Иерархическая гибридизация бинарных классификаторов для выявления аномальных сетевых соединений
Ключевые слова:
сетевые аномалии, сетевые соединения, протоколы TCP/IP, гибридизация классификаторовАннотация
В статье предлагается обобщенный гибридный подход к построению коллектива классификационных правил на примере решения задачи выявления аномальных сетевых соединений. Выделяется пять этапов в рассматриваемой методике. Первый этап включает в себя настройку адаптивных классификаторов. На втором этапе выполняется сигнатурный анализ, сборка сетевых соединений и формирование сетевых параметров. Третий этап заключается в предобработке сетевых параметров. На четвертом этапе осуществляется обход в ширину дерева классификаторов совместно с их обучением или тестированием. На пятом этапе выявляются аномальные сетевые соединения. Особенностями предлагаемой методики являются возможность задания произвольной вложенности классификаторов друг в друга и ленивое подключение классификаторов благодаря нисходящему каскадному обучению общего коллектива классификационных правил. Приводятся результаты экспериментов с использованием открытого набора данных для вычисления показателей эффективности обнаружения и классификации сетевых аномалий.Литература
1. Comer D.E. Computer Networks and Internets: 6th edition // Pearson. 2014. 672 p.
2. Котенко И.В., Саенко И.Б., Полубелова О.В., Чечулин А.А. Применение технологии управления информацией и событиями безопасности для защиты информации в критически важных инфраструктурах // Труды СПИИРАН. 2012. Вып. 1(20). C. 27–56.
3. Браницкий А.А., Котенко И.В. Построение нейросетевой и иммуноклеточной системы обнаружения вторжений // Проблемы информационной безопасности. Компьютерные системы. 2015. № 4. С. 23–27.
4. Branitskiy A., Kotenko I. Network attack detection based on combination of neural, immune and neuro-fuzzy classifiers // The 18th IEEE International Conference on Computational Science and Engineering (IEEE CSE2015). 2015. 152–159.
5. Amini M., Rezaeenour J., Hadavandi E. Effective Intrusion Detection with a Neural Network Ensemble using Fuzzy Clustering and Stacking Combination Method // Journal of Computing and Security. 2015. vol. 1. no. 4. pp. 293–305.
6. Wang G., Hao J., Ma J., Huang L. A New Approach to Intrusion Detection using Artificial Neural Networks and Fuzzy Clustering // Expert Systems with Applications. 2010. vol. 37. no. 9. pp. 6225–6232.
7. Chandrasekhar A.M., Raghuveer K. Intrusion Detection Technique by using K-means, Fuzzy Neural Network and SVM Classifiers // International Conference on Computer Communication and Informatics (ICCCI). 2013. pp. 1–7.
8. Saied A., Overill R.E., Radzik T. Detection of Known and Unknown DDoS Attacks using Artificial Neural Networks // Neurocomputing. 2016. vol. 172. pp. 385–393.
9. Agarwal B., Mittal N. Hybrid Approach for Detection of Anomaly Network Traffic using Data Mining Techniques // Procedia Technology. 2012. vol. 6. pp. 996–1003.
10. He H.T., Luo X.N., Liu B.L. Detecting Anomalous Network Traffic with Combined Fuzzy-Based Approaches // International Conference on Intelligent Computing. 2005. pp. 433–442.
11. Колмогоров А.Н. О представлении непрерывных функций нескольких переменных в виде суперпозиций непрерывных функций одного переменного и сложения // Докл. АН СССР. 1957. Т. 114. № 5. С. 953–956.
12. Cybenko G. Approximation by Superpositions of a Sigmoidal Function // Mathematics of control, signals and systems. 1989. vol. 2. no. 4. pp. 303–314.
13. Hornik K., Stinchcombe M., White H. Multilayer Feedforward Networks are Universal Approximators // Neural networks. 1989. vol. 2. no. 5. pp. 359–366.
14. Funahashi K.I. On the Approximate Realization of Continuous Mappings by Neural Networks // Neural networks. 1989. vol. 2. no. 3. pp. 183–192.
15. Riedmiller M., Braun H. A Direct Adaptive Method for Faster Backpropagation Learning: The RPROP Algorithm // Proceedings of IEEE International Conference On Neural Networks. 1993. pp. 586–591.
