DOI: 10.14489/vkit.2020.10.pp.038-046
Сакулин С. А., Алфимцев А. Н., Квитченко К. Н., Добкач Л. Я., Кальгин Ю. А. ВЫЯВЛЕНИЕ АНОМАЛИЙ СЕТЕВОГО ТРАФИКА С ИСПОЛЬЗОВАНИЕМ АНСАМБЛЯ КЛАССИФИКАТОРОВ (c. 38-46)
Аннотация. Рассмотрен гибридный подход к выявлению аномалий на основе комбинирования сигнатурного анализа и вычислительно эффективных классификаторов машинного обучения с повышением точности распознавания за счет взвешенного голосования классификаторов. Обучение реализовано на предварительно подготовленном наборе сигнатур CICIDS2017 (Canadian Institute for Cybersecurity Intrusion Detection System). Экспериментальная оценка разработанного подхода по сравнению с отдельными классификаторами и другими методами по таким критериям, как доля ошибок первого и второго рода, точность и уровень обнаружения, подтверждает целесообразность его применения в системах обнаружения сетевых атак.
Ключевые слова: выявление сетевых аномалий; сигнатурный подход; машинное обучение; ансамбли классификаторов.
Sakulin S. A., Alfimtsev A. N., Kvitchenko K. N., Dobkach L. Ya., Kalgin Yu. A. NETWORK TRAFFIC ANOMALIES DETECTION USING AN ENSEMBLE OF CLASSIFIERS (pp. 38-46)
Abstract. Network technologies have been steadily developing and their application has been expanding. One of the aspects of the development is a modification of the current network attacks and the appearance of new ones. The anomalies that can be detected in network traffic conform with such attacks. Development of new and improvement of the current approaches to detect anomalies in network traffic have become an urgent task. The article suggests a hybrid approach to detect anomalies on the basis of the combined signature approach and computationally effective classifiers of machine learning: logistic regression, stochastic gradient descent and decision tree with accuracy increase due to weighted voting. The choice of the classifiers is explained by the admissible complexity of the algorithms that allows detection of network traffic events for the time close to real. Signature analysis is carried out with the help of the Zeek IDS (Intrusion Detection System) signature base. Learning is fulfilled by preliminary prepared (by excluding extra recordings and parameters) CICIDS2017 (Canadian Institute for Cybersecurity Intrusion Detection System) signature set by cross validation. The set is roughly divided into ten parts that allows us to increase the accuracy. Experimental evaluation of the developed approach comparing with individual classifiers and with other approaches by such criteria as part of type I and II errors, accuracy and level of detection, has proved the approach suitable to be applied in network attacks detection systems. It is possible to introduce the developed approach into both existing and new anomaly detection systems.
Keywords: Identification of network anomalies; Signature approach; Machine learning; Classifier ensembles.
