Potentsial tarmoq hujumlarini aniqlash
Ma'lumotlarni tahlil qilish uchun 3.2-jadvalda tasvirlangan metama'lumotlarga ega avval to'plangan ma'lumotlar arxividan foydalaniladi.
Metadata parametrlarning katta sonli tarqalishiga ega bo'lganligi sababli, yaxshiroq klasterlash uchun ma'lumotlarni normallashtirishni qo'llash kerak. Normallashtirish, kiruvchi paketning har bir parametrining nominal raqamli qiymatini almashtirish bilan birga, kerakli parametrlarning butun namunasi (matritsaning har bir qatori) [0, 1] oralig'ida masshtablanganligini nazarda tutadi [190]. Python kutubxonalari ma'lumotlarni tayyorlash va tahlil qilish uchun ishlatilgan: sklearn va amalga oshirish modulialgoritmlar k- eng yaqin qo'shnilar
Qo'shnilar [188].
LOF algoritmini amalga oshirish uchun LocalOutlierFactor kutubxonasidan foydalanish kerak [189].
Eng yaxshi parametrlarni tanlash uchun biz quyidagi algoritmdan foydalanamiz:
administrator kiraditarmoq parametrida anomaliyalarni aniqlashni cheklash - {c} va bitta klasterdagi paketlar qo'shniligi hajmi - {k};
Klaster yaqinida aniqlangan har bir anomaliya uchun quyidagilar qo'llanilishi kerak:
prognoz qilingan anomaliyalar uchun o'rtacha qiymat M va dispersiya V qiymatini mos ravishda, mahalliy qiymatlarning logarifmiga o'rnating;
bashorat qilingan anomaliyalar va normal nuqtalar orasidagi T koeffitsientini hisoblash;
berilgan mahalla uchun anomaliyani maksimallashtirish argumentini {copt} hisoblang. Shunday qilib, optimal 𝑐-bu T eng katta kvantil bo'lgan joy.
Klasterlash natijasi
NSL-KDD ma'lumotlar to'plami [194] anomaliyalarni qidirishning aniqligini baholash uchun ishlatilgan. 3.6-jadvalda ma'lumotlar to'plamidan foydalanish bo'yicha ma'lumotlar keltirilgan.
3.6-jadval. Amaldagi test majmualarining tavsifi
Ism
|
Hajmi
|
Anomaliyalar soni/hajmi
ma'lumotlar to'plami
|
Ko'p yuzli
|
2D
|
2221/10000(22%)
|
Sferalar
|
3D
|
93/637(15%)
|
3.6-rasmda ko'pburchaklar uchun turli xil parametr qiymatlari uchun sinov to'plamida mos ravishda F ball va AUC ko'rsatilgan grafik. O'qlar tavsiya etilgan sozlash usuli yordamida tanlangan parametrlarga ishora qiladi, bu erda tanlangan ifloslanish 0,01 va qo'shni o'lcham 16 ga teng.
3.6-rasm. Baholash jadvallariko'pburchaklar uchun F va AUC ko'rsatkichlari
3.7-jadvalda ikkita ma'lumotlar to'plamining natijalari keltirilgan, bu erda taklif qilingan usul optimal LOF parametrlarini moslashtiradi. 3.7-jadval. Parametrlarni sozlash usuli yordamida anomaliyalarni aniqlashning aniqligini baholash
Maʼlumotlar toʻplami nomi
|
c, ifloslanish sathi
|
k, mahalla kattaligi
|
F o'lchovi
|
ROC_AUC
|
Sozlagandan keyin.
|
Sozlashdan oldin
|
Sozlagandan keyin.
|
Sozlashdan oldin
|
Ko'p yuzli
|
0,01
|
o'n olti
|
0,981
|
0,894
|
0,947
|
0,863
|
Sferalar
|
0,01
|
48
|
0,930
|
0,861
|
0,875
|
0,822
|
Tarmoq trafigidagi anomaliyalarni aniqlash asosida olingan natijani tahlil qilish uchun biz faqat DDoS hujumlarini emas, balki turli xil tarmoq hujumlarini o'z ichiga olgan oldindan tayyorlangan ma'lumotlar to'plamidan foydalanamiz. Ushbu to'plamda harbiy tarmoq muhitida moderatsiya qilingan ko'plab hujum naqshlari mavjud. Zararli hujumlarning atributi http protokolidagi tarmoq trafigidir. To'plam 623091 qatordan iborat bo'lib, har bir satr bitta Internetga ulanishni nazarda tutadi, to'plamda turli xil bosqinlarning 4045 ta varianti (nonormal tarmoq trafigiga taqlid) mavjud. To'plam shuningdek, 68321 ta qatorni o'z ichiga olgan ICMP trafigini o'z ichiga oladi, ulardan 100 tasi anomaldir [191, 194].
Http trafikiga qo'shimcha ravishda, ishlab chiqilgan usulning ishini smtp trafikida, ya'ni atributlari ilgari ko'rilmagan trafikda sinab ko'rish tavsiya etiladi. To'plam 95156 qatorni o'z ichiga oladi, ulardan 1180 satrda anomal kirish ma'lumotlar paketlari belgilari mavjud [192].
Anomaliyalarni aniqlashning qo'shimcha tekshiruvi uchun mnist ma'lumotlar to'plami olindi. To'plam "0" va raqamlari uchun 12 665 ta namunali tasvirlardan iborat
Ushbu maxsus ilovada oddiy ma'lumotlar sifatida belgilangan "1". Anomaliya sifatida raqamlarning 7885 (78,9%) noaniq tasvirlari mavjud. Bu to'plam klasterlash protsedurasi uchun ko'p vaqt talab etadi [193].
ROC AUC baholari va ma'lumotlar to'plamlarida anomaliyalarni qidirishning aniqligi taxminlari 3.7-rasmda, aniqlik baholari 3.8-rasmda keltirilgan.
3.7-rasm. ROC-AUC taxmini
3.8-rasm. AUC aniqligini baholash
Baholash natijalariga ko'ra, giperparametrlarni sozlash usulidan foydalanish c va k parametrlarining belgilangan qiymatlari bilan solishtirganda turli xil ma'lumotlar to'plamlarida anomaliyalarni aniqroq aniqlash imkonini beradi degan xulosaga kelish mumkin.
Do'stlaringiz bilan baham: |