Экспериментальное исследование и оценка эффективности разработанного метода

Обучение SOM происходит на отдельных пакетах, последовательно выбираемых из окна. Перед подачей на SOM и MLP все данные нормирe. ncz в диапазон [0,1]. Сеть Кохонена имеет гексагональную структуру связей нейронов и размеры 25 на 20.

Размер окна вычисляется по формуле 2 и зависит от ограничений технологии Ethernet [19] и загруженности полосы пропускания сети. Используются следующие значения:

• — размер окна 1500 пакетов — нормальной утилизации в 1% при скорости сети 100 Мбит/с [19,20];
• — размер окна 30 пакетов — минимальное значение, встречающееся в правилах IDS Snort для низкоинтенсивных атак.
• — размер окна 180 — соответствует скорости поступления 1 пакет в секунду.

Персептрон имеет следующую структуру — два скрытых и выходной слой, активационная функций в скрытый слоях — гиперболический тангенс, в выходном слое — линейная. Число нейронов в скрытых слоях — 21 и 7 (подобрано в ходе экспериментов). Метод обучения — trainlm.

Для обучения искусственной нейронной сети моделировались два типа сетевого трафика — нормальный и аномальный. Первый содержал пакеты, появляющиеся в сети при обычной работе, а второй имитировал распределённую низконтенсивную атаку с 10 адресов.

Размер нормального набора — 459 565 пакетов.

Размер атакующего набора — 428 890 пакетов.

Распознавание осуществлялось на тестовой выборке. Оценивалась близость к эталону. Распознавание считалось успешным, если абсолютная разница между эталонными и фактическими значениями для каждой компоненты выходного вектора не превосходила 0.3.

Результаты экспериментального исследования представлены в таблице 2.

Таблица 2. Результаты работы прототипа системы обнаружения атак.

Наихудший результат ложных срабатываний не превышает 0,12% в эксперименте № 11. Значение пропуска цели (т.е. эффективность распознавания) поднималось до 0,84% в том же эксперименте. Данный результат предсказуемо обусловлен минимальным размером анализируемых данных и обучающей выборки, использовавшимся в анализируемом эксперименте. низкоинтенсивный атака сетевой трафик Наилучшие результаты разработанный метод показал в экспериментах 1, 6, 12, что подтверждает теоретические предположения. Результаты 12 эксперимента показывают теоретическую возможность эффективного применения метода на высоких скоростях поступления пакетов [25,26].