С. А. Сакулин, А. Н. Алфимцев, К. Н. Квитченко, Л. Я. Добкач, Ю. А. Кальгин (Московский государственный технический университет имени Н. Э. Баумана, Москва, Россия) E-mail:
Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
S. A. Sakulin, A. N. Alfimtsev, K. N. Kvitchenko, L. Ya. Dobkach, Yu. A. Kalgin (Bauman Moscow State Technical University, Moscow, Russia) E-mail:
Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
1. Микова С. Ю., Оладько В. С. Оценка точности и полноты алгоритма обнаружения сетевых аномалий Бродского–Дарховского // Вестник компьютерных и информационных технологий. 2015. № 12. С. 44 – 49. doi: 10.14489/vkit.2015.12.pp.044-049 2. Оладько В. С., Садовник Е. А. Алгоритм выявления процессов с аномальной активностью // Вестник компьютерных и информационных технологий. 2015. № 8. С. 35 – 39. doi: 10.14489/vkit.2015.08. pp.035-039 3. Демина Р. Ю., Ажмухамедов И. М. Повышение эффективности эвристического анализа в антивирусном пакете Stronghold AntiMalware // Вестник Тамбовского государственного технического университета. 2018. Т. 24, № 1. С. 6 – 15. doi: 10.17277/ vestnik.2018.01.pp.006-015 4. Чистякова М. А., Ильин М. В. Методы идентификации атак на Wi-Fi сеть на основе интеллектуального анализа данных // Промышленные АСУ и контроллеры. 2019. № 7. С. 41 – 51. doi: 10.25791/ asu.07.2019.749 5. Ермаков Р. Н. Детектирование сетевых протоколов с применением методов машинного обучения и алгоритмов нечеткой логики в системах анализа трафика // Автоматизация процессов управления. 2019. № 3(57). С. 53 – 64. doi: 10.35752/1991-2927-2019-3-57-53-64 6. Цирлов В. Л., Логинов К. Е. Вычисление критерия Уилкоксона сетевой СОВ Snort на основе набора данных ISCX2012 [Электронный ресурс] // Современные научные исследования и инновации: электр. науч.-практ. журнал. 2014. № 5. Ч. 1 URL: http://web.snauka.ru/issues/2014/05/35009 (дата обращения: 16.09.2020). 7. Исследование архитектур глубоких нейронных сетей со сверточными и рекуррентными слоями для задач распознавания аномалий сетевого трафика в компьютерных системах / О. С. Амосов и др. // Управление развитием крупномасштабных систем (MLSD’2019): тр. Двенадцатой междунар. конф. (Москва, 01 – 03 окт. 2019 г.) / под общ. ред. С. Н. Васильева, А. Д. Цвиркуна. М., 2019. С. 995 – 1005. 8. Yulianto A., Sukarno P., Suwastika N. A. Improving Ada Boost-Based Intrusion Detection System (IDS) Performance on CIC IDS 2017 Dataset // Journal of Physics: Conference Series. 2019. V. 1192, No. 1. P. 1 – 9. 9. Jung Y. Multiple Predicting K-Fold Cross-Validation for Model Selection // Journal of Nonparametric Statistics. 2018. V. 30, No. 1. P. 197 – 215. 10. Singh A., Taneja A., Tripathi M. K-Fold Cross-Validation Machine Learning Approach on Data Imbalance for Wireless Sensor Data: A Review // Intern. Journal of Scientific Research & Engineering Trends. 2019. V. 5, Is. 4. P. 1346 – 1349. 11. Куртукова А. В., Романов А. С. Идентификация автора исходного кода на основе алгоритмов глубокого обучения // Электронные средства и системы управления: материалы докл. Междунар. науч.-практ. конф. Томск, 2018. № 1-2. С. 96 – 100. 12. Асяев Г. Д., Соколов А. Н. Обнаружение вторжений на основе анализа аномального поведения локальной сети с использованием алгоритмов машинного обучения с учителем // Вестник УрФО. Безопасность в информационной сфере. 2020. № 1(35). С. 77 – 83. doi: 10.14529/secur200109 13. Faker O., Dogdu E. Intrusion Detection Using Big Data and Deep Learning Techniques // ACM Southeast Conference. 2019. P. 86 – 93. doi: 10.1145/ 3299815.3314439
