ОБНАРУЖЕНИЕ ВТОРЖЕНИЙ НА ОСНОВЕ АНАЛИЗА АНОМАЛЬНОГО ПОВЕДЕНИЯ ЛОКАЛЬНОЙ СЕТИ С ИСПОЛЬЗОВАНИЕМ АЛГОРИТМОВ МАШИННОГО ОБУЧЕНИЯ С УЧИТЕЛЕМ

##plugins.themes.bootstrap3.article.main##

Григорий Дмитриевич АСЯЕВ
Александр Николаевич СОКОЛОВ

Аннотация

В работе представлены модели процесса обнаружения вторжений, построенные на основе трёх методов машинного обучения: метода деревьев решений, метода ближайших соседей и метода случайного леса. Основной задачей при моделировании является классификация состояний автоматизированной системы управления (АСУ) (аномальное, нормальное). Рассмотрены параметры, влияющие на обнаружение аномального поведения: протокол, сервисные данные, используемые флаги, количество неудачных попыток входа, продолжительность атаки. Для моделирования процесса поиска аномалий выбран набор данных транспортно-сетевого уровня АСУ, состоящий из необработанных дампов TCP/IP в ситуации, когда сеть подверглась множественным атакам. Для каждого соединения TCP/IP фиксировались 3 качественных и 38 количественных признаков, среди которых выделены наиболее важные признаки, влияющие на обучение. Прогнозирование ответа проводилось на контрольной (тестовой) выборке. Основными критериями выбора математической модели для решаемой задачи являлись количество правильно распознанных (accuracy) аномалий, точность (precision) и полнота (recall) ответов. На основании проведенных исследовании был выбран оптимальный алгоритм для обнаружения аномалий.

##plugins.themes.bootstrap3.article.details##

Раздел
Актуальные проблемы кибербезопасности
Биографии авторов

Григорий Дмитриевич АСЯЕВ

аспирант кафедры защиты информации ФГАОУ ВО «ЮжноУральский государственный университет (национальный исследовательский университет)». Россия, 454080 Челябинск, проспект Ленина, 76.

Александр Николаевич СОКОЛОВ

кандидат технических наук, доцент, заведующий кафедрой защиты информации ФГАОУ ВО «Южно-Уральский государственный университет (национальный исследовательский университет)». Россия, 454080 Челябинск, проспект Ленина, 76