16. Fahlman S.E. Faster-learning variations on Back-propagation: An empirical study // Proceedings of the 1988 Connectionist Models Summer School. 1988. pp. 38–51.
17. Jang J.-S.R. ANFIS: Adaptive-Network-Based Fuzzy Inference System // IEEE Transactions on Systems, Man, and Cybernetics. 1993. vol. 23. no. 3. pp. 665–685.
18. Takagi T., Sugeno M. Fuzzy Identification of Systems and Its Applications to Modeling and Control // IEEE Transactions on Systems, Man, and Cybernetics. 1985. vol. SMC-15. no. 1. pp. 116–132.
19. Hsu C.W., Lin C.J. A Comparison of Methods for Multiclass Support Vector Machines // IEEE transactions on Neural Networks. 2002. vol. 13. no. 2. pp. 415–425.
20. Drucker H. et al. Support Vector Regression Machines // Advances in Neural Information Processing Systems. 1997. vol. 9. pp. 155–161.
21. Müller K.R. et al. Predicting Time Series with Support Vector Machines // Proceedings of International Conference on Artificial Neural Networks. 1997. pp. 999–1004.
22. Branitskiy A., Kotenko I. Hybridization of Computational Intelligence Methods for Attack Detection in Computer Networks // Journal of Computational Science. 2016. (В печати).
23. Zhou Z.H. Ensemble Methods: Foundations and Algorithms // CRC press. 2012. 218 p.
24. Городецкий В.И., Серебряков С.В. Методы и алгоритмы коллективного распознавания: обзор // Труды СПИИРАН. 2006. Т. 1. №. 3. С. 139–171.
25. Браницкий А.А. Архитектура распределенной системы обнаружения, классификации и предотвращения сетевых атак на основе сигнатурного анализа и методов вычислительного интеллекта // Материалы 9-й конференции «Информационные технологии в управлении» (ИТУ-2016). СПб.: ОАО «Концерн «ЦНИИ «Электроприбор». 2016. С. 651–655.
2. Котенко И.В., Саенко И.Б., Полубелова О.В., Чечулин А.А. Применение технологии управления информацией и событиями безопасности для защиты информации в критически важных инфраструктурах // Труды СПИИРАН. 2012. Вып. 1(20). C. 27–56.
3. Браницкий А.А., Котенко И.В. Построение нейросетевой и иммуноклеточной системы обнаружения вторжений // Проблемы информационной безопасности. Компьютерные системы. 2015. № 4. С. 23–27.
4. Branitskiy A., Kotenko I. Network attack detection based on combination of neural, immune and neuro-fuzzy classifiers // The 18th IEEE International Conference on Computational Science and Engineering (IEEE CSE2015). 2015. 152–159.
5. Amini M., Rezaeenour J., Hadavandi E. Effective Intrusion Detection with a Neural Network Ensemble using Fuzzy Clustering and Stacking Combination Method // Journal of Computing and Security. 2015. vol. 1. no. 4. pp. 293–305.
6. Wang G., Hao J., Ma J., Huang L. A New Approach to Intrusion Detection using Artificial Neural Networks and Fuzzy Clustering // Expert Systems with Applications. 2010. vol. 37. no. 9. pp. 6225–6232.
7. Chandrasekhar A.M., Raghuveer K. Intrusion Detection Technique by using K-means, Fuzzy Neural Network and SVM Classifiers // International Conference on Computer Communication and Informatics (ICCCI). 2013. pp. 1–7.
8. Saied A., Overill R.E., Radzik T. Detection of Known and Unknown DDoS Attacks using Artificial Neural Networks // Neurocomputing. 2016. vol. 172. pp. 385–393.
9. Agarwal B., Mittal N. Hybrid Approach for Detection of Anomaly Network Traffic using Data Mining Techniques // Procedia Technology. 2012. vol. 6. pp. 996–1003.
10. He H.T., Luo X.N., Liu B.L. Detecting Anomalous Network Traffic with Combined Fuzzy-Based Approaches // International Conference on Intelligent Computing. 2005. pp. 433–442.
