Выявление аномалий сетевого трафика методом глубокого обучения

Обсуждается применение метода глубокого обучения, основанного на нейронных сетях, в системах обнаружения атак. Обозначены ограничения применения нейронных сетей для классификации трафика на нормальный – не содержащий атаку, и аномальный – содержащий атаку. Ограничения связаны с необходимостью набора данных для обучения нейронной сети, низкой скоростью вычисления нейронной сети при большом количестве входных параметров и влиянием неравномерности распределения выборки примеров из обучающего набора на качество обучения. Предложены способы обхода этих ограничений: выбор значимых информационных признаков, позволяющих классифицировать сетевой трафик, и сохранение значимых примеров обучения, которые представлены малым объемом выборки. Снижать размерность вектора информационных признаков предложено линейным методом с ранжированием признаков по степени важности и в дальнейшем для обучения нейронной сети использовать только «важные» признаки. Сохранение значимых примеров обучения, представленных малым объемом выборки, предложено решить модификацией алгоритма обучения, суть которого сводится к адаптивному присвоению весовых коэффициентов таким примерам. Проведенные эксперименты свидетельствуют об эффективности предложенных метода и алгоритма обучения нейронной сети обнаружению сетевых атак.

Авторы: Т. М. Татарникова, Ф. Бимбетов, П. Ю. Богданов

Направление: Информатика, вычислительная техника и управление

Ключевые слова: Сетевая атака, аномалии сетевого трафика, нейронная сеть, глубокое обучение, сокращение параметров, неравномерность количества обучающих примеров, ошибка обучения, точность классификации


Открыть полный текст статьи