МЕТОД ВЫЯВЛЕНИЯ АНОМАЛИЙ В СЕТЕВОМ ТРАФИКЕ НА ОСНОВЕ ФИЛЬТРА КОЛМОГОРОВА-ВИНЕРА

В данной работе исследуется возможность применения оптимального линейного фильтра Колмогорова-Винера для задачи обнаружения аномалий в трафике. Метод основывается на возможности вычисления минимальной среднеквадратической ошибки фильтрации случайных процессов с известными автокорреляционными функциями. Рассматриваются существующие статистические методы обнаружения аномалий, включая кибератаки, в сетевом трафике и предлагается новый метод обнаружения аномалий на основе среднеквадратической ошибки фильтрации. Для оценки метода обнаружения аномалий используются записи трафика MAWI WIDE, строятся графики ROC-кривой и кривой Precision-Recall (точности-полноты) при различных пороговых значениях. Продемонстрировано, что среднее значение метрики площади под кривой (AUC), равное 0,6 слишком мало для эффективного обнаружения аномалий в сетевом трафике и не позволяет использовать предложенный метод самостоятельно. Предложено использовать числовые значения среднеквадратической ошибки фильтрации, получаемые в результате работы метода, в качестве дополнительного признака для повышения эффективности других методов на основе машинного обучения.