<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE article PUBLIC "-//NLM//DTD JATS (Z39.96) Journal Publishing DTD v1.3 20210610//EN" "JATS-journalpublishing1-3.dtd">
<article article-type="research-article" dtd-version="1.3" xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xml:lang="ru"><front><journal-meta><journal-id journal-id-type="publisher-id">inform</journal-id><journal-title-group><journal-title xml:lang="ru">Информатика</journal-title><trans-title-group xml:lang="en"><trans-title>Informatics</trans-title></trans-title-group></journal-title-group><issn pub-type="ppub">1816-0301</issn><issn pub-type="epub">2617-6963</issn><publisher><publisher-name>UIIP NASB</publisher-name></publisher></journal-meta><article-meta><article-id pub-id-type="doi">10.37661/1816-0301-2022-19-1-19-31</article-id><article-id custom-type="elpub" pub-id-type="custom">inform-1164</article-id><article-categories><subj-group subj-group-type="heading"><subject>Research Article</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="ru"><subject>ЗАЩИТА ИНФОРМАЦИИ И НАДЕЖНОСТЬ СИСТЕМ</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="en"><subject>INFORMATION PROTECTION AND SYSTEM RELIABILITY</subject></subj-group></article-categories><title-group><article-title>Детектирование признаков сетевой разведки с использованием модели дерева решений</article-title><trans-title-group xml:lang="en"><trans-title>Detection of network intelligence features with the decision tree model</trans-title></trans-title-group></title-group><contrib-group><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Шараев</surname><given-names>Н. П.</given-names></name><name name-style="western" xml:lang="en"><surname>Sharaev</surname><given-names>N. P.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Шараев Никита Петрович - магистрант кафедры защиты информации, факультет инфокоммуникаций.</p><p>ул. П. Бровки, 6, Минск, 220013.</p></bio><bio xml:lang="en"><p>Nikita P. Sharaev - Master Student of the Information Security Department, Faculty of Infocommunications, Belarusian State University of Informatics and Radioelectronics.</p><p>Р. Brovki st., 6, Minsk, 220013.</p></bio><email xlink:type="simple">nick.moon.1705@gmail.com</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Петров</surname><given-names>С. Н.</given-names></name><name name-style="western" xml:lang="en"><surname>Petrov</surname><given-names>S. N.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Петров Сергей Николаевич - кандидат технических наук, доцент, доцент кафедры защиты информации, факультет инфокоммуникаций.</p><p>ул. П. Бровки, 6, Минск, 220013.</p><p>SPIN-код: 5854-4793</p></bio><bio xml:lang="en"><p>Sergei N. Petrov - Ph.  D.  (Eng.),  Associate  Professor, Associate Professor of the Information Security Department, Faculty of Infocommunications, Belarusian State University of Informatics and Radioelectronics.</p><p>Р. Brovki st., 6, Minsk, 220013.</p></bio><email xlink:type="simple">meinchest@inbox.ru</email><xref ref-type="aff" rid="aff-1"/></contrib></contrib-group><aff-alternatives id="aff-1"><aff xml:lang="ru"><institution>Белорусский государственный университет информатики и радиоэлектроники</institution></aff><aff xml:lang="en"><institution>Belarusian State University of Informatics and Radioelectronics</institution></aff></aff-alternatives><pub-date pub-type="collection"><year>2022</year></pub-date><pub-date pub-type="epub"><day>05</day><month>01</month><year>2022</year></pub-date><volume>19</volume><issue>1</issue><fpage>19</fpage><lpage>31</lpage><permissions><copyright-statement>Copyright &amp;#x00A9; Шараев Н.П., Петров С.Н., 2022</copyright-statement><copyright-year>2022</copyright-year><copyright-holder xml:lang="ru">Шараев Н.П., Петров С.Н.</copyright-holder><copyright-holder xml:lang="en">Sharaev N.P., Petrov S.N.</copyright-holder><license xml:lang="ru" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>Данная работа распространяется под лицензией Creative Commons Attribution 4.0.</license-p></license><license xml:lang="en" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>This work is licensed under a Creative Commons Attribution 4.0 License.</license-p></license></permissions><self-uri xlink:href="https://inf.grid.by/jour/article/view/1164">https://inf.grid.by/jour/article/view/1164</self-uri><abstract><sec><title>Ц е л и</title><p>Ц е л и .   Своевременное  обнаружение  сетевой  разведки  позволяет  снизить  риски  информационной безопасности организаций. Исследование проводилось с целью разработки программного модуля обнаружения признаков сетевой разведки с использованием методов машинного обучения.