Применение бэггинга при поиске аномалий сетевого трафика

Рзаев Б.Т., Лебедев И.С. Применение бэггинга при поиске аномалий сетевого трафика // Научно-технический вестник информационных технологий, механики и оптики. 2021. Т. 21, № 2. С. 234–240. doi: 10.17586/2226-1494-2021-21-2-234-240

Предмет исследования. Рассмотрены подходы к решению задачи выявления аномальных ситуаций в информационно-телекоммуникационных системах, на основе методов искусственного интеллекта, анализирующих статистическую информацию пакетов трафика в различных режимах и состояниях. Метод. Представленный метод выявления аномальной ситуации основан на обработке полученных кортежей значений пакетов сетевого трафика путем применения бэггинга алгоритмов классификации машинного обучения. Сетевой трафик рассматривается как множество кортежей параметров пакетов, распределенных по дискретам времени. В отличие от существующих, метод не требует специальной подготовки данных, получаемые ошибки при классификации кортежей значений пакетов отдельными алгоритмами классификации усредняются их «коллективным» голосованием. Предложенное решение с целью повышения показателя точности дает возможность использовать оптимизированные для разных видов событий и аномалий алгоритмы классификации, обученные на различных обучающих выборках, представленных в виде кортежей параметров сетевых пакетов. Различность алгоритмов достигается внесением дисбаланса в обучающие выборки. Основные результаты. Приведено описание эксперимента с использованием алгоритмов классификации машинного обучения Naïve Bayes, Hoeffding Tree, J48, Random Forest, Random Tree и REP Tree. Оценка выполнена на открытом датасете NSL-KDD при поиске паразитного трафика. Получены результаты оценки для каждого классификатора по отдельности и с применением бэггинга классифицирующих алгоритмов. Практическая значимость. Метод может быть применен в системах мониторинга информационной безопасности при анализе сетевого трафика. Особенностью предлагаемого решения является возможность его масштабирования и комбинирования путем добавления новых алгоритмов классификации машинного обучения. В дальнейшем в ходе функционирования возможно вносить изменения в состав алгоритмов классификации, что позволит улучшить показатели точности идентификации потенциального деструктивного воздействия.