11. Колмогоров А.Н. О представлении непрерывных функций нескольких переменных в виде суперпозиций непрерывных функций одного переменного и сложения // Докл. АН СССР. 1957. Т. 114. № 5. С. 953–956.
12. Cybenko G. Approximation by Superpositions of a Sigmoidal Function // Mathematics of control, signals and systems. 1989. vol. 2. no. 4. pp. 303–314.
13. Hornik K., Stinchcombe M., White H. Multilayer Feedforward Networks are Universal Approximators // Neural networks. 1989. vol. 2. no. 5. pp. 359–366.
14. Funahashi K.I. On the Approximate Realization of Continuous Mappings by Neural Networks // Neural networks. 1989. vol. 2. no. 3. pp. 183–192.
15. Riedmiller M., Braun H. A Direct Adaptive Method for Faster Backpropagation Learning: The RPROP Algorithm // Proceedings of IEEE International Conference On Neural Networks. 1993. pp. 586–591.
16. Fahlman S.E. Faster-learning variations on Back-propagation: An empirical study // Proceedings of the 1988 Connectionist Models Summer School. 1988. pp. 38–51.
17. Jang J.-S.R. ANFIS: Adaptive-Network-Based Fuzzy Inference System // IEEE Transactions on Systems, Man, and Cybernetics. 1993. vol. 23. no. 3. pp. 665–685.
18. Takagi T., Sugeno M. Fuzzy Identification of Systems and Its Applications to Modeling and Control // IEEE Transactions on Systems, Man, and Cybernetics. 1985. vol. SMC-15. no. 1. pp. 116–132.
19. Hsu C.W., Lin C.J. A Comparison of Methods for Multiclass Support Vector Machines // IEEE transactions on Neural Networks. 2002. vol. 13. no. 2. pp. 415–425.
20. Drucker H. et al. Support Vector Regression Machines // Advances in Neural Information Processing Systems. 1997. vol. 9. pp. 155–161.
21. Müller K.R. et al. Predicting Time Series with Support Vector Machines // Proceedings of International Conference on Artificial Neural Networks. 1997. pp. 999–1004.
22. Branitskiy A., Kotenko I. Hybridization of Computational Intelligence Methods for Attack Detection in Computer Networks // Journal of Computational Science. 2016. (В печати).
23. Zhou Z.H. Ensemble Methods: Foundations and Algorithms // CRC press. 2012. 218 p.
24. Городецкий В.И., Серебряков С.В. Методы и алгоритмы коллективного распознавания: обзор // Труды СПИИРАН. 2006. Т. 1. №. 3. С. 139–171.
25. Браницкий А.А. Архитектура распределенной системы обнаружения, классификации и предотвращения сетевых атак на основе сигнатурного анализа и методов вычислительного интеллекта // Материалы 9-й конференции «Информационные технологии в управлении» (ИТУ-2016). СПб.: ОАО «Концерн «ЦНИИ «Электроприбор». 2016. С. 651–655.
Опубликован
2017-05-31
Как цитировать
Браницкий, А. А. (2017). Иерархическая гибридизация бинарных классификаторов для выявления аномальных сетевых соединений. Труды СПИИРАН, 3(52), 204-233. https://doi.org/10.15622/sp.52.10
Раздел
Информационная безопасность
Авторы, которые публикуются в данном журнале, соглашаются со следующими условиями:
Авторы сохраняют за собой авторские права на работу и передают журналу право первой публикации вместе с работой, одновременно лицензируя ее на условиях Creative Commons Attribution License, которая позволяет другим распространять данную работу с обязательным указанием авторства данной работы и ссылкой на оригинальную публикацию в этом журнале.
Авторы сохраняют право заключать отдельные, дополнительные контрактные соглашения на неэксклюзивное распространение версии работы, опубликованной этим журналом (например, разместить ее в университетском хранилище или опубликовать ее в книге), со ссылкой на оригинальную публикацию в этом журнале.
Авторам разрешается размещать их работу в сети Интернет (например, в университетском хранилище или на их персональном веб-сайте) до и во время процесса рассмотрения ее данным журналом, так как это может привести к продуктивному обсуждению, а также к большему количеству ссылок на данную опубликованную работу (Смотри The Effect of Open Access).
