DOI: 10.14489/vkit.2020.03.pp.037-048
Ермаков Р. Н. КЛАССИФИКАЦИЯ СЕТЕВЫХ ПРОТОКОЛОВ С ПРИМЕНЕНИЕМ МЕТОДОВ МАШИННОГО ОБУЧЕНИЯ И АЛГОРИТМОВ НЕЧЕТКОЙ ЛОГИКИ В СИСТЕМАХ АНАЛИЗА ТРАФИКА (c. 37-48)
Аннотация. Рассмотрен новый эффективный подход к анализу сетевого трафика в целях определения протокола информационного обмена прикладного уровня. Дано краткое описание структуры алгоритма классификации сетевых пакетов на принадлежность к одному из известных сетевых протоколов. Для определения протокола применен принцип высокоскоростной однопакетной классификации, который заключается в анализе информации, передаваемой в каждом конкретном пакете. Использованы элементы поведенческого анализа. Дана классификация переходных состояний протоколов информационного обмена, что позволяет достичь более высокого уровня верности классификации и более высокой степени обобщения на новых тестовых выборках. Использованы алгоритмы нечеткой логики и нейронные сети. Показаны результаты тестирования построенного программного модуля, способного идентифицировать сетевые протоколы информационного обмена.
Ключевые слова: классификация сетевых пакетов; искусственные нейронные сети; логистическая регрессия; машинное обучение; анализ сетевого трафика; «глубокий» анализ пакетов.
Ermakov R. N. CLASSIFICATION OF NETWORK PROTOCOLS WITH APPLICATION OF MACHINE LEARNING METHODS AND FUZZY LOGIC ALGORITHMS IN TRAFFIC ANALYSIS SYSTEMS (pp. 37-48)
Abstract. This paper presents a new effective approach to analyzing network traffic in order to determine the protocol of information exchange. A brief description of the structure of the algorithm for classifying network packets by belonging to one of the known network protocols is given. To define the protocol, the principle of high-speed one-packet classification is used, which consists in analyzing the information transmitted in each particular packet. Elements of behavioral analysis are used, namely, the transition states of information exchange protocols are classified, which allows to achieve a higher level of accuracy of classification and a higher degree of generalization in new test samples. The topic of the article is relevant in connection with the rapid growth of transmitted traffic, including malicious traffic, and the emergence of new technologies for transmitting and processing information. The article analyzes the place of traffic analysis systems among other information security systems, describes the tasks that they allow to solve. It is shown that when recognizing the internal state in which a particular protocol may be in the process of information exchange at the handshake stage, a classifier of network packets of the application level can be useful. To classify network packets, we used fuzzy logic algorithms (Mamdani model) and machine learning methods (neural network solutions based on logistic regression). The paper presents 4 stages of developing a network packet classifier – monitoring and collecting packet statistics of the most famous network traffic protocols, preprocessing primary packet statistics, building a classifier for network packets and testing. The test results of the constructed software module capable of identifying network protocols for information exchange are demonstrated.
Keywords: Network packet classification; Artificial neural networks; Logistic regression; Machine learning; Network traffic analysis; Indepth packet analysis.
