Московский государственный университет им. М. В. Ломоносова факультет вычислительной математики и кибернетики
Скачать 0.55 Mb.
|
5.4 Нейросетевой методНейросетевой метод обнаружения аномалий рассматривается на примере экспериментальной системы обнаружения аномалий NNID (Neural Network Intrusion Detection) [25]. В основе метода лежит нейросеть с количеством слоёв от трёх до пяти. Входы используются для подачи входных данных, значения на выходах анализируются для обнаружения аномалий. В контексте предложенного метода обнаружения уязвимостей данная модель может быть использована следующим образом. Количество входов нейросети делается равным сумме количества всех возможных GET и POST параметров и количества всех операций над всеми объектами окружения. Количество выходов устанавливается равным количеству веб-приложений. В режиме обнаружения аномалий на входы нейросети, соответствующие GET и POST параметрам подаются: 1, если данный параметр присутствовал в HTTP-запросе, и 0, если не присутствовал. На входы, соответствующие операциям над объектами окружения, подаются соответствующие значения операций. Значение на выходах варьируется от 0 до 1 с шагом 0.1. Считается, что значение на некотором выходе большее 0.5 однозначно идентифицирует веб-приложение, которому может принадлежать такая комбинация HTTP-параметров и значений операций. Если более чем на одном выходе обнаружено значение большее 0.5, или ни на одном выходе нет значения большего 0.5 – фиксируется аномалия и предполагается уязвимость в веб-приложении, которому поступил запрос. На этапе построения профиля нормального поведения проводится настройка весов нейросети при помощи некоторого автоматического алгоритма обучения, например при помощи алгоритма с обратным распространением. На входы нейросети подаётся очередная комбинация, характеризующая набор HTTP-параметров и набор значений операций, полученных в ходе обработки данного HTTP-запроса. Значение выхода, соответствующий запрашиваемому веб-приложению, устанавливается в 1, после чего алгоритмом обучения производится настройка весов. Полученная конфигурация сети сохраняется в профиле нормального поведения. 5.5 Сравнительный анализ методов обнаружения аномалий и обоснование выбора методаИсходя из контекста решаемой задачи, для сравнительного анализа рассмотренных математических моделей обнаружения аномалий можно выбрать следующие критерии. 1. Нечувствительность метода к ненормальности распределения анализируемой случайной величины. О распределении значений каждой операции априори никаких предположений сделать нельзя. При этом, необходимо отметить тот факт, что значительная часть статистических моделей является чувствительной к виду распределения значений случайной величины и для корректной работы требует нормального или близкого к нормальному распределения. Из рассмотренных методов данному критерию удовлетворяют:
Как было подчёркнуто в описании метода Хотеллинга [4], для корректной работы метода при многомерном распределении параметров, не являющимся близким к нормальному, требуется достаточно большое количество анализируемых параметров (то есть, достаточно большая размерность вектора значений) - примерно 30 и более. Но о количестве анализируемых параметров заранее ничего сказать нельзя и, следовательно, нельзя гарантировать корректную работу метода при произвольном виде многомерного распределения значений. Следовательно, относительно метода Хотеллинга в общем случае нельзя сказать, что он удовлетворяет обозначенному критерию. 2. Корректная работа метода при произвольном количестве параметров. Как было отмечено выше, заранее о количестве анализируемых параметров ничего сказать нельзя. При этом, для корректной работы многомерных статистических методов количество параметров может играть важную роль. В частности, как было сказано выше, для корректной работы метода Хотеллинга в условиях произвольного многомерного распределения параметров требуется достаточно большое количество анализируемых параметров. Следовательно, метод Хотеллинга данному критерию в общем случае не удовлетворяет. Остальные методы данному критерию удовлетворяют:
3. Локальность переобучения. Возможны две основные ситуации, требующие перезапуск этапа обучения и переформирование профилей нормального поведения:
За данным критерием стоит следующая идея. В обоих ситуациях крайне нежелателен полный останов модуля обнаружения уязвимостей для переформирования всех профилей нормального поведения. Желательно провести формирование или переформирование профилей только для тех веб-приложений, которые были добавлены или изменены, при этом работа модуля с остальными профилями нормального поведения была бы продолжена. Из рассмотренных методов данному критерию удовлетворяют:
