Identifying Threats in Computer Network Based on Multilayer Neural Network
Loading...
Date
2018
Journal Title
Journal ISSN
Volume Title
Publisher
Дніпропетровський національний університет залізничного транспорту імені академіка В. Лазаряна, Дніпро
Abstract
ENG: Purpose. Currently, there appear more often the reports of penetration into computer networks and attacks on the Web-server. Attacks are divided into the following categories: DoS, U2R, R2L, Probe. The purpose of the article is to identify threats in a computer network based on network traffic parameters using neural network technology, which will protect the server. Methodology. The detection of such threats as Back, Buffer_overflow, Quess_password, Ipsweep, Neptune in the computer network is implemented on the basis of analysis and processing of data on the parameters of network connections that use the TCP/IP protocol stack using the 19-1-25-5 neural network configuration in the Fann Explorer program. When simulating the operation of the neural network, a training (430 examples), a testing (200 examples) and a control sample (25 examples) were used, based on an open KDDCUP-99 database of 500000 connection records. Findings. The neural network created on the control sample determined an error of 0.322. It is determined that the configuration network 19-1-25-5 copes well with such attacks as Back, Buffer_overflow and Ipsweep. To detect the attacks of Quess_password and Neptune, the task of 19 network traffic parameters is not enough. Originality. We obtained dependencies of the neural network training time (number of epochs) on the number of neurons in the hidden layer (from 10 to 55) and the number of hidden layers (from 1 to 4). When the number of neurons in the hidden layer increases, the neural network by Batch algorithm is trained almost three times faster than the neural network by Resilient algorithm. When the number of hidden layers
increases, the neural network by Resilient algorithm is trained almost twice as fast as that by Incremental algorithm. Practical value. Based on the network traffic parameters, the use of 19-1-25-5 configuration neural network will allow to detect in real time the computer network threats Back, Buffer_overflow, Quess_password, Ipsweep, Neptune and to perform appropriate monitoring.
UKR: Мета. Останнім часом все частіше з’являються повідомлення про проникнення в комп’ютерні мережі та атаки на Web-cервери. Атаки поділяють на наступні категорії: DoS, U2R, R2L, Probe. Метою статті є виявлення загроз у комп’ютерній мережі на основі параметрів мережного трафіка з використанням нейромережної технології, що дозволить захистити сервер. Методика. Виявлення в комп’ютерній мережі таких загроз, як Back, Buffer_overflow, Quess_password, Ipsweep, Neptune здійснено на основі аналізу та обробки даних про параметри мережних з’єднань, що використовують стек протоколів TCP/IP, із застосуванням нейронної мережі конфігурації 19-1-25-5 у програмі Fann Explorer. Під час моделювання роботи нейронної мережі використані навчальна (430 прикладів), тестова (200 прикладів) та контрольна (25 прикладів) вибірки, що складені на основі відкритої бази даних KDDCUP-99 із 5 000 000 записів про з’єднання. Результати. Створена нейронна мережа на контрольній вибірці визначила похибку в 0,322. Визначено, що мережа конфігурації 19-1-25-5 добре справляється з такими атаками, як Back, Buffer_overflow та Ipsweep. Для розпізнання атак Quess_password і Neptune недостатньо завдання 19 параметрів мережного трафіку. Наукова новизна. Отримані залежності часу навчання (кількості епох) нейронної мережі від кількості нейронів у прихованому шарі (від 10 до 55) та кількості прихованих шарів (від 1 до 4). За умови збільшення кількості нейронів у прихованому шарі нейронна мережа за алгоритмом Batch навчається швидше майже в три рази, ніж нейронна мережа за алгоритмом Resilient. Якщо збільшити кількість прихованих шарів, нейронна мережа за алгоритмом Resilient навчається майже в два рази швидше, ніж за алгоритмом Incremental. Практична значимість. На основі параметрів мережного трафіка використання нейронної мережі конфігурації 19-1-25-5 дозволить у реальному часі виявити загрози Back, Buffer_overflow, Quess_password, Ipsweep, Neptune на комп’ютерну мережу та здійснити відповідний контроль.
RUS: Цель. В последнее время все чаще появляются сообщения о проникновении в компьютерные сети и атаки на Web-cерверы. Атаки подразделяют на следующие категории: DoS, U2R, R2L, Probe. Целью статьи является выявление угроз в компьютерной сети на основе параметров сетевого трафика с использованием нейросетевой технологии, что позволит защитить сервер. Методика. Обнаружение в компьютерной сети таких угроз как Back, Buffer_overflow, Quess_password, Ipsweep, Neptune осуществлено на основе анализа и обработки данных о параметрах сетевых соединений, что используют стек протоколов TCP/IP, с применением нейронной сети конфигурации 19-1-25-5 в программе Fann Explorer. При моделировании работы нейронной сети использованы учебная (430 примеров), тестовая (200 примеров) и контрольная (25 примеров) выборки, составленные на основе открытой базы данных KDDCUP-99 с 5 000 000 записей о соединении. Результаты. Созданная нейронная сеть на контрольной выборке определила погрешность в 0,322. Определено, что сеть конфигурации 19-1-25-5 хорошо справляется с такими атаками как Back, Buffer_overflow и Ipsweep. Для распознавания атак Quess_password и Neptune недостаточно задания 19 параметров сетевого трафика. Научная новизна. Получены зависимости времени обучения (количества эпох) нейронной сети от количества нейронов в скрытом слое (от 10 до 55) и количества скрытых слоев (от 1 до 4). При условии увеличения количества нейронов в скрытом слое нейронная сеть по алгоритму Batch учится быстрее почти в три раза, чем нейронная сеть по алгоритму Resilient. Если увеличить количество скрытых слоев, нейронная сеть по алгоритму Resilient учится почти в два раза быстрее, чем по алгоритму Incremental. Практическая значимость. На основе параметров сетевого трафика использование нейронной сети конфигурации 19-1-25-5 позволит в реальном времени обнаружить угрозы Back, Buffer_overflow, Quess_password, Ipsweep, Neptune на компьютерную сеть и осуществить соответствующий контроль.
