УДК 004.056

ИЕРАРХИЧЕСКАЯ ГИБРИДИЗАЦИЯ БИНАРНЫХ КЛАССИФИКАТОРОВ ДЛЯ ВЫЯВЛЕНИЯ АНОМАЛЬНЫХ СЕТЕВЫХ СОЕДИНЕНИЙ

А.А. Браницкий

Аннотация


В статье предлагается обобщенный гибридный подход к построению коллектива классификационных правил на примере решения задачи выявления аномальных сетевых соединений. Выделяется пять этапов в рассматриваемой методике. Первый этап включает в себя настройку адаптивных классификаторов. На втором этапе выполняется сигнатурный анализ, сборка сетевых соединений и формирование сетевых параметров. Третий этап заключается в предобработке сетевых параметров. На четвертом этапе осуществляется обход в ширину дерева классификаторов совместно с их обучением или тестированием. На пятом этапе выявляются аномальные сетевые соединения. Особенностями предлагаемой методики являются возможность задания произвольной вложенности классификаторов друг в друга и ленивое подключение классификаторов благодаря нисходящему каскадному обучению общего коллектива классификационных правил. Приводятся результаты экспериментов с использованием открытого набора данных для вычисления показателей эффективности обнаружения и классификации сетевых аномалий.

Ключевые слова


сетевые аномалии; сетевые соединения; протоколы TCP/IP; гибридизация классификаторов

Полный текст:

PDF

Литература


  1. Comer D.E. Computer Networks and Internets: 6th edition // Pearson. 2014. 672 p.
  2. Котенко И.В., Саенко И.Б., Полубелова О.В., Чечулин А.А. Применение технологии управления информацией и событиями безопасности для защиты информации в критически важных инфраструктурах // Труды СПИИРАН. 2012. Вып. 1(20). C. 27–56.
  3. Браницкий А.А., Котенко И.В. Построение нейросетевой и иммуноклеточной системы обнаружения вторжений // Проблемы информационной безопасности. Компьютерные системы. 2015. № 4. С. 23–27.
  4. Branitskiy A., Kotenko I. Network attack detection based on combination of neural, immune and neuro-fuzzy classifiers // The 18th IEEE International Conference on Computational Science and Engineering (IEEE CSE2015). 2015. 152–159.
  5. Amini M., Rezaeenour J., Hadavandi E. Effective Intrusion Detection with a Neural Network Ensemble using Fuzzy Clustering and Stacking Combination Method // Journal of Computing and Security. 2015. vol. 1. no. 4. pp. 293–305.
  6. Wang G., Hao J., Ma J., Huang L. A New Approach to Intrusion Detection using Artificial Neural Networks and Fuzzy Clustering // Expert Systems with Applications. 2010. vol. 37. no. 9. pp. 6225–6232.
  7. Chandrasekhar A.M., Raghuveer K. Intrusion Detection Technique by using K-means, Fuzzy Neural Network and SVM Classifiers // International Conference on Computer Communication and Informatics (ICCCI). 2013. pp. 1–7.
  8. Saied A., Overill R.E., Radzik T. Detection of Known and Unknown DDoS Attacks using Artificial Neural Networks // Neurocomputing. 2016. vol. 172. pp. 385–393.
  9. Agarwal B., Mittal N. Hybrid Approach for Detection of Anomaly Network Traffic using Data Mining Techniques // Procedia Technology. 2012. vol. 6. pp. 996–1003.
  10. He H.T., Luo X.N., Liu B.L. Detecting Anomalous Network Traffic with Combined Fuzzy-Based Approaches // International Conference on Intelligent Computing. 2005. pp. 433–442.
  11. Колмогоров А.Н. О представлении непрерывных функций нескольких переменных в виде суперпозиций непрерывных функций одного переменного и сложения // Докл. АН СССР. 1957. Т. 114. № 5. С. 953–956.
  12. Cybenko G. Approximation by Superpositions of a Sigmoidal Function // Mathematics of control, signals and systems. 1989. vol. 2. no. 4. pp. 303–314.
  13. Hornik K., Stinchcombe M., White H. Multilayer Feedforward Networks are Universal Approximators // Neural networks. 1989. vol. 2. no. 5. pp. 359–366.
  14. Funahashi K.I. On the Approximate Realization of Continuous Mappings by Neural Networks // Neural networks. 1989. vol. 2. no. 3. pp. 183–192.
  15. Riedmiller M., Braun H. A Direct Adaptive Method for Faster Backpropagation Learning: The RPROP Algorithm // Proceedings of IEEE International Conference On Neural Networks. 1993. pp. 586–591.
  16. Fahlman S.E. Faster-learning variations on Back-propagation: An empirical study // Proceedings of the 1988 Connectionist Models Summer School. 1988. pp. 38–51.
  17. Jang J.-S.R. ANFIS: Adaptive-Network-Based Fuzzy Inference System // IEEE Transactions on Systems, Man, and Cybernetics. 1993. vol. 23. no. 3. pp. 665–685.
  18. Takagi T., Sugeno M. Fuzzy Identification of Systems and Its Applications to Modeling and Control // IEEE Transactions on Systems, Man, and Cybernetics. 1985. vol. SMC-15. no. 1. pp. 116–132.
  19. Hsu C.W., Lin C.J. A Comparison of Methods for Multiclass Support Vector Machines // IEEE transactions on Neural Networks. 2002. vol. 13. no. 2. pp. 415–425.
  20. Drucker H. et al. Support Vector Regression Machines // Advances in Neural Information Processing Systems. 1997. vol. 9. pp. 155–161.
  21. Müller K.R. et al. Predicting Time Series with Support Vector Machines // Proceedings of International Conference on Artificial Neural Networks. 1997. pp. 999–1004.
  22. Branitskiy A., Kotenko I. Hybridization of Computational Intelligence Methods for Attack Detection in Computer Networks // Journal of Computational Science. 2016. (В печати).
  23. Zhou Z.H. Ensemble Methods: Foundations and Algorithms // CRC press. 2012. 218 p.
  24. Городецкий В.И., Серебряков С.В. Методы и алгоритмы коллективного распознавания: обзор // Труды СПИИРАН. 2006. Т. 1. №. 3. С. 139–171.
  25. Браницкий А.А. Архитектура распределенной системы обнаружения, классификации и предотвращения сетевых атак на основе сигнатурного анализа и методов вычислительного интеллекта // Материалы 9-й конференции «Информационные технологии в управлении» (ИТУ-2016). СПб.: ОАО «Концерн «ЦНИИ «Электроприбор». 2016. С. 651–655.


Александр Александрович Браницкий - младший научный сотрудник лаборатории проблем компьютерной безопасности, Федеральное государственное бюджетное учреждение науки Санкт-Петербургский институт информатики и автоматизации Российской академии (СПИИРАН).
Область научных интересов: безопасность компьютерных сетей, искусственный интеллект, функциональное программирование.
Число научных публикаций: 17.

Адрес (E-mail): branitskiy@comsec.spb.ru
Почтовый адрес: 14-я линия В.О., 39, Санкт-Петербург, 199178
URL: http://www.comsec.spb.ru
Телефон: +7(812)328–7181
Факс: +7(812)328–4450




DOI: http://dx.doi.org/10.15622/sp.52.10