|
14
5. Искусственные нейронные сети
Искусственная нейронная сеть (НС) является упрощенной моделью мозга и
представляет набор нейронов, соединенных между собой определенным образом [2,
23]. Нейронные сети позволяют решать различные практические задачи, связанные, в
основном,
с
распознаванием
и
классификацией
образов.
Несомненными
преимуществами НС является то, что они могут автоматически приобретать знания в
процессе обучения и обладают способностью к обобщению.
Основным элементом сети является искусственный нейрон (рис. 2) –
математическая модель биологической нервной клетки.
+
f(u
i
)
w
i1
w
i2
w
in
u
i
y
i
x
1
x
2
x
n
w
i0
x
0
Рис. 2
. Модель нейрона
В этой модели входные сигналы
x
j
(
j
= 1, 2, …,
n
) суммируются в
i
-м нейроне с
учетом соответствующих весовых коэффициентов
w
ij
. Также входит в сумму
x
0
–
порог
(
bias
,
сигнал поляризации
), определяющий уменьшение или увеличение входного
сигнала на заданную величину.
Сумма поступает на вход функционального блока
f(u
i
)
, выход которого является
выходным сигналом нейрона. Таким образом, работу
i
-го нейрона можно описать
следующей функцией:
15
n
j
i
j
ij
i
x
w
x
w
f
y
1
0
0
.
Исходя из вида функции
f(u
i
)
, называемой
функцией активации
, различают
несколько типов нейронов. Наиболее часто используемый –
сигмоидальный нейрон,
его
функция активации имеет следующий вид:
u
e
u
f
1
1
)
(
.
Отдельные нейроны объединяются в сети с разнообразной архитектурой. В
настоящее время широко применяются многослойные сети прямого распространения
[24]. В этих сетях выходы нейронов одного слоя служат входами для следующего слоя
(рис. 3).
Входной слой
Скрытый слой
x
1
x
2
x
n
Выходной слой
y
1
y
2
y
m
u
1
u
2
u
k
Рис. 3
. Двухслойная нейронная сеть
Применение НС для решения любой задачи включает два этапа: этап обучения и
этап распознавания. На этапе обучения на вход НС подается обучающая выборка,
состоящая из заранее отобранных и подготовленных входных и выходных векторов. В
соответствии с выбранным алгоритмом обучения (например, метод обратного
распространения ошибки или метод сопряженных градиентов) происходит настройка
весовых коэффициентов, в результате которой при подаче на вход НС обучающего
16
вектора на выходе появляется заданный выходной вектор, обозначающий класс
входного вектора.
На этапе распознавания на НС поступает заранее неизвестный входной вектор.
При этом на выходе появляется вектор – результат распознавания, в соответствии с
которым входной вектор причисляется к одному из известных классов.
Таким образом, в случае использования НС в сфере сетевой безопасности,
любое действие пользователя или приложения должно быть представлено в виде
вектора признаков, которые подаются на вход НС. В результате прохождения сигналов
по сети на выходе получается вектор, определяющий, является ли действие
вредоносным.
Рассмотрим применение НС на небольшой практической задаче из области
информационной безопасности (пример взят из [24]). При помощи НС необходимо
детектировать доступ к базе данных со стороны некоего ПО, отличного от
автоматизированного рабочего места (АРМ) пользователя, или определить аномалии в
работе пользователя. НС имеет четыре входа, на которые подаются:
1.
Объем информации (килобайт), загружаемой из базы данных за контрольный
период. Полученное значение необходимо нормализовать, поскольку считываемый из
базы данных объем заранее не известен и индивидуален для каждой задачи и для
каждого пользователя. В качестве нормализации можно применить оценку трафика по
десятибалльной шкале (0 – объем равен нулю, 10 – максимальный объем трафика).
2.
Количество транзакций в минуту.
3.
Количество операций модификации данных в минуту. В этом примере АРМ
использует «короткие транзакции», то есть в рамках одной транзакции обычно бывает
1–2 операции модификации данных.
4.
Признаки обращения к словарю базы данных. Большинство клиентских АРМ
к словарю не обращаются, что отличает их от средств разработки и
администрирования. Признаки будут дискретными (0 – нет обращений, 1 – есть), и их
будет несколько – по одному на каждую из таблиц словаря базы.
В данном примере используется двухслойная нейронная сеть прямого
распространения, содержащая один скрытый слой из двух нейронов и выходной слой с
одним нейроном.
17
Обучение НС можно произвести с помощью существующих пакетов (например,
пакет
Deductor Lite
[25];
MATLAB Neural Network Toolbox
[26]) или известных
алгоритмов (например, метод «обратного распространения ошибки»). Для
качественного обучения такой сети необходимо около 300 обучающих примеров [24].
Следует отметить, что подготовка обучающей выборки является достаточно сложным
этапом.
Выход НС может быть интерпретирован как процентное соответствие текущих
действий действиям хакера.
Таким же способом можно организовать определение различных атак и
адаптацию к новым типам угроз.
Другим примером использования НС в системах сетевой безопасности является
нейроанализатор, входящий в состав антивирусной утилиты AVZ [18].
Нейроанализатор позволяет исследовать подозрительные файлы и применяется в
детекторе клавиатурных шпионов (
Keylogger
).
Использование нейросетевых технологий позволяет придать системам
безопасности способность к обучению, обеспечивает высокую точность распознавания.
Недостатком является сложность анализа, вследствие чего обученная НС
представляется пользователю «черным ящиком» с определенным количеством входов и
выходов.
В отличие от продукционных систем, хранение нейронной сети в
вычислительной машине требует гораздо меньше памяти, а определение вредоносных
действий – меньше вычислительных ресурсов. Эффект от этих преимуществ
усиливается, если учесть, что разработчики стремятся минимизировать размер
обновлений для своих систем безопасности.
18
Do'stlaringiz bilan baham: | 
