Дослідження двох підходів до виявлення мережних атак із використанням нейромережної технології
Loading...
Date
2020
Journal Title
Journal ISSN
Volume Title
Publisher
Дніпровський національний університет залізничного транспорту імені академіка В. Лазаряна, Дніпро
Abstract
UK: Мета. На сучасному етапі найчастіше пропонують системи виявлення мережних атак, що побудовані на основі таких нейронних мереж: багатошарового персептрона, мережі Кохонена або самоорганізованої карти та їх комбінацій. У статті передбачено дослідити ефективність двох підходів до виявлення атак на комп’ютерну мережу з використанням нейромережної технології на основі нормалізованих даних відкритої бази NSL–KDD. Методика. Як архітектурні рішення системи виявлення мережних атак запропоновано розглянути такі підходи: на основі однієї нейронної мережі, що визначає клас атаки (перший підхід), та ансамблю із п’яти нейронних мереж (другий підхід), який на першому етапі визначає категорію атаки (DoS, Probe, U2R, R2L), а на другому етапі – клас атаки, що належить до певної категорії. Результати. На створених у програмі MatLAB нейронних мережах проведено дослідження їх похибки від довжини навчальної вибірки за різними алгоритмами навчання: Levenberg–Marquardt; Bayesian Regularization; Scaled Conjugate Gradient – за різної кількості прихованих нейронів (мінімальної, середньої та максимальної). Визначено оптимальні параметри нейронних мереж за двома підходами. Наукова новизна. У ході проведення експериментів за різними підходами отримано результати: TP (True Positive); FP (False Positive); FN (False Negative); TN (True Negative). На їх основі розраховано такі показники оцінки якості рішень: коректність визначення мережних атак; помилкові спрацьовування; достовірність; точність та повнота, що доказують доцільність використання ансамблю нейронних мереж (другого підходу). Практична значимість. На створених нейронних мережах за двома підходами проведено дослідження: часу роботи нейронних мереж; помилки першого роду; помилки другого роду. За результатами першого дослідження в середньому час роботи ансамблю нейронних мереж складає 0,92 с, а час роботи нейронної мережі (за першим підходом) дорівнює 2,21 с. За результатами другого дослідження помилка першого роду з використанням ансамблю нейронних мереж складає 2,17 %, а за першим підходом – 7,39 %. За результатами третього дослідження помилка другого роду з використанням ансамблю нейронних мереж складає 3,91 %, а за першим підходом – 6,96 %, що підтверджує ефективність використання ансамблю нейронних мереж (другого підходу).
RU: Цель. На современном этапе чаще всего предлагают системы обнаружения сетевых атак, построенные на основе следующих нейронных сетей: многослойного персептрона, сети Кохонена или самоорганизующейся карты и их комбинаций. В статье предусмотрено исследовать эффективностьь двух подходов к выявлению атак на компьютерную сеть с использованием нейросетевой технологии на основе нормализованных данных открытой базы NSL–KDD. Методика. В качестве архитектурного решения системы обнаружения сетевых атак предложено рассмотреть следующие подходы: на основе одной нейронной сети, определяющей класс атаки (первый подход), и ансамбля из пяти нейронных сетей (второй подход), который на первом этапе определяет категорию атаки (DoS, Probe, U2R, R2L), а на втором этапе – класс атаки, относящийся к определенной категории. Результаты. На созданных в программе MatLAB нейронных сетях проведено исследование их ошибки от длины выборки по различным алгоритмам обучения: Levenberg–Marquardt; Bayesian Regularization; Scaled Conjugate Gradient – при разном количестве скрытых нейронов (минимальном, среднем и максимальном). Определены оптимальные параметры нейронных сетей для двух подходов. Научная новизна. В ходе проведения экспериментов для двух подходов получены результаты: TP (True Positive); FP (False Positive); FN (False Negative); TN (True Negative). На их основе рассчитаны следующие показатели оценки качества решений: корректность определения сетевых атак; ложные срабатывания; достоверность; точность и полнота, что доказывают целесообразность использования ансамбля нейронных сетей (второго подхода). Практическая значимость. На созданных нейронных сетях для обоих подходов проведены исследования: времени работы нейронных сетей; ошибки первого рода; ошибки второго рода. По результатам первого исследования в среднем время работы ансамбля нейронных сетей составляет 0,92 с, а время работы нейронной сети (первый подход) достигает 2,21 с. По результатам второго исследования ошибка первого рода на ансамбле нейронных сетей составила 2,17 %, а на нейронной сети (первый подход) – 7,39 %. По результатам третьего исследования ошибка второго рода на ансамбле нейронных сетей составила 3,91 %, а на нейронной сети (первый подход) – 6,96 %, что подтверждает эффективность использования ансамбля нейронных сетей (второй подход).
EN: Purpose. At the present stage, network attack detection systems based on the following neural networks are most often offered: multilayer perceptron, Kohonen network or self-organizing map and their combinations. The efficiency problem of two approaches to detect attacks on a computer network using neural network technology based on the normalized data of the open NSL-KDD database is considered. Methodology. As an architectural solution to the network attack detection system, it is proposed to consider the following approaches: based on one neural network determining the attack class (first approach) and an ensemble of five neural networks (second approach), which at the first stage determines the attack category (DoS, Probe, U2R , R2L), and in the second stage, the attack class belonging to a certain category. Findings. Based on the neural networks created in the MatLAB program, a study was conducted of their error on the length of the training sample using various training algorithms: Levenberg-Marquardt; Bayesian Regularization; Scaled Conjugate Gradient with different numbers of hidden neurons (minimum, average and maximum). Certain optimal parameters of neural networks with two approaches were determined. Originality. In the course of 92 ISS conducting experiments with various approaches, the results obtained were: TP (True Positive); FP (False Positive); FN (False Negative); TN (True Negative), based on which the following indicators were calculated for assessing the quality of solutions: correct determination of network attacks; false positives; reliability; accuracy and completeness, which prove the feasibility of using an ensemble of neural networks (second approach). Practical value. On the created neural networks with various approaches, studies were conducted: the operating time of neural networks; errors of the first kind; errors of the second kind. According to the results of the first study, the average operating time of an ensemble of neural networks is 0.92 s, and the operating time of a neural network (according to the first approach) is 2.21 s. According to the results of the second study, the error of the first kind using an ensemble of neural networks is 2.17%, and using the neural network (the first approach) – 7.39%. According to the results of the third study, the error of the second kind using an ensemble of neural networks is 3.91%, and using the neural network (the first approach) – 6.96%, which is confirmed by the efficiency of using an ensemble of neural networks (second approach).
