Ресурсно-эффективное обнаружение сетевых атак с использованием селективной State Space Models

Здорников Егор Олегович, Попов Илья Юрьевич

doi:10.17586/2226-1494-2026-26-1-94-103

2026 , ТОМ 26, НОМЕР 1 ( январь-февраль )

ISSN 2226-1494 (print), ISSN 2500-0373 (online)

Меню

Публикации

Главный редактор

НИКИФОРОВ
Владимир Олегович
д.т.н., профессор

Партнеры

doi: 10.17586/2226-1494-2026-26-1-94-103

УДК 004.8:004.485:004.421

Ресурсно-эффективное обнаружение сетевых атак с использованием селективной State Space Models

Здорников Е.О., Попов И.Ю.

Читать статью полностью

Язык статьи - русский

Ссылка для цитирования:

Здорников Е.О., Попов И.Ю. Ресурсно-эффективное обнаружение сетевых атак с использованием селективной State Space Models // Научно-технический вестник информационных технологий, механики и оптики. 2026. Т. 26, № 1. С. 94–103. doi: 10.17586/2226-1494-2026-26-1-94-103

Аннотация

Введение. Распространение уязвимых устройств интернет вещей приводит к увеличению количество атак на такие устройства и требует разработки точных и ресурсно-эффективных средств их выявления. Существующие модели системы обнаружения вторжений плохо адаптируются к разным наборам данных. Представлено решение этой проблемы на основе архитектуры Edge-Mamba — «легковесной модели» на базе линейно-временной селективной State Space-архитектуры. Приведена оценка возможности переносить модели между гетерогенными наборами данных и обеспечивать их работу на конечных устройствах в реальном времени. Метод. Предложенная модель основана на селективной State Space-архитектуре и обеспечивает линейную сложность обработки последовательностей. Адаптация модели для анализа сетевого трафика происходит путем кодирования 74 признаков и за счет применения двух блоков модели пространства состояний. Такое построение позволяет снизить вычислительные затраты и одновременно сохранить высокую точность классификации атак. Основные результаты. Эксперименты выполнены на современных наборах данных CICIDS-2017, TII-SSRC-23. Показано, что архитектура Edge-Mamba достигает на наборе данных TII-SSRC-23 точность 99 % при задержке 0,15 мс, а на наборе данных CICIDS-2017 — 98 % при задержке 2,4 мс. При переносе модели с одного набора данных на другой без дообучения точность классификации составляет 65 %, а дообучение (fine-tuning) на 10 % целевого набора повышает точность до 99 % без увеличения времени классификации. Обсуждение. Таким образом, предложенная модель демонстрирует сопоставимую или более высокую точность по сравнению с существующими подходами. При многоклассовой классификации архитектура Edge-Mamba превзошла CNN-BiLSTM и Transformer на 1–3 % по величине macro-F1, сохраняя меньшую задержку. Модель сохраняет эффективность работы на ресурсно-ограниченных устройствах. Представленная модель сочетает точность и возможность переноса модели на другие наборы данных, что делает ее применимой для систем обнаружения вторжений на сетевых шлюзах, хабах интернет вещей и в контейнеризированной инфраструктуре.

Ключевые слова: intrusion-detection, Mamba, DDoS, CICIDS-2017, TII-SSRC-23, IDS, кросс-обучение, fine-tuning, конечные устройства

Благодарности. Персональная благодарность Дарье Лоза за ее вклад в исследование.

