ОБНАРУЖЕНИЕ КИБЕРВТОРЖЕНИЙ НА ОСНОВЕ СЕТЕВОГО ТРАФИКА И ПОВЕДЕНИЯ ПОЛЬЗОВАТЕЛЯ С ИСПОЛЬЗОВАНИЕМ ДАТАСЕТА UNSW-NB15
Аннотация
В статье основное внимание уделяется исследованию поведения пользователей и созданию поведенческих моделей. Это помогает улучшить точность определения аномалий и оперативно выявлять нестандартную активность в сети. Целью данного исследования является сравнительный анализ эффективности двух моделей машинного обучения – многослойного персептрона (MLP) и алгоритма Random Forest – для обнаружения кибервторжений на основе анализа сетевого трафика и поведения пользователей. Поведенческие модели позволяют выявлять отклонения от нормальной активности пользователей и сетевых взаимодействий, что значительно повышает полноту обнаружения кибервторжений. При проведении исследования использовался набор данных UNSW-NB15, который включает актуальные типы атак и характеристики как сетевого трафика, так и пользовательской активности. Перед реализацией моделей была проведена предварительная обработка данных, выбор признаков, нормализация и кодирование категориальных признаков. Оценка моделей осуществлялась с использованием различных метрик, таких как точность (accuracy), полнота (recall), AUC-ROC, precision, F1-score и другие. Результаты исследования показали, что алгоритм Random Forest обеспечивает высокую точность классификации (95%), а многослойный персептрон (MLP), в свою очередь, достиг выдающихся результатов по AUC (0.9830) и точности (precision, 0.9869). В работе представлен анализ и характеристика методов анализа поведения пользователей и классификации сетевого трафика, показано сравнение наборов данных для систем обнаружения вторжений (IDS), а также даны практические рекомендации по выбору моделей в зависимости от условий эксплуатации. Результаты исследования могут быть полезны при разработке адаптивных систем защиты, которые сочетают высокую точность и скорость работы
Список литературы
1. Chipiga A.F., Peleshenko V.S. Formalizatsiya protsedur obnaruzheniya i predotvrashcheniya setevykh atak [Formalization of procedures for detecting and preventing network attacks], Informatsionnoe pro-tivodeystvie ugrozam terrorizma [Information counteraction to terrorist threats], 2006, No. 8,
pp. 156-163.
2. Uskov E.D., Korepanova N.L. Analiz informativnykh priznakov anomaliy setevogo trafika korpora-tivnykh setey [Analysis of informative signs of anomalies in corporate network traffic], Sovremennye innovatsii [Modern innovations], 2019, No. 3 (31), pp. 13-16.
3. Abros'kina E.S. Analiz metodov vyyavleniya setevykh vtorzheniy i anomaliy [Analysis of methods for detecting network intrusions and anomalies], Ekonomika i sotsium [Economics and society], 2021,
No. 3-2 (82), pp. 688-698.
4. Charugin V.V., Chesalin A.N. Analiz i formirovanie naborov dannykh setevogo trafika dlya ob-naruzheniya komp'yuternykh atak [Analysis and formation of network traffic data sets for detecting computer attacks], International Journal of Open Information Technologies, 2023, pp. 100-105.
5. Isratova E.E. Primenenie neyronnykh setey dlya obnaruzheniya anomal'nogo trafika v setyakh Interneta veshchey [Application of neural networks to detect abnormal traffic in Internet of Things networks], In-ternational Journal of Open Information Technologies, 2024, pp. 65-69.
6. Gayfulina D.A., Kotenko I.V. Analiz modeley glubokogo obucheniya dlya zadach obnaruzheniya setevykh anomaliy interneta veshchey [Analysis of deep learning models for the detection of network anomalies of the Internet of Things], Informatsionno-upravlyayushchie sistemy [Information and Con-trol Systems], 2021, No. 1 (110), pp. 28-37.
7. Chastikova V.A., Sotnikov V.V. Method of analyzing computer traffic based on recurrent neural net-works, Journal of Physics: Conference Series. International Conference "High-Tech and Innovations in Research and Manufacturing," HIRM 2019, 2019, pp. 012133.