RU: Цель. На современном этапе чаще всего предлагают системы обнаружения сетевых атак, построенные на основе следующих нейронных сетей: многослойного персептрона, сети Кохонена или самоорганизующейся карты и их комбинаций. В статье предусмотрено исследовать эффективностьь двух подходов к выявлению атак на компьютерную сеть с использованием нейросетевой технологии на основе нормализованных данных открытой базы NSL–KDD. Методика. В качестве архитектурного решения системы обнаружения сетевых атак предложено рассмотреть следующие подходы: на основе одной нейронной сети, определяющей класс атаки (первый подход), и ансамбля из пяти нейронных сетей (второй подход), который на первом этапе определяет категорию атаки (DoS, Probe, U2R, R2L), а на втором этапе – класс атаки, относящийся к определенной категории. Результаты. На созданных в программе MatLAB нейронных сетях проведено исследование их ошибки от длины выборки по различным алгоритмам обучения: Levenberg–Marquardt; Bayesian Regularization; Scaled Conjugate Gradient – при разном количестве скрытых нейронов (минимальном, среднем и максимальном). Определены оптимальные параметры нейронных сетей для двух подходов. Научная новизна. В ходе проведения экспериментов для двух подходов получены результаты: TP (True Positive); FP (False Positive); FN (False Negative); TN (True Negative). На их основе рассчитаны следующие показатели оценки качества решений: корректность определения сетевых атак; ложные срабатывания; достоверность; точность и полнота, что доказывают целесообразность использования ансамбля нейронных сетей (второго подхода). Практическая значимость. На созданных нейронных сетях для обоих подходов проведены исследования: времени работы нейронных сетей; ошибки первого рода; ошибки второго рода. По результатам первого исследования в среднем время работы ансамбля нейронных сетей составляет 0,92 с, а время работы нейронной сети (первый подход) достигает 2,21 с. По результатам второго исследования ошибка первого рода на ансамбле нейронных сетей составила 2,17 %, а на нейронной сети (первый подход) – 7,39 %. По результатам третьего исследования ошибка второго рода на ансамбле нейронных сетей составила 3,91 %, а на нейронной сети (первый подход) – 6,96 %, что подтверждает эффективность использования ансамбля нейронных сетей (второй подход).
EN: Purpose. At the present stage, network attack detection systems based on the following neural networks are most often offered: multilayer perceptron, Kohonen network or self-organizing map and their combinations. The efficiency problem of two approaches to detect attacks on a computer network using neural network technology based on the normalized data of the open NSL-KDD database is considered. Methodology. As an architectural solution to the network attack detection system, it is proposed to consider the following approaches: based on one neural network determining the attack class (first approach) and an ensemble of five neural networks (second approach), which at the first stage determines the attack category (DoS, Probe, U2R , R2L), and in the second stage, the attack class belonging to a certain category. Findings. Based on the neural networks created in the MatLAB program, a study was conducted of their error on the length of the training sample using various training algorithms: Levenberg-Marquardt; Bayesian Regularization; Scaled Conjugate Gradient with different numbers of hidden neurons (minimum, average and maximum). Certain optimal parameters of neural networks with two approaches were determined. Originality. In the course of 92 ISS conducting experiments with various approaches, the results obtained were: TP (True Positive); FP (False Positive); FN (False Negative); TN (True Negative), based on which the following indicators were calculated for assessing the quality of solutions: correct determination of network attacks; false positives; reliability; accuracy and completeness, which prove the feasibility of using an ensemble of neural networks (second approach). Practical value. On the created neural networks with various approaches, studies were conducted: the operating time of neural networks; errors of the first kind; errors of the second kind. According to the results of the first study, the average operating time of an ensemble of neural networks is 0.92 s, and the operating time of a neural network (according to the first approach) is 2.21 s. According to the results of the second study, the error of the first kind using an ensemble of neural networks is 2.17%, and using the neural network (the first approach) – 7.39%. According to the results of the third study, the error of the second kind using an ensemble of neural networks is 3.91%, and using the neural network (the first approach) – 6.96%, which is confirmed by the efficiency of using an ensemble of neural networks (second approach).
Description
В. Пахомова: ORCID 0000-0002-0022-099X; М. Коннов: ORCID 0000-0001-7212-7631
Keywords
атака, ансамбль, нейронна мережа, помилка першого роду, помилка другого роду, достовірність, точність, повнота, нейронная сеть, ошибка первого рода, ошибка второго рода, достоверность, точность, полнота, attac, ensemble, neural network, error of the first kind, error of the second kind, reliability, accuracy, completeness, КЕОМ
Citation
Пахомова, В. М., Коннов М. С. Дослідження двох підходів до виявлення мережних атак із використанням нейромережної технології. Наука та прогрес транспорту. 2020. № 3 (87). С. 81–93. DOI: 10.15802/stp2020/208233.