Список литературы

1. Gelgi M., Guan Y., Arunachala S., Rao M.S.S., Dragoni N. Systematic literature review of IoT botnet DDOS attacks and evaluation of detection techniques // Sensors. 2024. V. 24. N 11. P. 3571. https://doi.org/10.3390/s24113571

2. Singh A., Gupta B.B.Distributed Denial-of-Service (DDoS) attacks and defense mechanisms in various web-enabled computing platforms // International Journal on Semantic Web and Information Systems.2022. V. 18. N 1. P. 43 https://doi.org/10.4018/ijswis.297143

3. Diana L., Dini P., Paolini D. Overview on intrusion detection systems for computers // Computers. 2025. V. 14. N 3. P. 87. https://doi.org/10.3390/computers14030087

4. Arnob A.K.B., Roy Chowdhury R., Chaiti N.A., Saha S., Roy A. A comprehensive systematic review of intrusion detection systems: emerging techniques, challenges, and future research directions // Journal of Edge Computing. 2025. V. 4.N 1. P. 73–104. https://doi.org/10.55056/jec.885

5. Ravipati R.D., Abualkibash M. Intrusion detection system classification using different machine learning algorithms on KDD-99 and NSL-KDD datasets: a review paper // International Journal of Computer Science and Information Technology. 2019. V. 11. N 3. P. 65–80. https://doi.org/10.5121/ijcsit.2019.11306

6. Talukder M.A., Islam M.M., Uddin M.A., Hasan K.F., Sharmin S., Alyami S.A., Moni M.A. Machine learning-based network intrusion detection for big and imbalanced data using oversampling, stacking feature embedding and feature extraction // Journal of Big Data. 2024. V. 11. N 1. P. 33. https://doi.org/10.1186/s40537-024-00886-w

7. Sapre S., Ahmadi P., Islam K. A Robust Comparison of the KDDCup99 and NSL-KDD IoT Network Intrusion Detection Datasets Through Various Machine Learning Algorithms // arXiv. 2019.arXiv:1912.13204. https://doi.org/10.48550/arXiv.1912.13204

8. Лапина М.А., Мовзалевская В.В., Токмакова М.Е., Бабенко М.Г., Саджид М. Применение технологий машинного обучения для обнаружения веб-атак // Вопросы кибербезопасности. 2024. № 4 (62). С. 92–103. https://doi.org/10.21681/2311-3456-2024-4-92-103

9. Divekar A., Parekh M., Savla V., Mishra R., Shirole M. Benchmarking datasets for anomaly-based network intrusion detection: KDD CUP 99 alternatives // Proc. of the IEEE 3^rd International Conference on Computing, Communication and Security (ICCCS). 2018. P. 1–8. https://doi.org/10.1109/CCCS.2018.8586840

10. Choudhary S., Kesswani N. Analysis of KDD-Cup’99, NSL-KDD and UNSW-NB15 datasets using deep learning in IoT // Procedia Computer Science. 2020. V. 167. P. 1561–1573. https://doi.org/10.1016/j.procs.2020.03.367

11. Antari A., Abo-Aisheh Y., Shamasneh J., Ashqar H.I. Network traffic classification using machine learning, transformer, and large language models // Proc. of the IEEE 4^th International Conference on Computing and Machine Intelligence (ICMI). 2025. P. 1–5. https://doi.org/10.1109/icmi65310.2025.11141207

12. Bilge L., Dumitras T. Before we knew it: an empirical study of zero-day attacks in the real world // Proc. of the ACM conference on Computer and communications security. 2012. P. 833–844. https://doi.org/10.1145/2382196.2382284

13. Wang T., Xie X., Wang W., Wang C., Zhao Y., Cui Y. NetMamba: efficient network traffic classification via pre-training unidirectional Mamba // Proc. of the IEEE 32^nd International Conference on Network Protocols (ICNP). 2024. P. 1–11. https://doi.org/10.1109/icnp61940.2024.10858569

14. Xu J., Chen L., Xu W., Dai L., Wang C., Hu L. ET-Mamba: a Mamba model for encrypted traffic classification // Information. 2025. V. 16. N 4. P. 314. https://doi.org/10.3390/info16040314

15. Ma C., Du X., Cao L. Improved KNN algorithm for fine-grained classification of encrypted network flow // Electronics. 2020. V. 9. N 2. P. 324. https://doi.org/10.3390/electronics9020324

