Обучение SOM происходит на отдельных пакетах, последовательно выбираемых из окна. Перед подачей на SOM и MLP все данные нормирe. ncz в диапазон [0,1]. Сеть Кохонена имеет гексагональную структуру связей нейронов и размеры 25 на 20.
Размер окна вычисляется по формуле 2 и зависит от ограничений технологии Ethernet [19] и загруженности полосы пропускания сети. Используются следующие значения:
- — размер окна 1500 пакетов — нормальной утилизации в 1% при скорости сети 100 Мбит/с [19,20];
- — размер окна 30 пакетов — минимальное значение, встречающееся в правилах IDS Snort для низкоинтенсивных атак.
- — размер окна 180 — соответствует скорости поступления 1 пакет в секунду.
Персептрон имеет следующую структуру — два скрытых и выходной слой, активационная функций в скрытый слоях — гиперболический тангенс, в выходном слое — линейная. Число нейронов в скрытых слоях — 21 и 7 (подобрано в ходе экспериментов). Метод обучения — trainlm.
Для обучения искусственной нейронной сети моделировались два типа сетевого трафика — нормальный и аномальный. Первый содержал пакеты, появляющиеся в сети при обычной работе, а второй имитировал распределённую низконтенсивную атаку с 10 адресов.
Размер нормального набора — 459 565 пакетов.
Размер атакующего набора — 428 890 пакетов.
Распознавание осуществлялось на тестовой выборке. Оценивалась близость к эталону. Распознавание считалось успешным, если абсолютная разница между эталонными и фактическими значениями для каждой компоненты выходного вектора не превосходила 0.3.
Результаты экспериментального исследования представлены в таблице 2.
Таблица 2. Результаты работы прототипа системы обнаружения атак.
|
№. | Длина строки. | Величина обуч. выборки для SOM, пакетов. | Величина обуч. выборки для FFNET, окон. | Размер окна. | Размер сдвига. | Результат на тестовой выборке. | |
| | | | | | Ошибка 1 рода. | Ошибка 2 рода. | |
1. | | | | | | 8.1827 e-04. | 0.0050. | |
2. | | | | | | 0.0367. | 0.0172. | |
3. | | | | | | | 3.4378 e-04. | |
4. | | | | | | 0.0449. | 0.0449. | |
5. | | | | | | 0.0554. | 0.5287. | |
6. | | | | | | | 0.0033. | |
7. | | | | | | 0.0118. | 0.0900. | |
8. | | | | | | 0.0289. | 0.0232. | |
9. | | | | | | 0.0011. | 0.1124. | |
10. | | | | | | | 0.1447. | |
11. | | | | | | 0.1154. | 0.8386. | |
12. | | | | | | | 0.0471. | |
|
Наихудший результат ложных срабатываний не превышает 0,12% в эксперименте № 11. Значение пропуска цели (т.е. эффективность распознавания) поднималось до 0,84% в том же эксперименте. Данный результат предсказуемо обусловлен минимальным размером анализируемых данных и обучающей выборки, использовавшимся в анализируемом эксперименте. низкоинтенсивный атака сетевой трафик Наилучшие результаты разработанный метод показал в экспериментах 1, 6, 12, что подтверждает теоретические предположения. Результаты 12 эксперимента показывают теоретическую возможность эффективного применения метода на высоких скоростях поступления пакетов [25,26].