1. Khan S., Yairi T. A review on the application of deep learning in system health management // Mechanical Systems and Signal Processing. 2018. V. 107. P. 241–265. doi: 10.1016/j.ymssp.2017.11.024
2. Salehi H., Burgueño R. Emerging artificial intelligence methods in structural engineering // Engineering Structures. 2018. V. 171. P. 170–189. doi: 10.1016/j.engstruct.2018.05.084
3. Gers F.A., Schmidhuber J., Cummins F. Learning to forget: Continual prediction with LSTM // Neural Computation. 2000. V. 12. N 10. P. 2451–2471. doi: 10.1162/089976600300015015
4. Gokhale A., McDonals M.P., Drager S., McKeever W. A cyber physical systems perspective on the real-time and reliable dissemination of information in intelligent transportation systems // Network Protocols and Algorithms. 2010. V. 2. N 3. P. 116–136. doi: 10.5296/npa.v2i3.480
5. Yuan K., Ling Q., Yin W. On the convergence of decentralized gradient descent // SIAM Journal on Optimization. 2016. V. 26. N 3. P. 1835–1854. doi: 10.1137/130943170
6. Kwon D.W., Ko K., Vannucci M., Reddy A.L.N., Kim S. Wavelet methods for the detection of anomalies and their application to network traffic analysis // Quality and Reliability Engineering International. 2006. V. 22. N 8. P. 953–969. doi: 10.1002/qre.781
7. Семенов В.В., Лебедев И.С., Сухопаров М.Е. Подход к классификации состояния информационной безопасности элементов киберфизических систем с использованием побочного электромагнитного излучения // Научно-технический вестник информационных технологий, механики и оптики. 2018. Т. 18. № 1. С. 98–105. doi: 10.17586/2226-1494-2018-18-1-98-105
8. Ahlgren B., Hidell M., Ngai E. Internet of things for smart cities: interoperability and open data // IEEE Internet Computing. 2016. V. 20. N 6. P. 52–56. doi: 10.1109/MIC.2016.124
9. Genkin D., Shamir A., Tromer E. Acoustic cryptanalysis // Journal of Cryptology. 2017. V. 30. N 2. P. 392–443. doi: 10.1007/s00145-015-9224-2
10. Semenov V.V., Lebedev I.S., Sukhoparov M.E., Salakhutdinova K.I. Application of an autonomous object behavior model to classify the cybersecurity state // Lecture Notes in Computer Science (including subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics). 2019. V. 11660. P. 104–112. doi: 10.1007/978-3-030-30859-9_9
11. Palacios A., Sanchez L., Couso I. Combining Adaboost with preprocessing algorithms for extracting fuzzy rules from low quality data in possibly imbalanced problems // International Journal of Uncertainty, Fuzziness and Knowledge-based Systems. 2012. V. 20. Suppl. 2. P. 51–71. doi: 10.1142/S0218488512400156
12. Ashibani Y., Mahmoud Q.H. Cyber physical systems security: analysis, challenges and solutions // Computer & Security. 2017. V. 68. P. 81–97. doi: 10.1016/j.cose.2017.04.005
13. Jin J., Gubbi J., Marusic S., Palaniswami M. An information framework for creating a smart city through internet of things // IEEE Internet of Things Journal. 2014. V. 1. N 2. P. 112–121. doi: 10.1109/JIOT.2013.2296516
14. Сухопаров М.Е., Семенов В.В., Салахутдинова К.И., Лебедев И.С. Выявление аномального функционирования устройств Индустрии 4.0 на основе поведенческих паттернов // Проблемы информационной безопасности. Компьютерные системы. 2020. № 1. С. 96–102.
15. Семенов В.В., Лебедев И.С., Сухопаров М.Е. Идентификация состояния отдельных элементов киберфизических систем на основе внешних поведенческих характеристик // Прикладная информатика. 2018. Т. 13. № 5(77). С. 72–83.
16. Сухопаров М.Е., Лебедев И.С. Идентификация состояния информационной безопасности устройств интернета вещей в информационно-телекоммуникационных системах // Системы управления, связи и безопасности. 2020. № 3. С. 252–268. doi: 10.24411/2410-9916-2020-10310
17. Sukhoparov M.E., Lebedev I.S., Garanin A.V. Application of classifier sequences in the task of state analysis of Internet of Things devices // Информатика, телекоммуникациииуправление= Computing, Telecommunications and Control. 2020. Т. 13. № 3. С. 44–54. doi: 10.18721/JCSTCS.13304
18. Ingre B., Yadav A. Performance Analysis of NSL-KDD dataset using ANN // Proc. 4^th International Conference on Signal Processing and Communication Engineering Systems (SPACES). 2015. P. 92–96. doi: 10.1109/SPACES.2015.7058223
19. Dhanabal L., Shantharajah Dr. S.P. A Study on NSL-KDD dataset for intrusion detection system based on classification algorithms // International Journal of Advanced Research in Computer and Communication Engineering. 2015. V. 4. N 6. P. 446–452. doi: 10.17148/IJARCCE.2015.4696
20. Воронцов К.В. Лекции по алгоритмическим композициям [Электронный ресурс]. URL:  http://www.machinelearning.ru/wiki/images/0/0d/Voron-ML-Compositions.pdf(дата обращения: 03.12.2020).
21. Дьяконов А. Методы решения задач классификации с категориальными признаками // Прикладная математика и информатика. Труды факультета Вычислительной математики и кибернетики МГУ имени М.В. Ломоносова. 2014. № 46. С. 103–127.
22. Zhou Z.-H. Ensemble Methods: Foundations and Algorithms. New York: CRC Press, 2012. 222 p.
23. Yu Y., Zhou Z.-H., Ting K.M. Cocktail ensemble for regression // Proc. 7^th IEEE International Conference on Data Mining (ICDM). 2007. P. 721–726. doi: 10.1109/ICDM.2007.60
24. Zhou Z.-H., Feng J. Deep forest // National Science Review. 2019. V. 6. N 1. P. 74–86. doi: 10.1093/nsr/nwy108
25. Pedersen T. A simple approach to building ensembles of naive bayesian classifiers for word sense disambiguation // NAACL 2000: Proc. of the 1^st North American chapter of the Association for Computational Linguistics Conference. 2000. P. 63–69.
26. Кафтанников И.Л., Парасич А.В. Проблемы формирования обучающей выборки в задачах машинного обучения // Вестник ЮУрГУ. Серия: Компьютерные технологии, управление, радиоэлектроника. 2016. Т. 16. № 3. С. 15–24. doi: 10.14529/ctcr160302
27. Fawcett T. An introduction to ROC analysis // Pattern Recognition Letters. 2006. V. 27. N 8. P. 861–874. doi: 10.1016/j.patrec.2005.10.010

This work is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License