Выбор технологий Data Mining для систем обнаружения вторжений в корпоративную сеть
9
наблюдались в сети прежде. Недостатком нейронных сетей, не поз-
воляющим исследовать процесс формирования классификационных
заключений об атаках, является не вполне «прозрачное» представле-
ние знаний в информационном поле ИНС и неочевидность процесса
формирования результатов их работы.
Сравнительный анализ подходов к интеллектуальному анализу
данных показывает, что в каждом из них имеются как сильные, так и
слабые стороны. Это отражено в табл. 2, где баллами обозначено: 1 –
плохо, 2 – удовлетворительно, 3 – хорошо.
Таблица 2
Сравнительная характеристика интеллектуальных методов
анализа вторжений
Характеристики
Экспертные
системы
Нечеткие
системы
Нейронные
сети
Представление знаний
2
3
1
Нечеткие выводы
1
3
3
Адаптируемость
1
1
3
Способность обучения
1
1
3
Описание результата
3
3
1
Простота обслуживания
1
2
3
Из таблицы видно, что целесообразно использовать гибридные
средства, в которых сочетаются достоинства отдельных интеллекту-
альных методов. Сравнение экспертных систем, нечетких систем и
нейронных сетей позволяет сделать вывод, что в подсистеме анализа
вторжений предпочтительнее сочетать ИНС либо с экспертными си-
стемами, либо с подходом нечеткой логики. Поэтому можно выде-
лить следующие варианты применения ИНС в системах обнаружения
атак:
1) дополнение нейронной сетью существующих экспертных си-
стем для снижения числа ложных срабатываний, присущих ЭС;
2) нейро-нечеткие методы для обнаружения вторжений.
Нейросетевая экспертная система во многом организована анало-
гично ЭС. Однако база знаний нейро-экспертной системы организо-
вана в виде нейронной сети, знания в которой представлены в форме
нечеткого адаптивного распределенного информационного поля. Так
как ЭС получает от ИНС данные только о событиях, которые рас-
сматриваются в качестве подозрительных, чувствительность системы
возрастает. Если обученная ИНС получила возможность идентифи-
цировать новые атаки, то экспертную систему также следует обно-