Детектирование признаков сетевой разведки с использованием модели дерева решений
https://doi.org/10.37661/1816-0301-2022-19-1-19-31
Аннотация
Ц е л и . Своевременное обнаружение сетевой разведки позволяет снизить риски информационной безопасности организаций. Исследование проводилось с целью разработки программного модуля обнаружения признаков сетевой разведки с использованием методов машинного обучения.
М е т о д ы . Основными методами детектирования признаков сетевой разведки являлись: анализ открытых датасетов соответствующего назначения; формирование метрик, характерных для сетевой разведки; разработка набора данных разведки на основе определенных метрик. Исследовалась эффективность методов машинного обучения для задачи классификации.
Р е з у л ь т а т ы . Спроектированы топология и тестовый сегмент в корпоративной сети РУП «Белтелеком» для создания датасета. Для детектирования и анализа событий разработано средство мониторинга, результаты работы которого использовались в качестве основы для нового датасета.
Реализация метода дерева принятия решений в виде программного кода позволила увеличить скорость работы модуля приблизительно в два раза (0,147 мс). Практические испытания разработанного модуля показали факт сработки на все типы сканирования сетей с помощью утилит Nmap и Masscan.
З а к л ю ч е н и е . Анализ датасета методом главных компонент показал наличие пограничной области между событиями легального трафика и трафика сетевой разведки, что положительно сказалось на обучении модели. Изучены и протестированы наиболее перспективные методы машинного обучения с использованием различных гиперпараметров. Наилучшие результаты показал метод дерева принятия решений с параметрами criterion = gini и splitter = random и скоростью работы 0,333 мс.
Ключевые слова
Для цитирования:
Шараев Н.П., Петров С.Н. Детектирование признаков сетевой разведки с использованием модели дерева решений. Информатика. 2022;19(1):19-31. https://doi.org/10.37661/1816-0301-2022-19-1-19-31
For citation:
Sharaev N.P., Petrov S.N. Detection of network intelligence features with the decision tree model. Informatics. 2022;19(1):19-31. (In Russ.) https://doi.org/10.37661/1816-0301-2022-19-1-19-31