16. Zhang W., Zhang L., Zhang X., Wang Y., Liu P., Gui G. Intelligent unsupervised network traffic classification method using adversarial training and deep clustering for secure Internet of things // Future Internet. 2023. V. 15. N 9. P. 298. https://doi.org/10.3390/fi15090298

17. Pang B., Fu Y., Ren S., Wang Y., Liao Q., Jia Y. C. GNN: Traffic Classification with graph neural network // arXiv. 2021. arXiv:2110.09726. https://doi.org/10.48550/arXiv.2110.09726

18. Lotfollahi M., Jafari Siavoshani M., Shirali Hossein Zade R., Saberian M. Deep packet: a novel approach for encrypted traffic classification using deep learning // Soft Computing. 2020. V. 24. N 3. P. 1999–2012. https://doi.org/10.1007/s00500-019-04030-2

19. Lin X., Xiong G., Gou G., Li Z., Shi J., Yu J. ET-BERT: a contextualized datagram representation with pre-training transformers for encrypted traffic classification // Proc. of the ACM Web Conference. 2022. P. 633–642. https://doi.org/10.1145/3485447.3512217

20. Yang J., Liang G., Li B., Wen G., Gao T. A deep-learning- and reinforcement-learning-based system for encrypted network malicious traffic detection // Electronics Letters. 2021. V. 57. N 9. P. 363–365. https://doi.org/10.1049/ell2.12125

21. Zeleke S.N., Jember A.F., Bochicchio M. Integrating explainable AI for effective malware detection in encrypted network traffic // arXiv. 2024. arXiv:2501.05387. https://doi.org/10.48550/arXiv.2501.05387

22. Panigrahi R., Borah S., Bhoi A.K., Ijaz M.F., Pramanik M., Kumar Y., Jhaveri R.H. A consolidated decision tree-based intrusion detection system for binary and multiclass imbalanced datasets // Mathematics. 2021. V. 9. N 7. P. 751. https://doi.org/10.3390/math9070751

23. Tran D.-H., Park M. FN-GNN: a novel graph embedding approach for enhancing graph neural networks in network intrusion detection systems // Applied Sciences. 2024. V. 14. N 16. P. 6932. https://doi.org/10.3390/app14166932

24. Akpaku E., Chen J., Ahmed M., Agbenyegah F.K., Brown-Acquaye W.L. RAGN: Detecting unknown malicious network traffic using a robust adaptive graph neural network // Computer Networks. 2025. V. 262. P. 111184. https://doi.org/10.1016/j.comnet.2025.111184

25. Areia J., Bispo I.A., Santos L., De Carvalho Costa R.L. IoMT-TrafficData: dataset and tools for benchmarking intrusion detection in Internet of medical things // IEEE Access. 2024. V. 12. P. 115370–115385. https://doi.org/10.1109/ACCESS.2024.3437214

26. Koumar J., Hynek K., Cejka T., Šiška P. CESNET-TimeSeries24: time series dataset for network traffic anomaly detection and forecasting // Scientific Data. 2025. V. 12. N 1. P. 338. https://doi.org/10.1038/s41597-025-04603-x

27. Werbos P.J. Backpropagation through time: what it does and how to do it // Proceedings of the IEEE. 1990. V. 78. N 10. P. 1550–1560. https://doi.org/10.1109/5.58337

28. Gu A., Dao T. Mamba: linear-time sequence modeling with selective state spaces // arXiv. 2023. arXiv:2312.00752. https://doi.org/10.48550/arXiv.2312.00752

29. Wang M., Zhang H., Zhou N. A study on the Mamba-ECANet model for intrusion detection in data security using end-to-end learning // Optimizations in Applied Machine Learning. 2024. V. 1. N 1. P. 01001. https://doi.org/10.71070/oaml.v1i1.8

30. Jouhari M., Guizani M. Lightweight CNN-BiLSTM based Intrusion detection systems for resource-constrained IoT devices // Proc. of the International Wireless Communications and Mobile Computing (IWCMC). 2024. P. 1558–1563 https://doi.org/10.1109/iwcmc61514.2024.10592352

This work is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License