Технологии машинного обучения в сетевой безопасности

Оглавление

Предисловие
1. Классические парадигмы машинного обучения и интеллектуального анализа данных
1.1. Основные понятия. Технологии KDD и Data Mining
1.2. Методы обнаружения и классификации компьютерных атак и сетевых аномалий методами ИИ
1.2.1. Классификация методов обнаружения компьютерных атак и сетевых аномалий
1.2.2. Поведенческие методы
1.2.3. Методы основанные на знаниях
1.2.4. Методы вычислительного интеллекта
1.2.5. Методы машинного обучения
1.3. Классические методы МО
1.3.1. Алгоритмы классификации
1.3.2. Нейронные сети и глубокое обучение
1.4. Обучение с подкреплением
1.5. Визуализация и алгоритмы понижения размерности
1.5.1. Метод главных компонент
1.5.2. Линейное многомерное масштабирование
1.5.3. Isomap
1.5.4. Стохастическое вложение соседей с t-распределением
1.6. Ассоциативный анализ
1.6.1. Основные понятия
1.6.2. Алгоритм APRIORI
1.6.3. Алгоритм FP-GROWTH
1.7. Методы поиска паттернов в последовательности событий для прогнозирования аномальных событий КС
1.7.1. Выделение закономерностей
1.7.2. Секвенциальный анализ
1.8. Системы и инструменты обнаружения сетевых атак
1.8.1. Типы сетевых атак
1.8.2. Классификация методов и систем обнаружения сетевых атак
1.8.3. Обнаружение сетевых аномалий
Литература

2. Классификация. Обучение с учителем
2.1. Математическая постановка задачи классификации
2.2. Линейный классификатор
2.2.1. Бинарная и многоклассовая линейная классификация
2.2.2. Логистическая регрессия
2.2.3. Байесовский классификатор
2.2.4. Наивный байесовский классификатор
2.3. Метод опорных векторов
2.4. Метрические классификаторы
2.4.1. Алгоритм KNN
2.4.2. Ближайший центроид
2.5. Алгоритмы на основе деревьев решений
2.5.1. Основные понятия
2.5.2. Дерево классификации и регрессии
2.5.3. Алгоритм C4.5
2.5.4. Алгоритм ID2
2.5.5. Алгоритм CHAID
2.6. Ансамблевые алгоритмы
2.6.1. Методы композиции обучающихся алгоритмов
2.6.2. Бустинг
2.6.3. Бэггинг
2.6.4. Стекинг
2.6.5. Случайный лес
2.7. Нейронные сети
2.7.1. Искусственные нейронные сети
2.7.2. Рекуррентные нейронные сети
2.7.3. Нейронные сети, использующие архитектуру LSTM
2.7.4. Управляемые рекуррентные блоки
2.7.5. Генеративно-состязательные нейронные сети
2.7.6. Сверточные нейронные сети
2.8. Леса решений. Случайный лес
2.8.1. Основные положения
2.8.2. Построение ДР
2.8.3. Голосование
2.9. Таксономия классификатора RF
2.10. Изолирующий лес
2.10.1. Идея изолирующего леса
2.10.2. Этап обучения
2.10.3. Этап тестирования
2.11. Метод усиления слабых моделей
2.12. Оценка устойчивости классификатора
2.12.1. Метод контрольных
2.12.2. Случайные подвыборки
2.12.3. Перекрестная проверка
2.13. Потоковая классификация
2.13.1. Сценарии обработки потоковых данных
2.13.2. Дрейф концепта при потоковой классификации
2.14. Алгоритмы потоковой классификации
2.14.1. Алгоритм Adaptive Random Forest
2.14.2. Adaptive windowing (ADWIN)
2.14.3. Эволюция алгоритмов потоковой классификации
2.14.4. Граница Хёфдинга
2.14.5. Деревья Хёфдинга
2.14.6. Особенности ПО классификации данных в потоке
2.15. Метрики оценки эффективности классификации
2.15.1. Метрики оценки эффективности классификации в режиме оффлайн
2.15.2. Оценка эффективности потоковых алгоритмов
Литература

3. Кластеризация. Обучение без учителя
3.1. Математическая постановка задачи кластеризации
3.2. Методы кластерного анализа данных
3.2.1. Иерархические методы
3.2.2. Неиерархические методы
3.2.3. Сетевые методы
3.3. Сравнительный анализ методов кластеризации
3.3.1. Параметры сравнения
3.3.2. Самоорганизующаяся карта Кохонена
3.3.3. Метрики оценки качества алгоритмов кластеризации
Литература

