Birinchi bosqichda tarmoq trafigi olinadi (xususiyatni tanlash). Kerakli ma'lumotlarni yig'ish maxsus dastur moduli - сниффераTCP protokoli orqali kelgan barcha paketlarni ushlab TCPturadigan va ularni filtrlaydigan paket snifferi yordamida amalga oshiriladi. Tahlil qilinayotgan trafikni tavsiflovchi asosiy xususiyatlar (parametrlar) sifatida, bu holda tarmoq paketlarining sarlavha maydonlarining qiymatlari paydo bo'ladi.
Ikkinchi bosqich (feature preprocessing) связан с выделением (на базе входных данных) наиболее существенных параметров, характеризуюtarmoqning faolligini tavsiflovchi va ularni keyinchalik klassifikator yordamida qayta ishlash uchun eng samarali ishlatilishi mumkin bo'lgan shaklda taqdim etilgan eng muhim parametrlarni (kirish ma'lumotlari asosida) ajratish bilan bog'liq.
Uchinchi bosqich (tasniflash) hujumlarni aniqlash va tan olishdir. Ushbu bosqichda NS-dan foydalanish paket sarlavhalari ma'lumotlarini ma'lum hujum imzolari bilan oddiy taqqoslashni amalga oshiradigan klassik SOA-larga qaraganda afzalroqdir, chunki NS har doim joriy tarmoq faoliyati belgilari o'quv namunasidagi hujum namunalariga qanchalik o'xshashligini aniqlashga harakat qiladi. NS umumlashtirish qobiliyati tufayli, o'quv namunasining etarli hajmi va vakolatliligi bilan NS noma'lum turlarga ma'lum tarmoq hujumlari turlari haqidagi bilimlarini ekstrapolyatsiya qilishi mumkin. Bunday holda, hujumlarni aniqlash vazifasiga mos keladigan NS arxitekturasini tanlash hal qiluvchi rol o'ynaydi.
Keling, ushbu muammoni shakllantirish va hal qilishning turli xil variantlari haqida batafsilroq to'xtalamiz. Tahlil uchun dastlabki ma'lumotlar ma'lum vaqtdan keyin olinadi, shartli ravishda o'lchov deb ataladi. Hujumlarning mavjudligini tahlil qilish uchun biz rasmda ko'rsatilgan NS sxemasidan foydalanamiz. 3.6, bu erda MLP ko'p qatlamli perceptron(ko'p qatlamli Perceptron); z-1 - bir soatlik tsikl uchun vaqtni kechiktirish elementi. nbu erda server holati to'g'risidagi ma'lumotlar perceptron yozuvlariga qo'llaniladi: joriy qiymat birinchi kirishga beriladi ΔN, ikkinchi kirishga - uning oldingi qiymati, uchinchisiga - qiymati ΔN, ikki o'lchov uchun kechiktirilgan va boshqalar. (aniqlik uchun bu erda perceptron kirishlari soni sakkizga teng). Agar hujum aniqlansa, NS chiqishi "1" ga, aks holda "0" ga teng bo'ladi.
Shakl: 3.6. NS ning strukturaviy diagrammasi
ga muvofiq shakl. 3.5. ΔN от времени toddiy holat va hujum holati uchun Δ n va t vaqt o'rtasidagi bog'liqlik grafigini tuzamiz (1-rasm). 3.7).
Shakl: 3.7. O'zgarish diagrammasi Δn normal holat (a) va hujum holati (b)uchun vaqt o'tishi bilan
В NS o'qitish uchun dastlabki ma'lumotlar sifatida НС xarakterli nuqtalar ishlatilganенные на графиках зависимостей Δ, ular rasmdagi Δ N(t) bog'liqlik grafikalaridat) на
qayd etilgan. 3.7. В Jadvalda. 3.1 AN, отражающие serverning taxminiy statistikasini aks ettiruvchi AN ning raqamli qiymatlari berilgan (dastlabki 11 qator o'quv namunasini, oxirgi 4 qator sinov namunasini, tarmoqning to'g'ri ishlashini tekshirish uchun).
Do'stlaringiz bilan baham: |