Learning yordamida tarmoq hujumlarini erta aniqlash
Download 168.19 Kb.
|
Tar 2201.11628
|
Paket filtrlash: Biz hujum ostida bo'lgan tizim va ishonchsiz tarmoq o'rtasidagi xom tarmoq trafigini kuzatamiz. Biz faqat biz aniqlamoqchi bo'lgan hujumlar turiga tegishli tarmoq paketlarini tanlaymiz. Misol uchun, agar biz faqat veb-hujumlarni aniqlashga qiziqadigan bo'lsak [11] , biz faqat HTTP paketlarini ushlaymiz.
Oqim identifikatsiyasi: Yangi paketni olganimizdan so'ng, biz unga mos keladigan faol oqimni aniqlash uchun manba va maqsad IP manzillari kabi paket xususiyatlarini tekshiramiz. Faol oqim bir juft tarmoq so'nggi nuqtalari o'rtasida davom etayotgan aloqa seansini ifodalaydi. Boshqa tomondan, agar biz paketning xususiyatlariga mos keladigan faol oqimni topa olmasak, biz yangi oqim hosil qilamiz. Tarmoq oqimi ulanish uzilganda (masalan, FIN paketi bo'yicha) yoki oqim ma'lum vaqt oralig'ida (masalan, 120 soniya) yangi paketni olmaganida to'xtatilgan yoki faol bo'lmagan deb hisoblanadi . Oqim kutish vaqtining qiymati biz hujumlarni aniqlash uchun ushlayotgan tarmoq trafigining protokol turiga qarab sozlanishi mumkin. Paketni oldindan qayta ishlash: Yangi paketlar uchun mos oqimni aniqlaganimizdan so'ng, har bir paket keraksiz ma'lumotni kesish va uni baytlarning yagona o'lchamli vektoriga aylantirish uchun quyidagi dastlabki ishlov berish bosqichlaridan o'tadi : kesish va o'zgartirish. Bosqichlarning asosiy maqsadi klassifikator oqim tasnifi uchun tegishli xususiyatlarga tayanishi kerakligini ta'minlashdir. Ushbu maqolada biz HTTP va TCP protokoli bilan bog'liq qadamlarni muhokama qilamiz; ammo, bu qadamlar kichik o'zgartirishlar bilan boshqa turdagi tarmoq paketlariga qo'llanilishi mumkin. Kesish: Xom olingan paketlar Ethernet sarlavhasini o'z ichiga oladi. Sarlavhada tarmoqdagi turli tugunlar o'rtasida kadrlarni uzatish uchun foydalaniladigan Media kirishni boshqarish (MAC) manzili kabi jismoniy havolaga oid ma'lumotlar mavjud. Biroq, bu ma'lumot hujumni aniqlash uchun ahamiyatsiz, chunki uni osongina aldash mumkin. Shunday qilib, ushbu sarlavha paketdan o'chiriladi. Fig. 1. Stages of our approach Xuddi shunday, paketlardagi Internet Protocol (IP) sarlavhasi paketning umumiy uzunligi, protokol versiyasi, manba va maqsad IP manzillari kabi ma'lumotlarni o'z ichiga oladi. Ushbu ma'lumot tarmoqdagi paketlarni marshrutlash uchun zarur. Biroq, biz bu ma'lumotni klassifikatorimiz uchun ahamiyatsiz va samarasiz deb hisoblaymiz , chunki klassifikator hujum oqimlarini aniqlash uchun IP ma'lumotlariga (masalan, IP-manzillar) tayanishni boshlashi ehtimoli bor. Shuning uchun biz uni paketlardan olib tashlaymiz. Bu tarmoqdagi tugunlarning manzillari o'zgargan taqdirda ham klassifikatorning barqaror ishlashiga va bir tarmoq muhitidan ikkinchisiga o'rganilgan bilimlarni umumlashtirishga imkon beradi. Transformatsiya: Tasniflash uchun neyron tarmoqdan foydalanganda qattiq o'lchamdagi kirish talab qilinadi. Transport qatlami sarlavhasining uzunligini va paketlarning foydali yukini bir xil qilish uchun biz ularni belgilangan uzunlikdagi nol bilan kesamiz yoki to'ldiramiz. Shuni ta'kidlashni istardikki, biz paketlarning uzunligini cheklagan bo'lsak ham (ya'ni, Tenglamada d 1) oqimda; biz boshqa taklif qilingan yondashuvlardan (masalan, [12] ) farqli o'laroq, oqim uzunligini (ya'ni, paketlar soni T ) cheklamaymiz, lekin u vaqt tugashi bilan bilvosita chegaralangan. Erta oqim tasnifi Bashoratni amalga oshirish uchun muhim jihatlardan biri hujumni tegishli vaqt bilan bashorat