4. Базы данных аномальных вторжений и сетевых атак
4.1. Структура обучающих и тестирующих данных
4.2. Набор данных KDD
4.2.1. Набор данных NSL-KDD Dataset
4.2.2. Временная структура данных KDD
4.2.3. Классы в KDD
4.3. Набор данных CSIC 2.0 HTTP
4.4. Набор данных Enron Dataset
4.5. База данных UNSW-NB15
4.5.1. Особенности сбора и статистика трафика
4.5.2. Предварительная обработка данных
4.6. База данных CICIDS 2017
4.6.1. Архитектура сети
4.6.2. Профили атак
4.6.3. Описание набора данных
4.7. Отбор числа и состава информативных признаков с использованием программных средств
4.7.1. Особенности отбора признаков в задачах бинарной и многоклассовой классификакции
4.7.2. Использование библиотек языка программирования Python
4.7.3. Отбор информативных признаков с использованием моделей
4.7.4. Отбор признаков с использованием статистического подхода
4.7.5. Сравнительный анализ результатов классификации при различных способах отбора признаков
4.7.6. Реализация алгоритмов выбора атрибутов в ПО Weka
Литература

5. Обнаружение и классификация сетевых атак методами машинного обучения
5.1. Бинарная классификация атак на примере базы данных UNSW-NB15
5.1.1. Описание набора данных
5.1.2. Сравнительный анализ алгоритмов классификации
5.2. Многоклассовая классификация атак на примере базы данных NSL-KDD
5.2.1. Этапы классификации
5.2.2. Результаты классификации
5.3. Сравнительный анализ алгоритмов iForest и Random Forest при бинарной классификации
5.3.1. Результаты бинарной классификации алгоритма iForest
5.3.2. Результаты бинарной классификация алгоритма Random Forest
5.4. Влияние фрактальной размерности на качество бинарной классификации сетевых атак задачи
5.4.1. Оценка фрактальной размерности
5.4.2. Результаты бинарной классификации
5.5. Обнаружение компьютерных атак с применением нейронных сетей
5.5.1. Этапы обнаружения
5.5.2. Архитектурные решения СОВ
5.5.3. Результаты экспериментов
5.6. Использование самоорганизующейся карты Кохонена
5.7. Обнаружение и классификация сетевых аномалий с использованием гибридных искусственных нейронных сетей
5.7.1. Анализ результатов синтеза ИНС
5.7.2. Анализ результатов классификации атак
Литература

6. Нечеткая логика в задачах информационной безопасности
6.1. Основные теоретические положения нечеткой логики
6.1.1. Основные понятия и определения
6.1.2. Способы нечеткого вывода
6.1.3. Формирование базы правил
6.1.4. Фаззификация входных переменных
6.1.5. Агрегирование степени истинности предпосылок
6.1.6. Активация подзаключений
6.1.7. Аккумулирование заключений
6.1.8. Дефаззификация
6.2. Алгоритмы нечеткого вывода
6.2.1. Алгоритм Мамдани
6.2.2. Метод нечёткого вывода Такаги–Сугено
6.3. Примеры реализации алгоритмов нечетной классификации в задачах ИБ
6.3.1. Нечеткая классификация
6.3.2. Стратегия формирования нечетких правил
6.3.3. Классификация с использованием нечёткой логики Такаги-Сугено
Литература

7. Искусственные иммунные системы в информационной безопасности
7.1. Базовые принципы искусственных иммунных систем. Принцип действия иммунной системы человека
7.1.1. Основные свойства иммунной системы человека
7.1.2. Негативный и положительный отбор. Лимфоциты, антигены, генная библиотека, негативная селекция
7.1.3. Клональная селекция
7.1.4. ИИС на основе гиперклеток
7.1.5. Иммунные сети
7.1.6. Иммунный ответ
7.1.7. Комбинирование методов
7.2. Области и подходы применения ИИС в системах информационной безопасности
7.2.1. Цели работы ИИС
7.2.2. Задачи, решаемые ИИС
7.2.3. Классификация методов искусственных иммунных систем
7.2.4. Архитектура искусственной иммунной системы
7.3. Применение ИИС для обнаружения сетевых аномалий
7.3.1. Особенности применения ИИС в системах сетевой безопасности. Схема иммунной системы обнаружения компьютерных атак
7.3.2. Эволюция генной библиотеки
7.3.3. Создание пре-детекторов, автоматическое профилирование
7.3.4. Обнаружение аномалий методами клональной селекции
7.3.5. Алгоритмы метода иммунного ответа. Применение систем противодействия компьютерным атакам на основе метода иммунного ответа
7.3.6. Обзор существующих реализаций ИИС в области сетевой безопасности
7.4. СОА на основе иммунного ответа с нейросетевыми детекторами
7.4.1. Структура СОА
7.4.2. Алгоритм работы ИИС на основе отрицательного отбора с применением нейросетевых детекторов
7.4.3. Особенности программной реализации алгоритма
7.4.4. Экспериментальная оценка эффективности ИИС
7.5. Построение искусственной иммунной системы для обнаружения компьютерных атак
7.5.1. Жизненный цикл детекторов иммунной системы
7.5.2. Функционирование иммунных нейросетевых детекторов
7.5.3. Алгоритм функционирования системы обнаружения вторжений на базе искусственных иммунных систем и нейронных сетей
Литература