Виявлення аномалій трафіку в інформаційних системах організацій з використанням методів Machine Learning на основі алгоритмів прогнозування категорійних полів

DOI: 10.31673/2412-4338.2021.044153

  • Гайдур Г. І. (Haidur G. I.) Державний університет телекомунікацій, м. Київ
  • Гахов С. О. (Gakhov S. O.) Державний університет телекомунікацій, м. Київ
  • Дмітрієв В. Є. (Dmitriyev V. Ye.) Державний університет телекомунікацій, м. Київ
  • Бондаренко Н. В. (Bondarenko N. V.) Державний університет телекомунікацій, м. Київ

Анотація

У статті досліджено проблему виявлення аномалій в мережевому трафіку інформаційних систем організацій. Виявлення аномалій в мережевому трафіку дозволить визначати скриту шкідливу активність даних, отриманих на основі протоколів, які збирають статистичні дані мережевого трафіку інформаційної системи. Це в свою чергу дозволить зменшити навантаження та налаштувати атрибути за якими буде здійснюватися моніторинг та аналіз мережевого трафіку. Авторами запропонована архітектура виявлення аномалій мережевого трафіку, яка розбита на функціональні рівні. Для збору статистичних даних проаналізовано протоколи, які дозволяють отримувати статистичні дані, а саме протокол Net Flow/IPFIX, який надає вичерпну інформацію на основі заголовків пакетів. Для обробки та аналізу отриманих даних авторами розроблено модель виявлення аномалій в трафіку інформаційної системи. Модель виявлення аномалій використовує статистичні дані для подальшої їх обробки, а також можливість зберігання даних в репозиторії. Всі отримані дані проходять фільтрацію щодо виявлення шкідливих процесів, передаються та зберігаються в репозиторії бази атак з можливістю створення попереджень та ідентифікації атаки.. Для зазначеної моделі запропоновано використання Machine Learning на основі методів прогнозування категорійних полів. В роботі було використано датасет з даними фаєрвола, в якому міcтиться інформація про кількість та розмір переданих та отриманих пакетів пакетів, дані щодо використання шкідливого програмного забезпечення. Застосовуючи метод було проведено експериментальне дослідження даних щодо прогнозування наявності в них шкідливого програмного забезпечення. Було досліджено метод прогнозування категорійних полів з використанням алгоритмів класифікації Logistic Regression, SVM, Random Forest Classifier та інші. На основі отриманих даних побудовано матрицю плутанини, яка дозволяє оцінити похибку роботи алгоритмів.

Ключові слова: інформаційна система, аномалія, атака, метод, модель, алгоритм, машинне навчання.

Список використаної літератури
1. Detecting Abnormal Cyber Behavior Before a Cyberattack. March 5, 2021. Online: https://www.nist.gov/blogs/manufacturing-innovation-blog/detecting-abnormal-cyber-behavior-cyberattack (viewed on July, 27, 2021).
2. Гайдур Г.І., Гахов С.О., Марченко В.В. Метод побудови динамічної моделі логічного об’єкта інформаційної системи та визначення закону його функціонування. Radioelectronic and Computer Systems, 2022, no. 1(101). С. 129-14. doi: 10.32620/reks.2022.1.10.
3. Qian Ma, Cong Sun, Baojiang Cui, A Novel Model for Anomaly Detection in Network Traffic Based on Support Vector Machine and Clustering Security and Communication Networks. Security and Communication Networks. Volume 2021. doi: 10.1155/2021/2170788. 4. Казмірчук С.В., Корченко А.О., Паращук Т.І. Аналіз систем виявлення вторгнень. Захист інформації. Том 20 № 4 (2018), 2018. C. 259-276.
5. O. Lawal, "Analysis and Evaluation of Network Based Intrusion Detectionand Prevention System in an Enterprise Network Using Snort Freeware", African Journal of Computing & ICT, Ibadan, Vol. 6, no. 2, 2013, pp. 169-184.
6. S. Cooper, 11 Top Intrusion Detection Tools for 2021. [Electronic resource]. Online: https://www. comparitech.com/net-admin/network-intrusion-detection-tools. (viewed on July, 27, 2021).
7. Анна Корченко. Методи ідентифікації аномальних станів для систем виявлення вторгнень. Монографія. Київ. ЦП «Компринт», 2019, 361с.
8. RFC 7011. Specification of the IP Flow Information Export (IPFIX) Protocol for the Exchange of Flow Information, September 2013.
9. M. V. Mahoney and P. K. Chan, “Learning rules for anomaly detection of hostile network traffic,” in Proceedings of the Third IEEE International Conference on Data Mining, pp. 601–604, IEEE, Leipzig, Germany, July 2003. 10. Гайдур Г.І., Гахов С.О. Теоретичний підхід до вирішення проблеми виявлення шкідливих процесів на основі аналізу станів логічного об’єкта інформаційної системи. Телекомунікаційні та інформаційні технології. № 1 (70), 2021. C.79-87.
11. E. Eskin, Anomaly Detection over Noisy Data Using Learned Probability Distributions, Citeseer, Princeton, New Jersey, USA, 2000.
12. W. Lee and D. Xiang, “Information-theoretic measures for anomaly detection,” in Proceedings of the 2001 IEEE Symposium on Security and Privacy, S&P 2001, pp. 130–143, IEEE, Philadelphia, PA, USA, November 2000.
13.M. A. Ambusaidi, Z. Tan, X. He, P. Nanda, L. F. Lu, and A. Jamdagni, “Intrusion detection method based on nonlinear correlation measure,” International Journal of Internet Protocol Technology, vol. 8, no. 2-3, 2014, pp. 77–86.
14. Splunk® Machine Learning Toolkithttps://docs.splunk.com/Documentation/MLApp (viewed on September, 18, 2021).
15. M. Ahmed, A. Naser Mahmood, and J. Hu, “A survey of network anomaly detection techniques,” Journal of Network and Computer Applications, vol. 60, 2016, pp. 19–31.
16. Clarence Chio, David Freeman, Machine Learning and Security, O'Reilly Media, Inc. 118. 2018. ISBN: 9781491979907
17. Alexey Nefedov, Support Vector Machines: A Simple Tutorial, Creative Commons Attribution, 32, 2016.
18. Network Behavior Analysis: Moving Beyond Signatures https://www.gartner.com/en/documents/1405498 (viewed on October, 2, 2021).

Номер
Розділ
Статті