</p></sec><sec><title>М е т о д ы</title><p>М е т о д ы . Основными методами детектирования признаков сетевой разведки являлись: анализ открытых датасетов соответствующего назначения; формирование метрик, характерных для сетевой разведки; разработка набора данных разведки на основе определенных метрик. Исследовалась эффективность методов машинного обучения для задачи классификации.</p></sec><sec><title>Р е з у л ь т а т ы</title><p>Р е з у л ь т а т ы . Спроектированы топология и тестовый сегмент в корпоративной сети РУП «Белтелеком» для создания датасета. Для детектирования и анализа событий разработано средство мониторинга, результаты работы которого использовались в качестве основы для нового датасета.</p><p>Реализация метода дерева принятия решений в виде программного кода позволила увеличить скорость работы модуля приблизительно в два раза (0,147 мс). Практические испытания разработанного модуля показали факт сработки на все типы сканирования сетей с помощью утилит Nmap и Masscan.</p></sec><sec><title>З а к л ю ч е н и е</title><p>З а к л ю ч е н и е .  Анализ датасета методом главных компонент показал наличие  пограничной области между событиями легального трафика и трафика сетевой разведки, что положительно сказалось на обучении  модели.  Изучены  и  протестированы  наиболее  перспективные  методы  машинного  обучения с использованием различных гиперпараметров. Наилучшие результаты показал метод дерева принятия решений с параметрами criterion = gini и splitter = random и скоростью работы 0,333 мс.</p></sec></abstract><trans-abstract xml:lang="en"><sec><title>O b j e c t i v e s</title><p>O b j e c t i v e s .  Early detection of network intelligence allows to reduce the risks of information security of organizations. The study was carried out to develop software module for detecting the features of network intelligence by machine learning methods.</p></sec><sec><title>M e t h o d s</title><p>M e t h o d s . Analysis of open datasets of appropriate destination; formation of metrics characteristic of network intelligence; development of a dataset based on certain metrics; study of the effectiveness of machine learning methods for classification task.</p></sec><sec><title>R e s u l t s</title><p>R e s u l t s .  The  topology was  designed and  a  test  segment  was  created  in  the  corporate  network of RUE "Beltelecom" to create a dataset. A monitoring tool has been developed for detecting and analyzing the events, the results of which were used as the basis for a new dataset.</p><p>The implementation of the decision tree method in the form of program code allowed to increase the speed of the module by about 2 times (0,147 ms). Practical tests of the developed module have shown the alarm on all types of network scanning using Nmap and Masscan utilities.</p></sec><sec><title>Co n c l u s i o n</title><p>Co n c l u s i o n. The analysis of the dataset by principal component method showed the presence of a border area between  the  events  of  legal  traffic  and  network  intelligence  traffic,  which  had  a  positive  effect  on  the training of the model. The most promising machine learning methods have been studied and tested using various hyperparameters. The best results were shown by the decision tree method with the parameters criterion = gini and splitter = random and speed as 0,333 ms.</p></sec></trans-abstract><kwd-group xml:lang="ru"><kwd>сетевая разведка</kwd><kwd>аномалии сетевого трафика</kwd><kwd>машинное обучение</kwd><kwd>метрики признаков разведки</kwd><kwd>датасеты</kwd></kwd-group><kwd-group xml:lang="en"><kwd>network intelligence</kwd><kwd>network traffic anomalies</kwd><kwd>machine learning</kwd><kwd>intelligence feature metrics</kwd><kwd>datasets</kwd></kwd-group></article-meta></front><back><ref-list><title>References</title><ref id="cit1"><label>1</label><citation-alternatives><mixed-citation xml:lang="ru">Гущин, Р. А. Сетевая разведка / Р. А. Гущин, К. А. Колос ; сост. В. А. Мартинович // Материалы 74-й студ. науч.-техн. конф. – Минск : БНТУ, 2018. – C. 53–54.</mixed-citation><mixed-citation xml:lang="en">Gushchin R. A., Kolos K. A. Network intelligence. Materialy 74-j studencheskoj nauchno-tekhnicheskoj konferencii [Materials of the 74th Student Scientific and Technical Conference], sostavitel' V. A. Martinovich, Minsk, Belorusskij nacional'nyj tekhnicheskij universitet, 2018, pp. 53–54 (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit2"><label>2</label><citation-alternatives><mixed-citation xml:lang="ru">Караулова, О. А. Оценка аномалий сетевого трафика на основе циклического анализa / О. А. Караулова, Н. В. Киреева // T-comm: телекоммуникации и транспорт. – 2018. – Т. 12, вып. 11. – С. 33.