Статья:

ИССЛЕДОВАНИЕ ЭФФЕКТИВНОСТИ АЛГОРИТМОВ МАШИННОГО ОБУЧЕНИЯ БЕЗ УЧИТЕЛЯ ДЛЯ ВЫЯВЛЕНИЯ СЕТЕВЫХ АНОМАЛИЙ В КОРПОРАТИВНОЙ ИНФРАСТРУКТУРЕ

Конференция: CCCXLIX Студенческая международная научно-практическая конференция «Молодежный научный форум»

Секция: Технические науки

Выходные данные
Логунов Ф.С. ИССЛЕДОВАНИЕ ЭФФЕКТИВНОСТИ АЛГОРИТМОВ МАШИННОГО ОБУЧЕНИЯ БЕЗ УЧИТЕЛЯ ДЛЯ ВЫЯВЛЕНИЯ СЕТЕВЫХ АНОМАЛИЙ В КОРПОРАТИВНОЙ ИНФРАСТРУКТУРЕ // Молодежный научный форум: электр. сб. ст. по мат. CCCXLIX междунар. студ. науч.-практ. конф. № 23(349). URL: https://nauchforum.ru/archive/MNF_interdisciplinarity/23(349).pdf (дата обращения: 09.07.2026)
Лауреаты определены. Конференция завершена
Эта статья набрала 0 голосов
Мне нравится
Дипломы
лауреатов
Сертификаты
участников
Дипломы
лауреатов
Сертификаты
участников
на печатьскачать .pdfподелиться

ИССЛЕДОВАНИЕ ЭФФЕКТИВНОСТИ АЛГОРИТМОВ МАШИННОГО ОБУЧЕНИЯ БЕЗ УЧИТЕЛЯ ДЛЯ ВЫЯВЛЕНИЯ СЕТЕВЫХ АНОМАЛИЙ В КОРПОРАТИВНОЙ ИНФРАСТРУКТУРЕ

Логунов Фёдор Сергеевич
студент, Российский Технологический Университет МИРЭА, РФ, г. Москва
Коданев Владимир Леонидович
научный руководитель, канд. техн. наук, доц., Российский Технологический Университет МИРЭА, РФ, г. Москва

 

Аннотация. В статье проводится исследование методов обнаружения сетевых аномалий в условиях отсутствия размеченных данных. Выполнен сравнительный анализ алгоритмов машинного обучения без учителя. Подробно рассмотрен алгоритм Isolation Forest на основе критериев вычислительной сложности и устойчивости к многомерным данным. Описана методология формирования вектора признаков и процедура валидации модели на синтетических атаках.

 

Ключевые слова: информационная безопасность, машинное обучение без учителя, Isolation Forest, обнаружение аномалий, сетевой трафик, Feature Engineering.

 

Введение

Традиционные сигнатурные методы обнаружения вторжений (IDS/IPS) демонстрируют низкую эффективность против целевых атак (APT) и угроз класса Zero-day, имитирующих легитимную сетевую активность. Переход к поведенческому анализу требует применения методов машинного обучения. Однако в реальных корпоративных сетях получение качественно размеченного датасета с четким разделением на «норму» и «атаку» крайне затруднительно. Это обуславливает необходимость исследования и применения методов обучения без учителя, способных выявлять отклонения от базового профиля активности сети без предварительной разметки данных.

Сравнительный анализ методов выявления аномалий

В рамках исследования были рассмотрены три наиболее перспективных подхода к обнаружению аномалий в сетевом трафике:

- One-Class SVM. Алгоритм строит гиперсферу вокруг «нормальных» данных в многомерном пространстве. Хорошо работает на малых выборках, но обладает квадратичной или кубической вычислительной сложностью O(n^2) или O(n^3), что делает его неприменимым для потоковой обработки высокоскоростного сетевого трафика;

- Autoencoders. Нейросетевой подход, обучающийся сжимать и восстанавливать входные данные. Высокая ошибка восстановления указывает на аномалию. Метод способен выявлять сложные нелинейные зависимости, но требует значительных вычислительных ресурсов и больших объемов данных для сходимости;

- Isolation Forest. Алгоритм, основанный на построении ансамбля случайных деревьев решений. Его фундаментальное отличие заключается в том, что аномальные наблюдения «изолируются» на значительно меньшей глубине дерева, чем нормальные данные, что сокращает использование ресурсов системы и сложность алгоритма.