1. Mikova S. Yu., Olad'ko V. S. (2015). Estimation of the accuracy and completeness of the Brodsky – Darkhovsky network anomaly detection algorithm. Vestnik komp'yuternyh i informatsionnyh tekhnologiy, (12), pp. 44 – 49. [in Russian language] doi: 10.14489/vkit.2015.12.pp.044-049 2. Olad'ko V. S., Sadovnik E. A. (2015). Algorithm for detecting processes with abnormal activity. Vestnik komp'yuternyh i informatsionnyh tekhnologiy, (8), pp. 35 – 39. [in Russian language] doi: 10.14489/vkit.2015.08. pp.035-039 3. Demina R. Yu., Azhmuhamedov I. M. (2018). Improving the efficiency of heuristic analysis in the Stronghold AntiMalware antivirus package. Vestnik Tambovskogo gosudarstvennogo tekhnicheskogo universiteta, Vol. 24, (1), pp. 6 – 15. [in Russian language] doi: 10.17277/ vestnik.2018.01.pp.006-015 4. Chistyakova M. A., Il'in M. V. (2019). Methods for identifying attacks on a Wi-Fi network based on data mining. Promyshlennye ASU i kontrollery, (7), pp. 41 – 51. [in Russian language] doi: 10.25791/ asu.07.2019.749 5. Ermakov R. N. (2019). Detection of network protocols using machine learning methods and fuzzy logic algorithms in traffic analysis systems. Avtomatizatsiya protsessov upravleniya, 57(3), pp. 53 – 64. [in Russian language] doi: 10.35752/1991-2927-2019-3-57-53-64 6. Tsirlov V. L., Loginov K. E. (2014). Computing the Wilcoxon test for Snort network IDS based on the ISCX2012 dataset. Modern scientific research and innovation, (5), Part 1. Available at: http://web.snauka.ru/issues/2014/05/35009 (Accessed: 16.09.2020). [in Russian language] 7. Vasil'ev S. N., Tsvirkun A. D. (Eds.), Amosov O. S. et al. (2019). Investigation of architectures of deep neural networks with convolutional and recurrent layers for problems of recognizing network traffic anomalies in computer systems. Management of Large-Scale Systems Development (MLSD'2019): Proceedings of the Twelfth International Conference, pp. 995 – 1005. Moscow. [in Russian language] 8. Yulianto A., Sukarno P., Suwastika N. A. (2019). Improving Ada Boost-Based Intrusion Detection System (IDS) Performance on CIC IDS 2017 Dataset. Journal of Physics: Conference Series, Vol. 1192, (1), pp. 1 – 9. 9. Jung Y. (2018). Multiple Predicting K-Fold Cross-Validation for Model Selection. Journal of Nonparametric Statistics, Vol. 30, (1), pp. 197 – 215. 10. Singh A., Taneja A., Tripathi M. (2019). K-Fold Cross-Validation Machine Learning Approach on Data Imbalance for Wireless Sensor Data: A Review. International Journal of Scientific Research & Engineering Trends, Vol. 5, (4), pp. 1346 – 1349. 11. Kurtukova A. V., Romanov A. S. (2018). Source code author identification based on deep learning algorithms. Electronic means and control systems: materials of reports of the International scientific and practical conference, (1-2), pp. 96 – 100. Tomsk. [in Russian language] 12. Asyaev G. D., Sokolov A. N. (2020). Intrusion detection based on the analysis of anomalous local network behavior using supervised machine learning algorithms. Vestnik UrFO. Bezopasnost' v informatsionnoy sfere, 35(1), pp. 77 – 83. [in Russian language] doi: 10.14529/secur200109 13. Faker O., Dogdu E. (2019). Intrusion Detection Using Big Data and Deep Learning Techniques. ACM Southeast Conference, pp. 86 – 93. doi: 10.1145/ 3299815.3314439
Статью можно приобрести в электронном виде (PDF формат).
Стоимость статьи 350 руб. (в том числе НДС 18%). После оформления заказа, в течение нескольких дней, на указанный вами e-mail придут счет и квитанция для оплаты в банке.
После поступления денег на счет издательства, вам будет выслан электронный вариант статьи.
Для заказа скопируйте doi статьи:
10.14489/vkit.2020.10.pp.038-046
и заполните форму
Отправляя форму вы даете согласие на обработку персональных данных.
.
This article is available in electronic format (PDF).
The cost of a single article is 350 rubles. (including VAT 18%). After you place an order within a few days, you will receive following documents to your specified e-mail: account on payment and receipt to pay in the bank.
After depositing your payment on our bank account we send you file of the article by e-mail.
To order articles please copy the article doi:
10.14489/vkit.2020.10.pp.038-046
and fill out the form
.
|