е.А.   Национальный горный университет

Выявление аномалий сетевой активности с применением аппарата искусственных нейронных сетей (ИНС)

Создание интеллектуальных систем на основе нейросетей позволяет с успехом решать задачи распознавания образов, классификации, оптимизации, прогнозирования,  применения ассоциативной памяти и управления. В основе аппарата нейронных сетей лежит принцип подобия искусственного нейрона (ИН) биологическому прототипу. В простейшем варианте, искусственный нейрон – это бинарный пороговый элемент, который вычисляет сумму входных сигналов z(t) и формирует на выходе сигнал «1», если эта сумма превышает определенный порог, и сигнал «0» в противном случае. График пороговой функции имеет такой вид:

Рис. 1.1 График функции z(t) = sign [y(t)]

Пороговая функция является наиболее упрощенной активационной функцией ИН. Наиболее точную работу ИНС обеспечивают функция гиперболического тангенса (а), сигмоидальная (б) и логистическая (в) функции активации.

            Рис. 1.2 а) Функция tanh z(t)                 Рис. 1.2 б) Сигмоидальная функция                                                                                                                                                        

Рис. 1.2 в) Варианты логистических функций

Совокупность ИН, сумматора и порогового элемента называется искусственной нейронной сетью. Таким образом, ИНС имеет вид:

Рис. 1.3 Модель однослойной ИНС

Сигнал поступает на входной слой рецепторных нейронов, каждый из которых связан со всеми элементами выходного слоя с определенными значениями весовых коэффициентов w(i). Их суммирование приводит к возбуждению тех нейронов рабочего слоя, значение активационной функции которых превысило пороговое значение.

Существует множество различных моделей ИНС: с разным количеством рабочих (промежуточных) слоев, с обратными связями или без них, с полносвязными или произвольно связанными нейронами скрытых слоев.

Главным преимуществом нейронных сетей является возможность их обучения с целью создания гибких адаптивных систем управления. В том числе, аппарат ИНС может успешно решать задачу выявления  аномалий сетевой активности: обнаружение вторжений, нарушения правил работы в сети и любых нехарактерных для данной сети действий, которые невозможно выявить, используя распространенные системы обнаружения вторжений (IDS). Применение адаптивной системы предполагает построение профиля сети и отдельных пользователей в режиме нормального функционирования (отсутствие атак и других непредусмотренных действий). В этот период происходит обучение ИНС, сеть настраивается на желательные параметры и запоминает свое состояние. После введения системы управления в эксплуатацию искусственная нейронная сеть будет выявлять все отклонения и нарушения в работе компьютерной сети, превышающие заданное при настройке ИНС пороговое значение.

Ключевой проблемой применения нейросетей для решения задач подобного типа является выбор параметров и метода обучения ИНС. Так как некорректный выбор структуры может привести к неполному или неточному обучению сети, попаданию ее в локальные минимумы или к отсутствию сходимости. Для создания систем обнаружения вторжений и выявления сетевых аномалий одним из возможных вариантов является использование ИНС встречного распространения, состоящей из двух слоев: слой ИН Кохонена и слой ИН Гроссберга. Первый слой обладает способностью извлекать из данных статистические свойства, второй обобщает и уточняет результаты. Важной особенностью является то, что подобные сети используют смешанное обучение: слой Кохонена обучается без учителя, нейроны слоя Гроссберга обучаются на результатах первого слоя с помощью комбинирования обратного распространения с обучением Коши. Нормализация векторов входных значений позволяет получить более точные результаты. Процесс нормализации представляет собой деление каждой компоненты входного вектора на его длину. Такая операция превращает входной вектор Х в вектор единичной длины Хн в m-мерном пространстве.

Рис. 1.4 Упрощенная версия сети встречного распространения

В данной ИНС используется механизм латерального торможения (обострения входного сигнала). Если на слой нейронов, содержащий латеральные связи, подать входной вектор, имеющий небольшой максимум, то в процессе релаксации сети осуществляется повышение его контрастности (обострение). При большом значении максимума происходит сглаживание контрастности активационной функцией.

Такая структура нейронной сети позволяет создавать эффективные средства защиты компьютерных сетей с возможностью адаптации к изменяющимся условиям функционирования самой сети и требованиям к ее работе.

 

Литература:

1)         Брюхомицкий Ю.А. Нейросетевые модели для систем информационной безопасности. Учебное пособие. 2005. – 160 с.

2)         http://www.intuit.ru/department/ds/neuronnets

3)         Беркинблит М.Б. Нейронные сети. Учебное пособие. 1993. – 96 с.