Осуществимость методов машинного обучения для обнаружения сетевых вторжений

Question

Существует ли концепция машинного обучения (алгоритм или система с несколькими классификаторами), которая может обнаруживать дисперсию сетевых атак (или пытаться это сделать).

Одной из самых больших проблем для систем обнаружения вторжений на основе сигнатур является невозможность обнаружения новых или альтернативных атак.

Считая, обнаружение аномалий, по-видимому, все еще является статистическим основанным поглощением, которое относится к обнаружению шаблонов в данном наборе данных, что не совпадает с обнаружением изменений в полезных нагрузках пакета. NIDS на основе аномалий отслеживает сетевой трафик и сравнивает его с установленной базовой линией профиля нормального трафика. Базовая линия характеризует то, что является «нормальным» для сети - например, нормальное использование полосы пропускания, общие используемые протоколы, правильные комбинации номеров портов и устройств и т. Д.

Скажем, кто-то использует Вирус А для распространения по сети, затем кто-то пишет правило, чтобы остановить Вирус А, но другой человек пишет «вариант» Вируса А, называемый Вирусом В, исключительно для того, чтобы уклониться от этого первоначального правила, но все еще используя большинство, если не все одинаковые тактики / код. Разве нет способа обнаружить отклонения?

Если есть общий термин, на который он может пойти, так как у меня была иллюзия, что это было обнаружение аномалии.

Может ли машинное обучение использоваться для распознавания образов (а не сопоставления с образцом) на уровне полезной нагрузки пакета?

Answer 1

я думаю, что ваша интуиция взглянуть на методы машинного обучения правильна или окажется правильной ( Одна из самых больших проблем для систем обнаружения вторжений, основанных на сигнатурах, - это неспособность обнаруживать новые или альтернативные атаки .) Превосходная производительность техник ML в целом обусловлена ​​способностью этих алгоритмов обобщать (кратность мягких ограничений , а не нескольких жестких ограничений).и адаптировать (обновления, основанные на новых обучающих экземплярах, чтобы расстроить простые контрмеры) - два атрибута, которые, как я себе представляю, имеют решающее значение для выявления сетевых атак.

Помимо теоретического обещания, существуют практические трудности с применением методов ОД к задачам, подобным изложенным в ОП.Безусловно, наиболее значительным является трудный сбор данных для обучения классификатора .В частности, надежно маркировать точки данных как «вторжение», вероятно, нелегко;аналогично, я предполагаю, что эти экземпляры редко распределяются в необработанных данных. "

Полагаю, именно это ограничение привело к увеличению интереса (о чем свидетельствует, по крайней мере, опубликованная литература) к применению неконтролируемые методы ML для таких проблем, как обнаружение вторжения в сеть.

Неконтролируемые методы отличаются от контролируемых методов тем, что данные передаются в алгоритмы без переменной отклика (то есть без классаметки). В этих случаях вы полагаетесь на алгоритм, чтобы различить структуру данных - то есть некоторое внутреннее упорядочение данных в достаточно стабильные группы или кластеры (возможно, то, что вы, OP, имели в виду под «дисперсией»).В случае неконтролируемой методики нет необходимости явно показывать экземпляры алгоритма каждого класса, а также нет необходимости устанавливать базовые измерения и т. д.

Наиболее часто используемая неконтролируемая методика ML, применяемая для задач этого типа, вероятно, Карта Кохонена (также иногда называемая самоорганизующаяся карта или СОМ .)

Я часто использую Kohonen Maps, но пока не для этой цели.Тем не менее, имеются многочисленные опубликованные отчеты об их успешном применении в интересующей вас области, например,

Динамическое обнаружение вторжений с использованием самоорганизующихся карт

Множественное самообучение-Организация карт для обнаружения вторжений

Я знаю, что у MATLAB есть по крайней мере одна доступная реализация карты Кохонена - SOM Toolbox .На домашней странице этого Toolbox также содержится краткое введение в Kohonen Maps.