3.5. Выбор тестового множества
На всех предыдущих этапах существенно использовалось одно предположение. А именно, обучающее, контрольное и тестовое множества должны быть репрезентативными (представительными) с точки зрения существа задачи (более того, эти множества должны быть репрезентативными каждое в отдельности). Известное изречение программистов "garbage in, garbage out" ("мусор на входе - мусор на выходе") нигде не справедливо в такой степени, как при нейросетевом моделировании. Если обучающие данные не репрезентативны, то модель, как минимум, будет не очень хорошей, а в худшем случае - бесполезной. Обычно в качестве обучающих, берутся эталонные данные [45].
В нашем исследовании, для обучения сети был взят трафик содержащий "обычные" сетевые события и несколько событий со смоделированной атакой. В качестве модели атаки, нами была использована атака на основе отказа в обслуживании (сгенерированная с помощью программы SATAN, SYNFlood ).
Репрезентативное множество, используемое для обучения сети, представлено в приложении Б.
3.6. Оценка возможности модели по обнаружению вторжения и атак
Для оценки эффективности и расчета оптимального порога срабатывания ИНС найдем функцию плотности распределения выходного значения ИНС при нормальной и аномальной активности. Для расчетов являются приемлемыми следующие предположения о том, что входное значение NET для каждого формального нейрона (ФН) имеет нормальный закон распределения. В доказательство этого утверждения входное множество было подвергнуто критерию Пирсона, для проверки гипотезы о подчинении нормальному закону распределения [87].
,
где k - это число разрядов наблюдаемых значений, а n’- теоретические частоты соответствующих значений.
Далее в результате расчетов получим функцию плотности распределения выходного значения ФН выходного слоя.
Рассмотрим нейроны первого слоя ИНС.
,
где
- взвешенная сумма входных сигналов для
1-ого ФН первого слоя;
- i-я компонента входного
вектора;
- весовой коэффициент, соответствующей
связи i-ого ФН нулевого
слоя l-ого ФН 1-ого
слоя.
Рассчитаем математическое ожидание и дисперсию взвешенной суммы :
=
.
При этом функция распределения величины близка к нормальной как сумма большого числа достаточно слабо зависимых величин [87], то есть:
Пусть ФН имеет функцию активации
,
где
- выходное значение l-ого
ФН 1-ого слоя;
Рассчитаем математическое ожидание и дисперсию :
,
.
Величины , i=1…k, образуют входной вектор второго слоя ИНС, для которого:
,
где
- взвешенная сумма входных ФН второго
слоя;
- весовой коэффициент, соответствующей
связи i-ого ФН первого
слоя и единственного ФН выходного слоя.
k – количество ФН
внутреннего слоя.
Рассчитаем математическое ожидание и дисперсию взвешенной суммы :
В силу слабой зависимости значений выходов внутреннего слоя ИНС, второе слагаемое в выражении для дисперсии дает малый вклад в значение дисперсии и его можно не учитывать [81], то есть получим:
А
налогично
внутреннему слою:
С учетом приведенных формул можно рассчитать функцию плотности распределения выходного значения ФН выходного слоя ИНС:
,
где
Такая функция находится для нормальной
и аномальной активностей
и
соответственно.
В качестве показателя эффективности
обнаружения атак рассмотрим вероятность
правильного обнаружения аномалий
сетевого трафика
,
являющейся функцией значения оптимального
порога принятия решения о наличии
аномалии
.
При этом
,
где
вероятность ошибки, то есть или пропуска
или ложного обнаружения атаки при
оптимальном выборе порога, устанавливаемом
на выходе ИНС:
,
где
и
- вероятности пропуска и ложного
обнаружения атаки соответственно при
оптимальном значении порога.
Данные вероятности рассчитываются на основе известных соотношений
,
.
Значение
выбирается таким, чтобы вероятность
ошибки
была минимальной и, соответственно,
вероятность правильного решения
максимальной [74].
Рассчитанный таким образом показатель позволяет оценить эффективность обнаружения аномалий в сетевом трафике как признаке сетевых атак и одновременно оценить эффективность функционирования ИНС как адаптивного средства обнаружения.