Например, Бобцов

Применение бэггинга при поиске аномалий сетевого трафика

Аннотация:

Предмет исследования. Рассмотрены подходы к решению задачи выявления аномальных ситуаций в информационно-телекоммуникационных системах, на основе методов искусственного интеллекта, анализирующих статистическую информацию пакетов трафика в различных режимах и состояниях. Метод. Представленный метод выявления аномальной ситуации основан на обработке полученных кортежей значений пакетов сетевого трафика путем применения бэггинга алгоритмов классификации машинного обучения. Сетевой трафик рассматривается как множество кортежей параметров пакетов, распределенных по дискретам времени. В отличие от существующих, метод не требует специальной подготовки данных, получаемые ошибки при классификации кортежей значений пакетов отдельными алгоритмами классификации усредняются их «коллективным» голосованием. Предложенное решение с целью повышения показателя точности дает возможность использовать оптимизированные для разных видов событий и аномалий алгоритмы классификации, обученные на различных обучающих выборках, представленных в виде кортежей параметров сетевых пакетов. Различность алгоритмов достигается внесением дисбаланса в обучающие выборки. Основные результаты. Приведено описание эксперимента с использованием алгоритмов классификации машинного обучения Naïve Bayes, Hoeffding Tree, J48, Random Forest, Random Tree и REP Tree. Оценка выполнена на открытом датасете NSL-KDD при поиске паразитного трафика. Получены результаты оценки для каждого классификатора по отдельности и с применением бэггинга классифицирующих алгоритмов. Практическая значимость. Метод может быть применен в системах мониторинга информационной безопасности при анализе сетевого трафика. Особенностью предлагаемого решения является возможность его масштабирования и комбинирования путем добавления новых алгоритмов классификации машинного обучения. В дальнейшем в ходе функционирования возможно вносить изменения в состав алгоритмов классификации, что позволит улучшить показатели точности идентификации потенциального деструктивного воздействия.

Ключевые слова:

Статьи в номере