Детектирование признаков сетевой разведки с использованием модели дерева решений

Ц е л и .   Своевременное  обнаружение  сетевой  разведки  позволяет  снизить  риски  информационной безопасности организаций. Исследование проводилось с целью разработки программного модуля обнаружения признаков сетевой разведки с использованием методов машинного обучения.

М е т о д ы . Основными методами детектирования признаков сетевой разведки являлись: анализ открытых датасетов соответствующего назначения; формирование метрик, характерных для сетевой разведки; разработка набора данных разведки на основе определенных метрик. Исследовалась эффективность методов машинного обучения для задачи классификации.

Р е з у л ь т а т ы . Спроектированы топология и тестовый сегмент в корпоративной сети РУП «Белтелеком» для создания датасета. Для детектирования и анализа событий разработано средство мониторинга, результаты работы которого использовались в качестве основы для нового датасета.

Реализация метода дерева принятия решений в виде программного кода позволила увеличить скорость работы модуля приблизительно в два раза (0,147 мс). Практические испытания разработанного модуля показали факт сработки на все типы сканирования сетей с помощью утилит Nmap и Masscan.

З а к л ю ч е н и е .  Анализ датасета методом главных компонент показал наличие  пограничной области между событиями легального трафика и трафика сетевой разведки, что положительно сказалось на обучении  модели.  Изучены  и  протестированы  наиболее  перспективные  методы  машинного  обучения с использованием различных гиперпараметров. Наилучшие результаты показал метод дерева принятия решений с параметрами criterion = gini и splitter = random и скоростью работы 0,333 мс.

1. Гущин, Р. А. Сетевая разведка / Р. А. Гущин, К. А. Колос ; сост. В. А. Мартинович // Материалы 74-й студ. науч.-техн. конф. - Минск : БНТУ, 2018. - C. 53-54.

2. Караулова, О. А. Оценка аномалий сетевого трафика на основе циклического анализa / О. А. Караулова, Н. В. Киреева // T-comm: телекоммуникации и транспорт. - 2018. - Т. 12, вып. 11. - С. 33.

3. Брюхомицкий, Ю. А. Искусственные иммунные системы в информационной безопасности : учеб. пособие / Ю. А. Брюхомицкий. - Ростов н/Д, Таганрог : Изд-во Южн. федер. ун-та, 2019. - 147 с.

4. Кашницкий, Ю. С. Ансамблевый метод машинного обучения, основанный на рекомендации классификаторов / Ю. С. Кашницкий, Д. И. Игнатов // Интеллектуальные системы. Теория и приложения. - 2015. - Т. 19, вып. 4. - С. 37-55.

5. Халкечев, Р. В. Бустинг - еще один способ машинного обучения [Электронный ресурс] / Р. В. Халкечев // Журнал «Яндекс Практикума». - Режим доступа: https://thecode.media/boosting. - Дата доступа: 12.06.2021.

6. Detailed analysis of the KDD CUP 99 data set / M. Tavallaee [et al.] // 2009 IEEE Symp. on Computational Intelligence for Security and Defense Applications, Ottawa, Canada, 8-10 July 2009. - Ottawa, 2009. - P. 1-6.

7. Шараев, Н. П. Выявление и анализ признаков сетевой разведки методом машинного обучения / Н. П. Шараев, С. Н. Петров // Управление информационными ресурсами : материалы XVII Междунар. науч.-практ. конф., Минск, 12 мар. 2021 г. - Минск : Академия управления при Президенте Республики Беларусь, 2021. - С. 238-240.

8. Шараев, Н. П. Выявление сетевой разведки методами машинного обучения / Н. П. Шараев, С. Н. Петров // Защита информации : сб. материалов 57-й науч. конф. аспирантов, магистрантов и студентов БГУИР, Минск, Беларусь, 19-23 апр. 2021 г. - Минск : БГУИР, 2021. - С. 34-37.