Данному критерию не удовлетворяет нейросетевой метод, так как количество выходов нейросети равно количеству веб-приложений. В первой ситуации при добавлении нового веб-приложения появляется дополнительный выход, следовательно – меняется конфигурация сети, что в обязательном порядке приведёт к необходимости перезапуска этапа обучения и перенастройке сети. Во втором случае конфигурация сети не меняется, но меняется поведение изменившегося веб-приложения. А так как обучение нейросети проводится для всей совокупности веб-приложений, потребуется перезапуск этапа обучения и перенастройка сети. 4. Анализ значений, а не последовательности их появления. Недостатком статистических методов считается нечувствительность к аномалиям в последовательности событий. Существует ряд методов, которые предназначены для обнаружения аномалий именно в последовательности событий, например – метод упреждающего генерирования шаблонов (Predictive Pattern Generation) [6] и описанный выше метод цепей Маркова. По сути, такие методы предполагают переход системы из состояния в состояние в зависимости от поступающих значений и на этапе обучения определяют вероятности переходов. Отправной точкой служит предположение о том, что множество состояний системы конечно, иначе возникают проблемы с определением момента завершения этапа обучения, так как система будет продолжать переходить в новые состояния. Реализация методов этого класса основывается на анализе последовательности значений из конечного множества значений. Примером может служить последовательность системных вызовов операционной системы. Однако в рассматриваемой задаче анализируемые последовательности содержат значения операций, и о конечности множества их значений априори ничего сказать нельзя. Поэтому анализ самих значений, а не последовательности их появлений, представляется более перспективным в контексте данной задачи. Таким образом, данному критерию не удовлетворяет метод цепей Маркова. Для рассматриваемой задачи применение метода цепей Маркова представляется проблематичным, так как, как было показано в Подразделе 5.3, в качестве типов событий предполагается использовать значения операций. Множество значений операций может быть сколь угодно большим, в то время как размерность матрицы вероятностей переходов и, следовательно, сложность расчёта значений её элементов, зависит от количества элементов множества. Из рассмотренных методов следующие методы анализируют значения случайных величин, а не последовательность появления этих значений:
Таким образом, с учётом сравнения методов по приведённым критериям, наиболее подходящим методом для обнаружения аномалий в значениях операций из рассмотренных является метод EWMA. |
Похожие:
 | Министерство образования и науки российской федерации томский государственный... Государственное общеобразовательное учреждение-средняя общеобразовательная школа | | Московский государственный университет имени м. В. Ломоносова юридический факультет ... |
 | Московский государственный университет имени м. В. Ломоносова факультет... Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования | | Московский Государственный Университет им. М. В. Ломоносова Географический... Объекты наследия как демонстрационная площадка использования возобновляемых источников энергии на Северо-западе Европейской части... |
| Мужчина и женщина в обществе: история, культура, современность Кандидат политических наук, старший научный сотрудник, лаборатория развития гендерного образования, факультет педагогического образования,... | | Министерство образования и науки российской федерации томский государственный... Целью дисциплины является ознакомление студентов с базовыми понятиями следующих разделов информатики: теория информации, технические... |
| Московский государственный университет имени М. В. Ломоносова Краева К. В. К вопросу о специфике экзаменационного стресса у студентов // Вестник Университета. Государственный университет управления... | | Сборник задач и тестов по психологии и педагогике./ Под общей редакцией... Московский государственный университет тонких химических технологий им. М. В. Ломоносова |
| Московский государственный институт электроники и математики (технический университет) Сервер — один из основных компонентов модели клиент-сервер, программный компонент вычислительной системы, выполняющий сервисные функции... | | В. ломоносова юридический факультет материалы международной конференции... Краева К. В. К вопросу о специфике экзаменационного стресса у студентов // Вестник Университета. Государственный университет управления... |
| Изменения в гиа 2012 Московский государственный университет тонких химических технологий им. М. В. Ломоносова | | Московский Государственный Университет им. М. В. Ломоносова Механико-математический... Именно сейчас от того, насколько современным и интеллектуальным нам удастся сделать общее образование, зависит благосостояние наших... |
| Программа по формированию навыков безопасного поведения на дорогах... Имический факультет мгу имени М. В. Ломоносова,Московский областной государственный университет, редакция журнала"Вестник образования... | | Договор Федеральное государственное бюджетное образовательное учреждение высшего образования «Московский государственный университет имени... |
| Книга стихов как проблема жанрологии на современном этапе Белова... Настоящее Положение определяет цели, задачи, порядок проведения, критерии оценки, механизм подведения итогов областного общественного... | | Санкт-Петербургский Государственный Электротехнический Университет... «Эксплуатация водного транспорта и транспортного оборудования»/ 140600 «Электротехника, электромеханика и электротехнологии» |