8. Kazhemskiy M.A., Shelukhin O.I. Mnogoklassovaya klassifikatsiya setevykh atak na informatsionnye resursy metodami mashinnogo obucheniya [Multiclass classification of network attacks on information resources by machine learning methods], Tr. uchebnykh zavedeniy svyazi [Proceedings of educational institutions of communication], 2019, Vol. 5, No. 1, pp. 107-115. DOI: 10.31854/1813-324X-2019-5-1-107-115.
9. Samatov M.A. Analiz effektivnosti IDS/IPS sistem na baze Suricata v obespechenii setevoy kiber-bezopasnosti [Analysis of the effectiveness of IDS/IPS systems based on Suricata in ensuring network cybersecurity], Vestnik nauki [Bulletin of Science], 2024, Vol. 2, No. 12, pp. 1352-1363.
10. Bolodurina I.P., Nefedov D.A. Primenenie bol'shoy yazykovoy modeli dlya umen'sheniya lozhnopozitivnykh srabatyvaniy v zadachakh vyyavleniya anomaliy v setevom trafike [The use of a large language model to reduce false positives in problems of detecting anomalies in network traffic], Vestnik YuUrGU. Seriya «Komp'yuternye tekhnologii, upravlenie, radioelektronika» [Bulletin of SUSU. The se-ries "Computer technology, control, radio electronics"], 2024, Vol. 24, No. 4, pp. 5-15. DOI: 10.14529/ctcr240401.
11. Chastikova V.A., Zherlitsyn S.A., Volya Ya.I., Sotnikov V.V. Neyrosetevaya tekhnologiya obnaruzheniya anomal'nogo setevogo trafika [Neural network technology for detecting abnormal network traffic], Pri-kaspiyskiy zhurnal: upravlenie i vysokie tekhnologii [Caspian Journal: Management and High Technolo-gies], 2020, No. 1 (49), pp. 20-32.
12. Get'man A.I., Goryunov M.N., Matskevich A.G., Rybolovlev D.A. Metodika sbora obuchayushchego nabora dannykh dlya modeli obnaruzheniya komp'yuternykh atak [A methodology for collecting a train-ing dataset for a computer attack detection model], Tr. ISP RAN [Proceedings of the ISP RAS], 2021, Vol. 33, No. 5, pp. 83-104. DOI: 10.15514/ISPRAS-2021-33(5)-5.
13. Chastikova V.A., Zherlitsyn S.A., Volya Y.I., Sotnikov V.V. Analysis of training of deep neural networks with heterogeneous architecture while detecting malicious network traffic, IOP Conference Series: Mate-rials Science and Engineering. Krasnoyarsk Science and Technology City Hall., Krasnoyarsk, Russian Federation, 2021, pp. 12135.
14. Chastikova V.A., Mitugov A.I. The method for detecting network attacks based on the neuroimmune approach, Journal of Physics: Conference Series. Krasnoyarsk Science and Technology City Hall of the Russian Union of Scientific and Engineering Associations. Krasnoyarsk, Russia, 2021, pp. 32035.
15. KDD Cup 1999 Data. Available at: https://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html (ac-cessed 10 April 2025).
16. NSL-KDD. Available at: https://www.kaggle.com/datasets/hassan06/nslkdd (accessed 10 April 2025).
17. CSE-CIC-IDS2018. Available at: https://fkie-cad.github.io/COMIDDS/content/datasets/ cse_cic_ids2018/ (accessed 10 April 2025).
18. UNSW-NB15 Network Intrusion Detection Dataset. // Fraunhofer FKIE. Available at: https://fkie-cad.github.io/COMIDDS/content/datasets/unsw_nb15/ (accessed 10 April 2025).
19. Kingma D.P., Ba J. Adam. A Method for Stochastic Optimization, The 3rd International Conference for Learning Representations. San Diego, 2015, pp. 1-15.
20. Fawcett T. An Introduction to ROC Analysis, Pattern Recognition Letters, 2006, Vol. 27, No. 8,
pp. 861-874. DOI: 10.1016/j.patrec.2005.10.010.