Для задач мониторинга корпоративной сети ключевыми критериями являются скорость обработки и работа с данными высокой размерности. Алгоритм Isolation Forest обладает линейной временной сложностью O(n) и низкими требованиями к памяти, что делает его оптимальным выбором для обработки потоков NetFlow и Syslog в реальном времени без потери производительности.

Методология исследования и формирование признаков

Эффективность модели напрямую зависит от качества конструирования признаков. В ходе исследования был сформирован вектор признаков, наиболее полно описывающий поведенческие паттерны сети и позволяющий детектировать угрозы несанкционированного доступа (УБИ.015) и сетевые атаки (УБИ.048):

- src_ip_entropy. Энтропия исходящих IP-адресов (резкий рост коррелирует со сканированием сети);

- dst_port_count. Количество уникальных портов назначения (индикатор сканирования и поиска точек входа);

- avg_packet_size. Средний размер пакета (отклонения могут указывать на эксфильтрацию данных или туннелирование);

- flow_duration. Длительность сессии (аномально долгие сессии характерны для работы бэкдоров, но данный признак работает исключительно вместе с другими, самостоятельно он имеет слишком большой показатель ложных срабатываний);

- byte_rate. Скорость передачи данных (маркер DoS-атак).

Категориальные признаки кодировались методом One-Hot Encoding, числовые нормализовались методом Min-Max Scaling.

Обучение. Модель обучалась на «чистом» трафике, собранном в течение 14 дней в штатном режиме работы сети, для формирования профиля нормальности.

Тестирование. В изолированной лабораторной зоне генерировались синтетические атаки: сканирование портов, имитация утечки данных по нестандартным портам и Brute-force атаки.

Оценка. Эффективность оценивалась по метрикам точности, полноте и гармоническому среднему F1-score. Целевым показателем исследования было достижение F1-score > 0.84 при уровне ложных срабатываний не более 5%.

Практическая валидация и интеграция.

Для подтверждения теоретических выводов был разработан программный прототип на языке Python с использованием библиотеки scikit-learn. Прототип реализует конвейер обработки: прием данных (NetFlow v9/Syslog), препроцессинг, вычисление индекса аномальности (Anomaly Score) и визуализацию.

Система успешно прошла испытания, продемонстрировав способность детектировать заданные векторы атак. Для обеспечения проактивной защиты прототип интегрирован в инфраструктуру безопасности: при достижении критического порога аномальности (Score > 0.9) система инициирует API-запрос к межсетевому экрану (NGFW) для временной блокировки источника и дублирует событие формата CEF в SIEM-систему для корреляции.

Заключение

Проведенное исследование показало, что алгоритм Isolation Forest является наиболее сбалансированным решением для задач интеллектуального мониторинга корпоративных сетей в условиях отсутствия размеченных данных. Он обеспечивает высокую скорость обработки многомерных сетевых метрик и достоверное выявление поведенческих аномалий. Внедрение данного подхода позволяет перейти от реактивной модели безопасности к проактивной, существенно сокращая время обнаружения инцидентов (MTTD) и снижая нагрузку на аналитиков информационной безопасности.

 

Список литературы:
1. Методический документ ФСТЭК России от 05.02.2021 «Методика оценки угроз безопасности информации».
2. ГОСТ Р 59547-2021. Защита информации. Мониторинг информационной безопасности. Общие положения.
3. Liu F. T., Ting K. M., Zhou Z.-H. Isolation Forest // 2008 Eighth IEEE International Conference on Data Mining. – IEEE, 2008. – P. 413–422.
4. Расулзаде Т. М. Машинное обучение в задачах информационной безопасности: учебное пособие. – СПб.: Лань, 2022. – 184 с.