</mixed-citation><mixed-citation xml:lang="en">Karaulova O. A., Kireeva N. V. Estimation of network traffic anomalies based on cyclic analysis. T-comm: telekommunikacii i transport [T-comm: Telecommunications and Transport], 2018, vol. 12, no. 11, р. 33 (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit3"><label>3</label><citation-alternatives><mixed-citation xml:lang="ru">Брюхомицкий, Ю. А. Искусственные иммунные системы в информационной безопасности : учеб. пособие / Ю. А. Брюхомицкий. – Ростов н/Д, Таганрог : Изд-во Южн. федер. ун-та, 2019. – 147 с.</mixed-citation><mixed-citation xml:lang="en">Bryuhomickij, Yu. A. Iskusstvennye immunnye sistemy v informacionnoj bezopasnosti. Artificial Immune Systems in Information Security. Rostov-on-Don, Taganrog, Izdatel'stvo Yuzhnogo federal'nogo universiteta, 2019, 147 р. (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit4"><label>4</label><citation-alternatives><mixed-citation xml:lang="ru">Кашницкий, Ю. С. Ансамблевый метод машинного обучения, основанный на рекомендации классификаторов / Ю. С. Кашницкий, Д. И. Игнатов // Интеллектуальные системы. Теория и приложения. – 2015. – Т. 19, вып. 4. – С. 37–55.</mixed-citation><mixed-citation xml:lang="en">Kashnickij Yu. S., Ignatov D. I. An ensemble method of machine learning based on the recommendations of classifiers. Intellektual'nye sistemy. Teoriya i prilozheniya [Intelligent Systems. Theory and Applications], 2015, vol. 19, no. 4, pp. 37–55 (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit5"><label>5</label><citation-alternatives><mixed-citation xml:lang="ru">Халкечев, Р. В. Бустинг – еще один способ машинного обучения [Электронный ресурс] / Р. В. Халкечев // Журнал «Яндекс Практикума». – Режим доступа: https://thecode.media/boosting/. – Дата доступа: 12.06.2021.</mixed-citation><mixed-citation xml:lang="en">Halkechev R. V. Boosting is another way of machine learning. Zhurnal ''Yandeks Praktikuma'' [Yandex Practicum Magazine] (In Russ.). Available at: https://thecode.mediaboosting/ (accessed 12.06.2021).</mixed-citation></citation-alternatives></ref><ref id="cit6"><label>6</label><citation-alternatives><mixed-citation xml:lang="ru">Detailed analysis of the KDD CUP 99 data set / M. Tavallaee [et al.] // 2009 IEEE Symp. on Computational Intelligence for Security and Defense Applications, Ottawa, Canada, 8–10 July 2009. – Ottawa, 2009. – P. 1–6.</mixed-citation><mixed-citation xml:lang="en">Tavallaee M., Bagheri E., Lu W., Ghorbani A. Detailed analysis of the KDD CUP 99 data set. 2009 IEEE Symposium on Computational Intelligence for Security and Defense Applications, Ottawa, Canada, 8–10 July 2009. Ottawa, 2009, рр. 1–6.</mixed-citation></citation-alternatives></ref><ref id="cit7"><label>7</label><citation-alternatives><mixed-citation xml:lang="ru">Шараев, Н. П. Выявление и анализ признаков сетевой разведки методом машинного обучения / Н. П. Шараев, С. Н. Петров // Управление информационными ресурсами : материалы XVII Междунар. науч.-практ. конф., Минск, 12 мар. 2021 г. – Минск : Академия управления при Президенте Республики Беларусь, 2021. – С. 238–240.</mixed-citation><mixed-citation xml:lang="en">Sharaev N. P., Petrov S. N. Identification and analysis of signs of network intelligence by machine learning. Upravlenie informacionnymi resursami : materialy XVII Mezhdunarodnoj nauchno-prakticheskoj konferencii, Minsk, 12 marta 2021 g. [Information Resource Management: Materials of the XVII International Scientific and Practical Conference, Minsk, 12 March 2021], Minsk, Akademija upravlenija pri Prezidente Respubliki Belarus', 2021, pp. 238–240 (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit8"><label>8</label><citation-alternatives><mixed-citation xml:lang="ru">Шараев, Н. П. Выявление сетевой разведки методами машинного обучения / Н. П. Шараев, С. Н. Петров // Защита информации : сб. материалов 57-й науч. конф. аспирантов, магистрантов и студентов БГУИР, Минск, Беларусь, 19–23 апр. 2021 г. – Минск : БГУИР, 2021. – С. 34–37.</mixed-citation><mixed-citation xml:lang="en">Sharaev N. P., Petrov S. N. Identification of network intelligence by machine learning methods. Zashhita informacii : sbornik materialov 57-j nauchnoj konferencii aspirantov, magistrantov i studentov BGUIR, Minsk, Belarus', 19–23 aprelja 2021 g. [Protection of Information: Collection of Materials of the 57th Scientific Conference of Postgraduates, Undergraduates and Students of BSUIR, Minsk, Belarus, 19–23 April 2021], Minsk, Belorusskij gosudarstvennyj universitet informatiki i radiojelektroniki, 2021, pp. 34–37 (In Russ.).</mixed-citation></citation-alternatives></ref></ref-list><fn-group><fn fn-type="conflict"><p>The authors declare that there are no conflicts of interest present.</p></fn></fn-group></back></article>