qilishdir, shunda hujumga qarshi to'g'ri qarshi choralar hujum ostidagi tizimga ko'proq zarar yetkazishidan oldin imkon qadar tezroq amalga oshirilishi mumkin. Shuning uchun, bashorat qilish vaqtini minimallashtirish uchun biz erta oqim klassifikatori sifatida nisbatan engil DNN dan foydalanamiz, chunki modelning o'lchami (ya'ni, o'rgatish mumkin bo'lgan parametrlar soni) o'sishi bilan, burmalardagi bashorat vaqti ham ko'proq hisob-kitoblarni talab qiladi . bashorat qilish. Biroq, asosiy muammo shundaki, model hajmining qisqarishi odatda cheklangan ekspressiv quvvatga va past aniqlikka olib keladi [13] , [14] . Ushbu muammoni yumshatish uchun, barcha turdagi hujumlarni tasniflash uchun bitta katta yoki murakkab modelni o'rgatish o'rniga, biz oddiy modellar to'plamini o'rgatamiz, bunda har bir model hujum sinflarining faqat kichik to'plamini (masalan, 3 dan 4 gacha ) tasniflashga o'rgatiladi . qiziqish. Adabiyotda bir nechta modellarni qo'llash va ularning bashoratlarini birlashtirish uchun ko'pchilik ovoz berish va reyting kabi bir nechta ansambl strategiyalari taklif qilingan [15] . Biroq, ushbu maqolada ansambl strategiyalarini muhokama qilish mumkin emas. Buni kelajakdagi ishimiz sifatida qoldiramiz. Ushbu ishda biz bir o'lchovli konvolyutsion neyron tarmoqlardan (ID-CNN) foydalanamiz [16] (ya'ni, DNN turi) tarmoq oqimlarining yaxshi ichki tasvirini olish va uni to'liq ulangan yoki zich qatlamga kirish sifatida taqdim etish. Biz softmaxdan foydalanamiz qatlam [17] maqsadli sinflar uchun ehtimollik taqsimotini hisoblash uchun tarmoqimizning yakuniy qatlami sifatida. CNNlar tasvirlar va ketma-ketliklar kabi grid shaklidagi kirish ma'lumotlaridan tegishli xususiyatlarni olish uchun ishlatiladi. Ular tegishli konvolyutsiya filtrlarini (ya'ni, to'r shaklidagi og'irliklar to'plami yoki o'rgatish mumkin bo'lgan parametrlarni) o'rganish orqali ma'lumotlarning fazoviy va vaqtinchalik bog'liqliklarini modellashtirishga qodir. Konvolyutsiya qatlami bir nechta konvolyutsiya filtrlaridan iborat bo'lib, har bir filtr kiritilgan ma'lumotlardan ma'lum bir xususiyatni olish uchun ishlatiladi. Shunday qilib, konvolyutsiya qatlamining chiqishi deyiladi xususiyat xaritasi . ID-CNN uchun kirish ma'lumotlari ikki o'lchovga ega. Birinchi o'lchov hodisalar ketma-ketligini belgilaydi (ya'ni, tarmoq oqimidagi paketlar); Holbuki, ikkinchi o'lchov hodisaning individual xususiyatlariga (ya'ni, paket baytlari) bog'liqdir. Biz Rectified Lineer Unit ( ReLU ) [18] dan foydalandik. konvolyutsion qatlamdagi har bir neyron uchun chiziqli bo'lmagan faollashtirish funktsiyasi sifatida. Odatda, har bir konvolyutsion qatlamdan keyin birlashtiruvchi qatlam keladi [17] konvolyutsion qatlam tomonidan qaytarilgan chiqishning tarjima o'zgarmasligiga erishish. Bu qatlam har bir qat'iy o'lchamli bo'limni qo'shni elementlarning umumiy statistikasi (masalan, maksimal yoki o'rtacha) bilan almashtirish orqali mahsulotning vaqtinchalik hajmini kamaytiradi . CNNlar to'liq ulangan tarmoqlar kabi sun'iy neyron tarmoqlarning boshqa turlariga qaraganda kamroq o'rgatiladigan parametrlarga ega [16] . Shuning uchun, ular to'liq ulangan tarmoqlarga qaraganda, o'quv ma'lumotlarini to'ldirish ehtimoli kamroq. Konvolyutsiya va birlashtirish operatsiyalaridan so'ng, ma'lum o'zgaruvchan uzunlikdagi tarmoq oqimi o'zgaruvchan uzunlikdagi xususiyatlar xaritalari bilan ifodalanadi. Biz global birlashtiruvchi qatlamdan foydalanamiz [19] ketma-ketlikni qat'iy uzunlikdagi vektorga aylantirish uchun, keyinchalik xususiyat