Р. Н. Ермаков (АО «НИИ «Масштаб», Санкт-Петербург, Россия) E-mail:
Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
R. N. Ermakov (JSC “RI “Masshtab”, St. Petersburg, Russia) E-mail:
Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
1. Лось А. Б., Даниелян Ю. Ю. Сравнительный анализ систем обнаружения вторжений, представленных на отечественном рынке // Вестник МФЮА. 2014. № 3. С. 181 – 187. 2. Identification of Communication Devices from Analysis of Traffic Patterns / H. Kawai et al. // Electric Industry Co., Ltd. Japan, 2018. 3. Хазов В. Введение в DPI: Аналитика, обстановка на рынке и тренды [Электронный ресурс]. 2016. URL: https://vasexperts.ru/blog/privet-mir/ (дата обращения: 20.12.2019). 4. Агеев С. А., Саенко И. Б., Котенко И. В. Метод и алгоритмы обнаружения аномалий в трафике мультисервисных сетей связи, основанные на нечетком логическом выводе // Информационно-управляющие системы. 2018. № 3. С. 61 – 68. doi: 10.15217/issn1684-8853.2018.3.61 5. Амосов О. С., Магола Д. С., Баена С. Г. Сетевая классификация атак в задачах информационной безопасности на основе интеллектуальных технологий, фрактального и вейвлетанализа // Ученые записки Комсомольского-на-Амуре государственного технического университета. 2017. Т. 1, № 4(32). С. 19 – 29. 6. Branitsky A. A., Kotenko I. V. Analysis and Classification of Network Attack Detection Methods // Proc. of SPIIRAS. 2016. No. 2(45). P. 207 – 244. 7. Рыжков Д. О. Определение протокола прикладного уровня для анализа сетевого трафика с применением алгоритмов машинного обучения [Электронный ресурс] // Студенческий научный форум: материалы IX Междунар. студ. науч. конф. URL: https://scienceforum.ru/2017/article/2017032799 (дата обращения: 20.12.2019). 8. Adaptive Multiagent System for Network Traffic Monitoring / M. Rehak et al. // IEEE Intelligent Systems. 2009. V. 24, No. 3. P. 16 – 25. 9. Anu Gowsalya R. S., Miruna Joe Amali S. SVM Based Network Traffic Classification Using Correlation Information // International Journal of Research in Electronics and Communication Technology (IJRECT 2014). 2014. 10. Singh J., Nene M. J. A Survey on Machine Learning Techniques for Intrusion Detection Systems // Intern. Journal of Advanced Research in Computer and Communication Engineering. 2013. V. 2, Is. 11. P. 4349 – 4355. 11. Abraham S., Nair S. Cyber Security Analytics: A Stochastic Model for Security Quantification Using Absorbing Markov Chains // Journal of Communications. 2014. V. 9, No. 12. P. 899 – 907. 12. Multi-Level Machine Learning Traffic Classification System / G. Szabo et al. // ICN 2012: The Eleventh International Conference on Networks. 2012. P. 69 – 77. 13. Traffic Classification Using Probabilistic Neural Networks / R. Sun et al. // Sixth Intern. Conf. on Natural Computation (ICNC 2010). 2010. P. 1914 – 1919. 14. Елагин В. С., Зарубин А. А., Онуфриенко А. В. Эффективность DPI-системы для идентификации трафика и обеспечения качества обслуживания OTT-сервисов // Наукоемкие технологии в космических исследованиях Земли. 2018. T. 10, № 3. C. 40 – 53. doi: 10.24411/2409-5419-2018-10074 15. Бабенко Г. В. Анализ современных угроз информации, возникающих при сетевом взаимодействии [Электронный ресурс] // Вестник АГТУ. Сер.: Управление, вычислительная техника и информатика. 2010. № 2. URL: http://www.cosmos.ru/earth/trudi/1-28.pdf (дата обращения: 20.12.2019). 16. Sanders C. Practical Packet Analysis: 2nd edition. 2011. No Starch Press, Inc. 38 Ringold Street, San Francisco, CA 94103. 17. Internet Traffic Classification Demystified: On the Sources of the Discriminative Power / Y. Lim et al. 2010. URL: http://conferences.sigcomm.org/co-next/ 2010/CoNEXT_papers/09-Lim.pdf (дата обращения: 20.12.2019). 18. Пегат А. Нечеткое моделирование и управление: пер. с англ. М.: БИНОМ. Лаборатория знаний, 2009. 312 с.
