РАЗРАБОТКА АЛГОРИТМА КЛАССИФИКАЦИИ ШИФРОВАННОГО ТРАФИКА НА ОСНОВЕ LIGHTGBM

С ростом количества угроз в сети Интернет растет и популярность технологии шифрования. При этом часть полезной нагрузки в результате шифрования перестает быть видимой. Для эффективной реализации многих сценариев обеспечения ИБ требуется идентификация протокола шифрования и типа приложения, поэтому актуальной становится задача классификации шифрованного трафика. Лидирующее по популярности место среди способов классификации занимает машинное обучение. При этом наилучшие результаты достигаются с помощью глубокого обучения, но этот подход имеет и обратную сторону – высокую вычислительная сложность, требующую больших ресурсов для работы в режиме реального времени. Поэтому в данном исследовании внимание сфокусировано на классификации шифрованного трафика с помощью классических алгоритмов машинного обучения. Рассмотрена первая часть сценария классификации – разделение трафика на VPN и non-VPN. Предложен алгоритм поиска оптимальной модели с помощью AutoML. В результате получена модель на основе алгоритма LightGBM. Эксперименты проводились на основе известного набора данных ISCXVPN2016. Оценка качества на тестовой выборке показала следующие результаты: Accuracy = 94.08%, Precision = 92.85%, Recall = 96.07%, F1-measure = 94.43%. Эти оценки превосходят предыдущие решения по 3 из 4 ключевых метрик классификации.