UKR: Мета. Останнім часом все частіше з’являються повідомлення про проникнення в комп’ютерні мережі та атаки на Web-cервери. Атаки поділяють на наступні категорії: DoS, U2R, R2L, Probe. Метою статті є виявлення загроз у комп’ютерній мережі на основі параметрів мережного трафіка з використанням нейромережної технології, що дозволить захистити сервер. Методика. Виявлення в комп’ютерній мережі таких загроз, як Back, Buffer_overflow, Quess_password, Ipsweep, Neptune здійснено на основі аналізу та обробки даних про параметри мережних з’єднань, що використовують стек протоколів TCP/IP, із застосуванням нейронної мережі конфігурації 19-1-25-5 у програмі Fann Explorer. Під час моделювання роботи нейронної мережі використані навчальна (430 прикладів), тестова (200 прикладів) та контрольна (25 прикладів) вибірки, що складені на основі відкритої бази даних KDDCUP-99 із 5 000 000 записів про з’єднання. Результати. Створена нейронна мережа на контрольній вибірці визначила похибку в 0,322. Визначено, що мережа конфігурації 19-1-25-5 добре справляється з такими атаками, як Back, Buffer_overflow та Ipsweep. Для розпізнання атак Quess_password і Neptune недостатньо завдання 19 параметрів мережного трафіку. Наукова новизна. Отримані залежності часу навчання (кількості епох) нейронної мережі від кількості нейронів у прихованому шарі (від 10 до 55) та кількості прихованих шарів (від 1 до 4). За умови збільшення кількості нейронів у прихованому шарі нейронна мережа за алгоритмом Batch навчається швидше майже в три рази, ніж нейронна мережа за алгоритмом Resilient. Якщо збільшити кількість прихованих шарів, нейронна мережа за алгоритмом Resilient навчається майже в два рази швидше, ніж за алгоритмом Incremental. Практична значимість. На основі параметрів мережного трафіка використання нейронної мережі конфігурації 19-1-25-5 дозволить у реальному часі виявити загрози Back, Buffer_overflow, Quess_password, Ipsweep, Neptune на комп’ютерну мережу та здійснити відповідний контроль.
RUS: Цель. В последнее время все чаще появляются сообщения о проникновении в компьютерные сети и атаки на Web-cерверы. Атаки подразделяют на следующие категории: DoS, U2R, R2L, Probe. Целью статьи является выявление угроз в компьютерной сети на основе параметров сетевого трафика с использованием нейросетевой технологии, что позволит защитить сервер. Методика. Обнаружение в компьютерной сети таких угроз как Back, Buffer_overflow, Quess_password, Ipsweep, Neptune осуществлено на основе анализа и обработки данных о параметрах сетевых соединений, что используют стек протоколов TCP/IP, с применением нейронной сети конфигурации 19-1-25-5 в программе Fann Explorer. При моделировании работы нейронной сети использованы учебная (430 примеров), тестовая (200 примеров) и контрольная (25 примеров) выборки, составленные на основе открытой базы данных KDDCUP-99 с 5 000 000 записей о соединении. Результаты. Созданная нейронная сеть на контрольной выборке определила погрешность в 0,322. Определено, что сеть конфигурации 19-1-25-5 хорошо справляется с такими атаками как Back, Buffer_overflow и Ipsweep. Для распознавания атак Quess_password и Neptune недостаточно задания 19 параметров сетевого трафика. Научная новизна. Получены зависимости времени обучения (количества эпох) нейронной сети от количества нейронов в скрытом слое (от 10 до 55) и количества скрытых слоев (от 1 до 4). При условии увеличения количества нейронов в скрытом слое нейронная сеть по алгоритму Batch учится быстрее почти в три раза, чем нейронная сеть по алгоритму Resilient. Если увеличить количество скрытых слоев, нейронная сеть по алгоритму Resilient учится почти в два раза быстрее, чем по алгоритму Incremental. Практическая значимость. На основе параметров сетевого трафика использование нейронной сети конфигурации 19-1-25-5 позволит в реальном времени обнаружить угрозы Back, Buffer_overflow, Quess_password, Ipsweep, Neptune на компьютерную сеть и осуществить соответствующий контроль.
Description
I. Zhukovyts’kyy: ORCID 0000-0002-3491-5976; V. Pakhomovа: ORCID 0000-0002-0022-099X
Keywords
network traffic, threat, neural network, sampling, hidden layer, hidden neurons, training algorithm, number of epoch, error, мережний трафік, загроза, нейронна мережа, вибірка, прихований шар, приховані нейрони, алгоритм навчання, кількість епох, похибка, сетевой трафик, угроза, нейронная сеть, выборка, скрытый слой, скрытые нейроны, алгоритм обучения, количество эпох, погрешность, КЕОМ
Citation
Zhukovyts’kyy, I. Identifying threats in computer network based on multilayer neural network / I. Zhukovyts’kyy, V. Pakhomovа // Наука та прогрес транспорту. – 2018. – № 2 (74). – С. 114–123. – doi: 10.15802/stp2018/130797.