DOI: 10.14489/vkit.2022.07.pp.048-056
Сакулин С. А., Алфимцев А. Н., Ломанов А. А., Добкач Л. Я., Недашковский В. М. ВЫЯВЛЕНИЕ СЕТЕВЫХ АНОМАЛИЙ НА ОСНОВЕ ВЗВЕШЕННОГО АГРЕГИРОВАНИЯ С УЧЕТОМ УЗЛОВЫХ ПАРАМЕТРОВ (с. 48-56)
Аннотация. Рассмотрен гибридный подход к обнаружению аномалий с учетом параметров конечных узлов сети. Преобразование параметров конечных узлов сети к формату параметров сессии реализовано с использованием перегруппировки и снижения размерности. Для выявления аномалий применены ансамбли классификаторов, на входы которых поступают параметры сессии и параметры узлов сети. Результаты классификации объединены на основе взвешенного агрегирования с порогом тревожности в качестве весового коэффициента. Экспериментальная оценка разработанного подхода показала его преимущества по сравнению с выявлением аномалий без учета параметров узлов.
Ключевые слова: сетевые аномалии; сигнатурный подход; машинное обучение; взвешенное агрегирование; набор CICIDS2017; корпоративные сети; мультиагентные системы.
Sakulin S. A., Alfimtsev A. N., Lomanov A. A., Dobkacz L. Ya., Nedashkovskii V. M. NETWORK ANOMALY DETECTION BASED ON WEIGHTED AGGREGATION TAKING INTO ACCOUNT NODAL PARAMETERS (pp. 48-56)
Abstract. The bulk move of employees to a remote mode of work, as well as the intensified information confrontation, led to the emergence and aggravation of many problems related to security in corporate networks. Cases of attacks on local area networks, in particular, using phishing and social engineering techniques, distribution of malicious code, and DDoS attacks, have become more frequent. To ensure the security of corporate networks, layered protection systems, including intrusion detection systems, firewalls, antivirus protection tools, various system analyzers etc., are increasingly being used. The use of several types of information protection tools not only reduces the load on individual tools, but also facilitates ability to identify actual attacks on the protected system. This article proposes a hybrid approach to anomaly detection, taking into account the parameters of the end nodes of the network. Enriching with values of these parameters makes it possible to detect low-intensity distributed attacks, thereby increasing the accuracy of the defense system. The transformation of parameters of network end nodes to the format of network session parameters is implemented using regrouping and dimensionality reduction. Ensembles of classifiers which inputs receive the session parameters and the parameters of the network nodes respectively, provide determining anomalies. Ensembles are based on logistic regression, stochastic gradient descent and decision trees. Combining of the classification results is accomplished through the weighted aggregation with anxiety threshold as a weighting factor. An experimental evaluation of the developed approach showed its advantages in comparison with the detection of anomalies without taking into account the parameters of the nodes.
Keywords: Network anomaly; Signature approach; Machine learning; Weighted aggregation; CICIDS2017 set; Corporate networks; Multi-agent systems.
С. А. Сакулин, А. Н. Алфимцев (Московский государственный технический университет имени Н. Э. Баумана, Москва, Россия) E-mail:
Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
А. А. Ломанов (ПАО Сбербанк, Москва, Россия) Л. Я. Добкач (АО «Центр эксплуатации объектов космической инфраструктуры», Москва, Россия) В. М. Недашковский (Московский государственный технический университет имени Н. Э. Баумана, Москва, Россия)
S. A. Sakulin, A. N. Alfimtsev (Bauman Moscow State Technical University, Moscow, Russia) E-mail:
Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
A. A. Lomanov ( PSC Sberbank, Moscow, Russia) L. Ya. Dobkacz (JSC “Center for the Operation of Graound Space Infrastructure”, Moscow, Russia) V. M. Nedashkovskii (Bauman Moscow State Technical University, Moscow, Russia)
1. Borkovich D. J., Skovira R. J. Working from Home: Cybersecurity in the Age of COVID-19 // Issues in Information Systems. 2020. V. 21, No 4. P. 234 – 246. 2. Матвеева А. А., Ким Ю. В., Викснин И. И. Методы обеспечения информационной безопасности коммуникационных каналов в мультиагентных робототехнических системах // Научно-технический вестник информационных технологий, механики и оптики. 2019. Т. 19, № 1. С. 102 – 108. 3. Выявление аномалий сетевого трафика с использованием ансамбля классификаторов / С. А. Сакулин, А. Н. Алфимцев, К. Н. Квитченко и др. // Вестник компьютерных информационных технологий. 2020. Т. 17, № 10(196). С. 38 – 46. 4. Оладько В. С., Садовник Е. А. Алгоритм выявления процессов с аномальной активностью // Вестник компьютерных и информационных технологий. 2015. № 8. С. 35 – 39. 5. Evaluating Performance of Supervised Learning Techniques for Developing Real-Time Intrusion Detection System / S. I. Abudalfa, E. S. Isleem, M. J. E. Khalil et al. // International Journal of Engineering and Information Systems (IJEAIS). 2022. V. 6, No. 2. P. 103 – 119. 6. Catch Suspicious Network Traffic – Learning Wazuh [Электронный ресурс]. URL: https://documentation.wazuh.com/current/learning-wazuh/suricata.html (дата обращения: 08.04.2022). 