vektorini olish uchun to'liq bog'langan qatlamlarga kirish sifatida taqdim etiladi. Va nihoyat, har bir sinf uchun ehtimollik taqsimotini olish uchun xususiyat vektoriga softmax qatlamini qo'llaymiz . Ehtimollik taqsimoti va tasniflash chegarasiga asoslanib, biz yakuniy bashorat qilamiz. Trening Biz klassifikatorni onlayn hujumni erta aniqlash uchun ishlatishdan oldin uni oflayn rejimda o'rgatamiz. Maqsad xom tarmoq oqimlarining fazoviy-vaqtinchalik xususiyatlarini avtomatik ravishda o'rganish va bu o'rganilgan xususiyatlardan hujum oqimlarini imkon qadar erta, ya'ni faqat kichik bir qismini (masalan, dastlabki 2 yoki 3 paket) kuzatgandan so'ng ishonchli aniqlash uchun foydalanishdir. berilgan oqimdan. Biz nazorat ostidagi mashg‘ulotlar uchun yorliqli oqim ma’lumotlar to‘plamini talab qilamiz, unda oddiy va hujum oqimlari mavjud. Belgilangan oqimlarga qo'shimcha ravishda, ma'lumotlar to'plamida oqimlarga mos keladigan tarmoq paketlari ham bo'lishi kerak. IDSlarni o'qitish va baholash uchun foydalaniladigan ommaviy ma'lumotlar to'plamining aksariyati sinf nomutanosibligi muammosiga ega [2] , ya'ni turli sinflar orasidagi misollar soni ma'lumotlar to'plamida o'xshash emas. Balanssiz ma'lumotlar to'plamida o'qitilgan klassifikator odatda umumiy bashorat aniqligi nuqtai nazaridan yomon ishlashni namoyish etadi. Shuning uchun, bu ishda, sinf nomutanosibligi ta'sirini to'g'irlash uchun biz klassifikatorimizni o'qitish jarayonida har bir namuna (ya'ni oqim) uchun hisoblangan yo'qotish qiymati uchun koeffitsient vazifasini bajaradigan namunaning og'irligi bilan mashq qilamiz. Har bir namunaning vazni uning sinfiga asoslanadi. O'quv ma'lumotlaridagi sinf chastotalariga teskari proportsional hisoblanadi. Maqsad shundaki, klassifikator kam vakillik qilinadigan sinfga tegishli bo'lgan namunalarga ko'proq e'tibor qaratishi kerak. Biz o'quv ma'lumotlar to'plamini II-A3 bo'limida tasvirlangan protsedura yordamida oqimdagi har bir paketni qayta ishlash orqali tayyorlaymiz . Oqim ma'lumotlar to'plamini 1 < j < N uchun D = { (F j) , y j ) } deb belgilaymiz , bu erda N F T oqimlarining umumiy sonini va ularga mos keladigan y yorliqlarini bildiradi . Bizning maqsadimiz ma'lum bir oqimning dastlabki bir nechta paketlarini kuzatgandan so'ng hujum oqimini ishonchli aniqlashga qodir bo'lgan klassifikatorni o'rgatish bo'lganligi sababli, biz turli uzunlikdagi oqimning qisqa segmentlarini jamlab yaratish orqali ma'lumotlar to'plamini kengaytiramiz. Mavjud ma'lumotlardan ko'proq ma'lumotlar (masalan, tarmoq oqimlari) ishlab chiqarish orqali o'quv ma'lumotlar to'plamini kengaytirish jarayoni ma'lumotlarni ko'paytirish deb ataladi. [20] . Biz faqat oqimning birinchi paketini o'z ichiga olgan berilgan oqimning eng qisqa segmentini yaratishdan boshlaymiz; keyinchalik, biz oldindan belgilangan segmentatsiya tezligiga nisbatan ko'proq paketlarni jamlab qo'shish orqali oqimga asoslangan ko'proq segmentlarni yaratamiz . shunday qilib, 0 < s r < 1 . Segmentatsiya darajasi s r s z segment hajmini hisoblash uchun ishlatiladigan giper-parametrdir = d s r * T e berilgan oqim uchun, bu erda T - oqimning uzunligi ( ya'ni paketlarning umumiy soni). Ushbu parametr qiymati har bir oqim uchun hosil bo'ladigan segmentlar sonini nazorat qiladi, masalan, s r qiymati sifatida har bir oqim uchun ko'proq segmentlar hosil bo'ladi. kichrayadi. Aytaylik, bizda F T (j) oqimi bor. = { P 1 , P 2 , ..., P T } , u holda bu oqimning segmentlar to'plami quyidagicha bo'ladi: Download 168.19 Kb. Do'stlaringiz bilan baham: 
|