Forming indicators vectors for neural networks training to detect attacks on Web applications.pdf Обнаружение различных классов атак на web-приложения является актуальной задачей. Одним из перспективных подходов к построению систем обнаружения атак является подход, предполагающий использование нейронных сетей для поиска злоупотреблений [1-3]. Для создания систем обнаружения атак на базе нейронных сетей, работающих по принципу обнаружения злоупотреблений, целесообразно решать следующие задачи: - формирование множества показателей для обучения нейронной сети, описывающих состояние наблюдаемой системы; - формирование векторов показателей для обучения нейронной сети, позволяющих проводить обнаружение различных классов атакующих воздействий. При формировании множества показателей, описывающих состояние web-прило-жения, нужно учитывать, что активность пользователей изменяется в зависимости от времени суток, дня недели или ввиду естественного изменения популярности web-приложения. Более подробно данные вопросы рассмотрены автором в [4]. Рассмотрим процесс формирования векторов показателей для обучения нейронной сети (рис. 1). Рис. 1. Формирование векторов показателей При формировании оценки показателя используются следующие свойства: - амплитуда (разброс значений показателя); - дифференциация (различие в среднем значении показателя на данных о поведении пользователей web-приложения и данных атаки); - цикличность (свойство показателя иметь схожие значения в одинаковое время суток). Общая оценка показателя вычисляется по формуле Rate (Index) = = (a ■ Amplitude'(Index) + d ■ Di//erentiation'(Index) + r ■ Rhythm'(Index))/3, где Amplitude'(Index), Di//erentiation'(Index), Rhythm'(Index) -оценки в баллах амплитуды, дифференциации и цикличности соответственно; a, d, r - поправочные коэффициенты амплитуды, дифференциации и цикличности соответственно. Для обнаружения атакующего воздействия выбираются показатели с наибольшей оценкой Rate (Index). Заметим, что при таком подходе для каждого атакующего воздействия используется отдельная нейронная сеть со своим вектором показателей. Для уменьшения количества нейронных сетей может быть использована методика формирования векторов показателей для классов атак. Введём следующие обозначения: - AttackQuantity - количество видов атак, для которых производится обучение нейронных сетей; - AttackType» - некоторый вид атаки, i G {1,..., AttackQuantity}; - Indexes - множество всех показателей; - IndexQuantity - количество показателей во множестве показателей; - Indexj G Indexes - некоторый показатель, j G {1,..., IndexQuantity}; - RateAttackTypei(Indexj) -оценка Rate(Indexj), полученная при сравнении показателя Indexj на статистике нормального поведения пользователей и статистике атаки вида AttackTypei. Методика формирования векторов показателей для классов атак заключается в следующем: 1) Для каждого показателя Indexj и вида атаки AttackTypei вычислить оценку RateAttackTypei (Indexj). 2) Для каждой атаки AttackTypei сформировать множество {Indexi1,..., Indexit} показателей, удовлетворяющих условию VIndex G {Indexi1,..., Indexit} VIndex' G Indexes \ {Indexi1,..., Indexit} (RateAttackTypei (Index) ^ RateAttackTypei (Index')). 3) Создать классы атак AttackClassk и соответствующие им векторы {Indexi1,..., Indexik }k, помещая в один класс атаки AttackTypej, содержащие наибольшее количество v одинаковых показателей во множествах {Indexi1 ,...,Indexit}. Для создания классов атак можно использовать итерационную процедуру (аналогичную алгоритму кластеризации методом k-средних [5]): а) принять количество классов K =1. Поместить все виды атак в один класс; б) провести оценку качества обучения нейронной сети при использовании вектора показателей {Indexi1,..., Indexifc }k (обычно для оценки качества обучения нейронной сети вычисляют процент правильных срабатываний и ошибок первого и второго рода [6]); в) увеличить количество классов K на 1. Поместить все виды атак в K классов таким образом, чтобы два вида атак из одного класса содержали больше совпадений во множествах {Indexi1,..., Indexit}, чем два вида атак из разных классов; г) провести оценку качества обучения нейронной сети при использовании векторов показателей |/ndexi1 ,...,/ndexifcдля каждого класса атак ArtacfcClasSfc на отдельной нейронной сети; д) если качество тестов ухудшилось, то вернуть множество классов атак, полученное на предыдущем шаге (при K - 1); е) если качество тестов улучшилось и ошибки лежат в установленных пределах, то вернуть текущее множество классов атак; ж) перейти к шагу «в». В результате использования методики получено множество классов атак и соответствующее каждой атаке множество показателей для работы нейронной сети. Каждый класс атак обрабатывается отдельной нейронной сетью. После формирования классов атак необходимо с помощью топологических тестов нейронной сети убедиться, что для различных атакующих воздействий внутри одного класса атак оптимальными являются схожие параметры архитектуры нейронной сети. В противном случае атакующие воздействия с отличными оптимальными параметрами архитектуры нейронной сети выделяются в отдельный класс атак.

Скачать электронную версию публикации