1. Los' A. B., Danielyan Yu. Yu. (2014). Comparative analysis of intrusion detection systems on the domestic market. Vestnik MFYuA, (3), pp. 181 – 187. [in Russian language] 2. Kawai H. et al. (2018). Identification of Communication Devices from Analysis of Traffic Patterns. Electric Industry Company, Limited. Japan. 3. Hazov V. (2016). DPI Introduction: Analytics, Market Situation, and Trends. Available at: https://vasexperts.ru/blog/privet-mir/ (Accessed: 20.12.2019). [in Russian language] 4. Ageev S. A., Saenko I. B., Kotenko I. V. (2018). Method and algorithms for detecting anomalies in the traffic of multiservice communication networks based on fuzzy inference. Informatsionno-upravlyayushchie sistemy, (3), pp. 61 – 68. [in Russian language] doi: 10.15217/issn1684-8853.2018.3.61 5. Amosov O. S., Magola D. S., Baena S. G. (2017). Network classification of attacks in information security tasks based on intelligent technologies, fractal and wavelet analysis. Uchenye zapiski Komsomol'skogo-na-Amure gosudarstvennogo tekhnicheskogo universiteta, Vol. 1, 32(4), pp. 19 – 29. [in Russian language] 6. Branitsky A. A., Kotenko I. V. (2016). Analysis and Classification of Network Attack Detection Methods. Proceedings of SPIIRAS, 45(2), pp. 207 – 244. 7. Ryzhkov D. O. Defining an application layer protocol for analyzing network traffic using machine learning algorithms. Student Scientific Forum: Proceedings of the IX International Student Scientific Conference. Available at: https://scienceforum.ru/2017/ article/2017032799 (Accessed: 20.12.2019). [in Russian language] 8. Rehak M. et al. (2009). Adaptive Multiagent System for Network Traffic Monitoring. IEEE Intelligent Systems, Vol. 24, (3), pp. 16 – 25. 9. Anu Gowsalya R. S., Miruna Joe Amali S. (2014). SVM Based Network Traffic Classification Using Correlation Information. International Journal of Research in Electronics and Communication Technology (IJRECT 2014). 10. Singh J., Nene M. J. (2013). A Survey on Machine Learning Techniques for Intrusion Detection Systems. International Journal of Advanced Research in Computer and Communication Engineering, Vol. 2, (11), pp. 4349 – 4355. 11. Abraham S., Nair S. (2014). Cyber Security Analytics: A Stochastic Model for Security Quantification Using Absorbing Markov Chains. Journal of Communications, Vol. 9, (12), pp. 899 – 907. 12. Szabo G. et al. (2012). Multi-Level Machine Learning Traffic Classification System. ICN 2012: The Eleventh International Conference on Networks, pp. 69 – 77. 13. Sun R. et al. (2010). Traffic Classification Using Probabilistic Neural Networks. Sixth International Conference on Natural Computation (ICNC 2010), pp. 1914 – 1919. 14. Elagin V. S., Zarubin A. A., Onufrienko A. V. (2018). The effectiveness of a DPI system for identifying traffic and ensuring the quality of service for OTT services. Naukoemkie tekhnologii v kosmicheskih issledovaniyah Zemli, Vol. 10, (3), pp. 40 – 53. [in Russian language] doi: 10.24411/2409-5419-2018-10074 15. Babenko G. V. (2010). Analysis of modern information threats arising from network interaction. Vestnik AGTU. Seriya: Upravlenie, vychislitel'naya tekhnika i informatika, (2). Available at: http://www.cosmos.ru/ earth/trudi/1-28.pdf (Accessed: 20.12.2019). [in Russian language] 16. Sanders C. (2011). Practical Packet Analysis: 2nd ed. No Starch Press, Incorporated. San Francisco. 17. Lim Y. et al. (2010). Internet Traffic Classification Demystified: On the Sources of the Discriminative Power. Available at: http://conferences.sigcomm.org/co-next/ 2010/CoNEXT_papers/09-Lim.pdf (Accessed: 20.12.2019). 18. Pegat A. (2009). Fuzzy modeling and control. Moscow: BINOM. Laboratoriya znaniy. [in Russian language]
Статью можно приобрести в электронном виде (PDF формат).
Стоимость статьи 350 руб. (в том числе НДС 18%). После оформления заказа, в течение нескольких дней, на указанный вами e-mail придут счет и квитанция для оплаты в банке.
После поступления денег на счет издательства, вам будет выслан электронный вариант статьи.
Для заказа скопируйте doi статьи:
10.14489/vkit.2020.03.pp.037-048
и заполните форму
Отправляя форму вы даете согласие на обработку персональных данных.
.
This article is available in electronic format (PDF).
The cost of a single article is 350 rubles. (including VAT 18%). After you place an order within a few days, you will receive following documents to your specified e-mail: account on payment and receipt to pay in the bank.
After depositing your payment on our bank account we send you file of the article by e-mail.
To order articles please copy the article doi:
10.14489/vkit.2020.03.pp.037-048
and fill out the form
.
|