|
Методы, основанные на алгоритмах машинного обучения и нейросетей
Несмотря на всё разнообразие методов детектирования DDoS атак, увеличение объема обработки потовых данных требуют разработки новых методов и алгоритмов детектирования DDoS атак с применением высокоскоростных интерфейсов и методов машинного обучения, а также нейросетей.
Системы построенные с используем алгоритмов машинного обучения и нейросетей являются классом интеллектуальных систем обнаружения. С помощью данных методов можно построить классификатор, который будет основан на обнаружении известного типа атак по его заранее известному набору паттернов характерным для данного типа атаки. Но в тоже время невозможно достичь сто процентной точности детектирования из-за особенностей использования того или иного алгоритма.
В работе [103] рассмотрено использование наивного байесовского классификатора для обнаружения DDoS атак. Данный метод основан на теории Байеса и представляет собой вероятностный классификатор. Преимущество данного классификатора состоит в том, что он способен легко обучаться на небольшом наборе данных. Недостаток данного алгоритма состоит в том, что если оценка классификатора будет равняться нулю, то при перемножении значение оценки приведет к потере данных. Для обнаружения DDoS атак это является критичным, так как из-за высокого потока данных, высока вероятность появления нулевой вероятности, что приведет к ошибке предсказаний классификатора.
Авторами в работе [104] были рассмотрен классификатор, основанный на алгоритме машинного обучения – случайный лес. Работа алгоритма основа на использовании ансамбля решающих деревьев. Высокая степень
вероятности правильной классификации обуславливается использованием большого количества ансамблей. Данный метод хорошо работает с большим числом признаков, однако, в случае если в наборе данных находятся категориальные значения с большим количеством значений, то в этом случае классификатор вынужден считать эти данные наиболее важными. В случае DDoS атак, возможно наличие различных параллельных атак, по этой причине высока ошибка детектирования такого типа атак.
В работе [105] рассмотрен самый простой и наиболее популярный алгоритм – логическая регрессия. Метод, предложенный в работе, предполагает использование алгоритма для моделирования нормального состояния поведения пользователя. Данный метод способен выявить атаку с бот-сети на уровне приложений, но не эффективен для детектирования комбинированных атак. В работе [106] авторами рассмотрен классификатор атак на TCP стек на основе логической регрессии. Логическая регрессия чувствительна к выбросам, а также имеет высокую степень ошибок при наличии большого количества данных для классификации. Для обучения модели классификатора DDoS атакам требуется большое количество входных данных, содержащих множество атрибутов и метаданных сетевых пакетов, поэтому логическая регрессия имеет высокую вероятность ошибки предсказаний.
Существует другой алгоритм, на котором показатели точности могут быть высоки – алгоритм деревьев решений. Процесс построения алгоритма основан на последовательном принимающих решений в узлах дерева. Работа алгоритма продолжается до тех пор, пока не будет достигнуто условие остановки или же не будет достигнут полученный результат классификации. Оптимальная оценка алгоритма в данном случае не будет являться сто процентной правильной. Главный недостатком данного алгоритма является переобучаемость, что приводит к ошибочному детектированию тех или иных событий необходимых для классификации. В работе [107] авторами рассмотрен метод построения классификатора DDoS атак с помощью
алгоритма деревьев решений. Ошибка вероятности правильных предсказаний варьируется от 2-10% в зависимости от типа атак, что является не высоким показателем.
Сравнение оценки точности классификации DDoS атак в работах выше приведенных авторов нецелесообразна в виду того, что на разных наборах данных будет получен разный результат. Необходимо проводить исследования на верифицированном наборе данных, где будет возможно оценить работоспособность того или иного метода классификации DDoS атак.
Зарубежными учеными был разработан набор данных, который включает в себя DDoS атаки всех известных типов уровня L3-L4, L7 [108]. Поэтому данный набор данных используется в качестве показателя эффективности того или иного разработанного метода.
В работе [109] авторами проведено исследование использования различных алгоритмов машинного обучения. Рассмотрены следующие алгоритмы: наивный байесовский классификатор, мультиноминальный байесовский классификатор, случайный лес, логическая регрессия, многослойный персептрон, сеть радиально-базисных функций. Лучшую оценку показал мультиноминальный байесовский классификатор (NaiveBayesMultinomial) с точностью детектирования DDoS атак 93,6%. Так же, авторами представлен многослойный персептрон (MLP), оценка точности предсказаний составила 98,6%. Несмотря на высокую оценку многослойный персептрон имеет существенный недостаток: слишком сложная степень реализации, большие требования к вычислительной мощности сервера, где будет осуществляться обработка, а также медленная робота по сравнению с алгоритмами машинного обучения.
Для достижения поставленной цели диссертационного исследования, для создания набора данных, который будет объединять все существующие DDoS атаки. Для формирования данного набора необходимо правильно разобраться в зависимостях сетевых атак относительно их влияния на принимающий узел компьютерной сети согласно модели OSI, их поведения. Решением данной
задачи является создание концептуальной модели принимающего узла компьютерной сети под воздействием DDoS атак. Концептуальное моделирование для данной задачи ранее не применялось.
Do'stlaringiz bilan baham: |
