2.3.6 Алгоритм нейронного газа
В этом алгоритме на каждой итерации все нейроны сортируются в зависимости от их расстояния до вектора x. После сортировки нейроны размечаются в последовательности, соответствующей увеличению удалённости.
где dk=|x-wm(i)| обозначает удалённость i-того нейрона, занимающего в результате сортировки m-ю позицию в последовательности, возглавляемой нейроном-победителем, которому сопоставлена удаленность d0. Значение функции соседства для i-того нейрона G(i,x) определяется по формуле:
в которой m(i) обозначает очерёдность, полученную в результате сортировки (m(i)=1,2,3,…,n-1), а лямбда - параметр, аналогичный уровню соседства в алгоритме Кохонена, уменьшающийся с течением времени. При лямбда =0 адаптации подвергается только нейрон-победитель, и алгоритм превращается в обычный алгоритм WTA, но при уточнению подлежат веса многих нейронов, причём уровень уточнения зависит от величины G(i,x).
Для достижения хороших результатов самоорганизации процесс обучения должен начинаться с большого значения лямбда, однако с течением времени его величина уменьшается до нуля.
3. Формализация задачи
В качестве группы пакетов, выступающих в качестве обучающего примера, возьмём 10 подряд идущих поступающих на рабочую станцию пакетов. Для построения модели оценим в каждой группе следующие параметры:
1.Число пакетов поступивших от хостов “своей” ЛВС.
2.Число фрагментированных пакетов.
3.Число TCP-пакетов.
4.Число UDP-пакетов.
5.Максимальное число пакетов в группе, пришедших от одного из хостов-отправителей.
6.Принадлежность хоста, отправителя наибольшего числа пакетов. (1 - “своя” ЛВС, 0 - иначе)
7.Средняя загрузка процессора (без учёта приложений не связанных с сетью). (%)
8.Изменение загрузки процессора с времени получения первого пакета до времени получения последнего пакета (без учёта приложений не связанных с сетью).(%)
9.Средний размер пакета. (байт)
10.Число пакетов размером в интервале с 0.8*x до 1.2*x, где x – средний размер пакета.
11. Число доступных хостов.
12. Число различных хостов.
Вышеперечисленные параметры будут являться входами модели. Пользователю следует определить размер карты Кохонена, а также параметры настройки нейронной сети. Остаётся только сгенерировать различные пакеты TCP, UDP и ICMP как обычные, так и “хакерские”, и переслать их на хост, ведущий журнал входящих пакетов и их параметров. Из данного журнала пакеты объединяются в группы (10 последовательно идущих пакетов). Для каждой группы определяются выделенные интегральные критерии.
Полученные данные служат для самообучения сети.
4. Эксперимент
На локальную станцию (192.168.0.3) поступают следующие пакеты:
TCP – обычные пакеты от станций собственной ЛВС. Соединение происходит в обычном режиме. Передача файлов.
ICMP – обычные пакеты, “проверка связи”.
UDP – обычные пакеты от станций ЛВС, обмен данными между приложениями BroodWar, Blizzard Intertainment.
TCP – обычные пакеты от хостов, на принадлежащих “своей” ЛВС, передача файлов.
TCP – “хакерские” пакеты. Паническая атака.
ICMP – пакеты, являющиеся следствием широковещательного шторма.
UDP – “хакерские” пакеты (посылка широковещательного шторма).
TCP – “хакерские” пакеты, фрагментрованные и не связанные между собой (aтака на файрфолл).
Эксперимент представляет собой посылку и запоминание чередующихся обычных и “опасных” пакетов. Причём в группе, относящийся к классу зарождающейся атаки, могут присутствовать и совершенно безвредные пакеты с данными и сообщениями. Того как заранее определённое число пакетов было получено и после предобработки в группы произошло обучение модели, необходимо произвести визуализацию карты Кохонена. На карте, состоящей из квадратов, где за каждый квадрат отвечает один нейрон, производится заливка в зависимости от класса опасности. Нейроны, отвечающие за класс - тотальная атака (большое число опасных пакетов), окрашиваются в более тёмно красные цвета, нейроны, классифицирующие обычную работу станции в сети (приём-передача данных), окрашены в более нейтральные цвета.
5. Результаты работы модели
1.Стандартный алгоритм Кохонена. Карта 10*10 нейронов.
Рис.5 Визуализация карты Кохонена при обучении стандартным алгоритмом Кохонена
Из-за того что многие нейроны после обучения остались мертвыми нейронная сеть имеет высокую погрешность квантования.
Самые опасные классы характеризуются следующими параметрами: небольшие по размеру пакеты, значительное количество пакетов одного типа, например только ICMP или UDP, и одного размера, во время получения этих групп пакетов происходит существенная загрузка процессора, значительная часть хостов - отправителей не доступны. Другим опасным классом является кластер с большими по размерам фрагментированными пакетами.
2.Стандартный алгоритм Кохонена с учётом соседства. Карта 10*10 нейронов.
Рис.6 Визуализация карты Кохонена при обучении стандартным алгоритмом Кохонена с учётом соседства
Из-за подстройки большего числа нейронов значительная часть нейронов – “живая”. Погрешность квантования значительно ниже. Визуально прослеживается группирование опасных групп пакетов. Между двумя основными очагами опасности (в левом и правом углах карты) расположены группы пакетов соответствующие безопасной передаче.
3.Обучение карты признаков с механизмом утомления. Карта 10*10 нейронов.
Рис.7 Визуализация карты Кохонена при обучении с использованием механизма утомления.
... ? Сфера применения Data Mining ничем не ограничена - она везде, где имеются какие-либо данные. Но в первую очередь методы Data Mining сегодня, мягко говоря, заинтриговали коммерческие предприятия, развертывающие проекты на основе информационных хранилищ данных (Data Warehousing). Опыт многих таких предприятий показывает, что отдача от использования Data Mining может достигать 1000%. Например, ...
0 комментариев