7. Landauer M., Skopik F., Wurzenberger M., Rauber A. Dealing with Security Alert Flooding: Using Machine Learning for Domain-Independent Alert Aggregation // ACM Transactions on Privacy and Security. 2022. V. 25, No. 3. P. 1 – 36. 8. Mandal S., Khan D. A., Jain S. Cloud-Based Zero Trust Access Control Policy: an Approach to Support Work-From-Home Driven by COVID-19 Pandemic // New Generation Computing. 2021. V. 39, No. 3. P. 599 – 622. 9. Vadhil F. A., M. F. Nanne, M. L. Salihi Importance of Machine Learning Techniques to Improve the Open Source Intrusion Detection Systems // Indonesian Journal of Electrical Engineering and Informatics. 2021. V. 9, No. 3. P. 774 – 783. 10. Hulič M., Baláž A., Štancel M. Possibilities of Methods for IDS Testing // 17th International Conference on Emerging eLearning Technologies and Applications (ICETA 2019). IEEE, 2019. P. 257 – 262. 21–22 ноября 2019 г. Starý Smokovec, The Hight Tatras, Slovakia. 11. Security and Privacy Issues in Autonomous Vehicles: A Layer-Based Survey / M. Hataba et al. // IEEE Open Journal of the Communications Society. 2022. 12. Evaluation of a Reputation Management Technique for Autonomous Vehicles / D. Kianersi et al. // Future Internet. 2022. V. 14, No. 2. P. 31 – 52. 13. Reputation and Trust Models with Data Quality Metrics for Improving Autonomous Vehicles Traffic Security and Safety / S. Chuprov et al. // IEEE Systems Security Symposium. 1 July 2020. P. 1 – 8. DOI: 10.1109/SSS47320.2020.9174269
1. Borkovich Borkovich D. J., Skovira R. J. (2020). Working from Home: Cybersecurity in the Age of COVID-19. Issues in Information Systems, Vol. 21, (4), pp. 234 – 246. 2. Matveeva A. A., Kim Yu. V., Viksnin I. I. (2019). Methods for ensuring information security of communication channels in multi-agent robotic systems. Nauchno-tekhnicheskiy vestnik informatsionnyh tekhnologiy, mekhaniki i optiki, Vol. 19, (1), pp. 102 – 108. [in Russian language] 3. Sakulin S. A., Alfimtsev A. N., Kvitchenko K. N. et al. (2020). Network traffic anomalies detection using an ensemble of classifiers. Vestnik komp'yuternyh informatsionnyh tekhnologiy, Vol. 17, 196(10), pp. 38 – 46. [in Russian language] DOI: 10.14489/vkit.2020.10.pp.038-046 4. Olad'ko V. S., Sadovnik E. A. (2015). Algorithms for detection of abnormal activity processes. Vestnik komp'yuternyh informatsionnyh tekhnologiy, (8), pp. 35 – 39. [in Russian language] DOI: 10.14489/vkit.2015.08.pp.035-039 5. Abudalfa S. I., Isleem E. S., Khalil M. J. E. et al. (2022). Evaluating Performance of Supervised Learning Techniques for Developing Real-Time Intrusion Detection System. International Journal of Engineering and Information Systems (IJEAIS), Vol. 6, (2), pp. 103 – 119. 6. Catch Suspicious Network Traffic – Learning Wazuh. Available at: https://documentation.wazuh.com/current/learning-wazuh/suricata.html (Accessed: 08.04.2022). 7. Landauer M., Skopik F., Wurzenberger M., Rauber A. (2022). Dealing with Security Alert Flooding: Using Machine Learning for Domain-Independent Alert Aggregation. ACM Transactions on Privacy and Security, Vol. 25, (3), pp. 1 – 36. 8. Mandal S., Khan D. A., Jain S. (2021). Cloud-Based Zero Trust Access Control Policy: an Approach to Support Work-From-Home Driven by COVID-19 Pandemic. New Generation Computing, Vol. 39, (3), pp. 599 – 622. 9. Vadhil F. A., Nanne M. F., Salihi M. L. (2021). Importance of Machine Learning Techniques to Improve the Open Source Intrusion Detection Systems. Indonesian Journal of Electrical Engineering and Informatics (IJEEI), Vol. 9, (3), pp. 774 – 783. 10. Hulič M., Baláž A., Štancel M. (2019). Possibilities of Methods for IDS Testing. 17th International Conference on Emerging eLearning Technologies and Applications (ICETA 2019). IEEE, pp. 257 – 262. Starý Smokovec. 11. Hataba M. et al. (2022). Security and Privacy Issues in Autonomous Vehicles: A Layer-Based Survey. IEEE Open Journal of the Communications Society. 12. Kianersi D. et al. (2022). Evaluation of a Reputation Management Technique for Autonomous Vehicles. Future Internet, Vol. 14, (2), pp. 31 – 52. 13. Chuprov S. et al. (2020). Reputation and Trust Models with Data Quality Metrics for Improving Autonomous Vehicles Traffic Security and Safety. IEEE Systems Security Symposium (SSS), pp. 1 – 8. DOI: 10.1109/SSS47320.2020.9174269
Статью можно приобрести в электронном виде (PDF формат).
Стоимость статьи 500 руб. (в том числе НДС 20%). После оформления заказа, в течение нескольких дней, на указанный вами e-mail придут счет и квитанция для оплаты в банке.
После поступления денег на счет издательства, вам будет выслан электронный вариант статьи.
Для заказа скопируйте doi статьи:
10.14489/vkit.2022.07.pp.048-056
и заполните форму
Отправляя форму вы даете согласие на обработку персональных данных.
.
This article is available in electronic format (PDF).
The cost of a single article is 500 rubles. (including VAT 20%). After you place an order within a few days, you will receive following documents to your specified e-mail: account on payment and receipt to pay in the bank.
After depositing your payment on our bank account we send you file of the article by e-mail.
To order articles please copy the article doi:
10.14489/vkit.2022.07.pp.048-056
and fill out the form
.
|