ИССЛЕДОВАНИЕ ЭФФЕКТИВНОСТИ АЛГОРИТМОВ МАШИННОГО ОБУЧЕНИЯ БЕЗ УЧИТЕЛЯ ДЛЯ ВЫЯВЛЕНИЯ СЕТЕВЫХ АНОМАЛИЙ В КОРПОРАТИВНОЙ ИНФРАСТРУКТУРЕ
Конференция: CCCXLIX Студенческая международная научно-практическая конференция «Молодежный научный форум»
Секция: Технические науки

CCCXLIX Студенческая международная научно-практическая конференция «Молодежный научный форум»
ИССЛЕДОВАНИЕ ЭФФЕКТИВНОСТИ АЛГОРИТМОВ МАШИННОГО ОБУЧЕНИЯ БЕЗ УЧИТЕЛЯ ДЛЯ ВЫЯВЛЕНИЯ СЕТЕВЫХ АНОМАЛИЙ В КОРПОРАТИВНОЙ ИНФРАСТРУКТУРЕ
Аннотация. В статье проводится исследование методов обнаружения сетевых аномалий в условиях отсутствия размеченных данных. Выполнен сравнительный анализ алгоритмов машинного обучения без учителя. Подробно рассмотрен алгоритм Isolation Forest на основе критериев вычислительной сложности и устойчивости к многомерным данным. Описана методология формирования вектора признаков и процедура валидации модели на синтетических атаках.
Ключевые слова: информационная безопасность, машинное обучение без учителя, Isolation Forest, обнаружение аномалий, сетевой трафик, Feature Engineering.
Введение
Традиционные сигнатурные методы обнаружения вторжений (IDS/IPS) демонстрируют низкую эффективность против целевых атак (APT) и угроз класса Zero-day, имитирующих легитимную сетевую активность. Переход к поведенческому анализу требует применения методов машинного обучения. Однако в реальных корпоративных сетях получение качественно размеченного датасета с четким разделением на «норму» и «атаку» крайне затруднительно. Это обуславливает необходимость исследования и применения методов обучения без учителя, способных выявлять отклонения от базового профиля активности сети без предварительной разметки данных.
Сравнительный анализ методов выявления аномалий
В рамках исследования были рассмотрены три наиболее перспективных подхода к обнаружению аномалий в сетевом трафике:
- One-Class SVM. Алгоритм строит гиперсферу вокруг «нормальных» данных в многомерном пространстве. Хорошо работает на малых выборках, но обладает квадратичной или кубической вычислительной сложностью O(n^2) или O(n^3), что делает его неприменимым для потоковой обработки высокоскоростного сетевого трафика;
- Autoencoders. Нейросетевой подход, обучающийся сжимать и восстанавливать входные данные. Высокая ошибка восстановления указывает на аномалию. Метод способен выявлять сложные нелинейные зависимости, но требует значительных вычислительных ресурсов и больших объемов данных для сходимости;
- Isolation Forest. Алгоритм, основанный на построении ансамбля случайных деревьев решений. Его фундаментальное отличие заключается в том, что аномальные наблюдения «изолируются» на значительно меньшей глубине дерева, чем нормальные данные, что сокращает использование ресурсов системы и сложность алгоритма.
Для задач мониторинга корпоративной сети ключевыми критериями являются скорость обработки и работа с данными высокой размерности. Алгоритм Isolation Forest обладает линейной временной сложностью O(n) и низкими требованиями к памяти, что делает его оптимальным выбором для обработки потоков NetFlow и Syslog в реальном времени без потери производительности.
Методология исследования и формирование признаков
Эффективность модели напрямую зависит от качества конструирования признаков. В ходе исследования был сформирован вектор признаков, наиболее полно описывающий поведенческие паттерны сети и позволяющий детектировать угрозы несанкционированного доступа (УБИ.015) и сетевые атаки (УБИ.048):
- src_ip_entropy. Энтропия исходящих IP-адресов (резкий рост коррелирует со сканированием сети);
- dst_port_count. Количество уникальных портов назначения (индикатор сканирования и поиска точек входа);
- avg_packet_size. Средний размер пакета (отклонения могут указывать на эксфильтрацию данных или туннелирование);
- flow_duration. Длительность сессии (аномально долгие сессии характерны для работы бэкдоров, но данный признак работает исключительно вместе с другими, самостоятельно он имеет слишком большой показатель ложных срабатываний);
- byte_rate. Скорость передачи данных (маркер DoS-атак).
Категориальные признаки кодировались методом One-Hot Encoding, числовые нормализовались методом Min-Max Scaling.
Обучение. Модель обучалась на «чистом» трафике, собранном в течение 14 дней в штатном режиме работы сети, для формирования профиля нормальности.
Тестирование. В изолированной лабораторной зоне генерировались синтетические атаки: сканирование портов, имитация утечки данных по нестандартным портам и Brute-force атаки.
Оценка. Эффективность оценивалась по метрикам точности, полноте и гармоническому среднему F1-score. Целевым показателем исследования было достижение F1-score > 0.84 при уровне ложных срабатываний не более 5%.
Практическая валидация и интеграция.
Для подтверждения теоретических выводов был разработан программный прототип на языке Python с использованием библиотеки scikit-learn. Прототип реализует конвейер обработки: прием данных (NetFlow v9/Syslog), препроцессинг, вычисление индекса аномальности (Anomaly Score) и визуализацию.
Система успешно прошла испытания, продемонстрировав способность детектировать заданные векторы атак. Для обеспечения проактивной защиты прототип интегрирован в инфраструктуру безопасности: при достижении критического порога аномальности (Score > 0.9) система инициирует API-запрос к межсетевому экрану (NGFW) для временной блокировки источника и дублирует событие формата CEF в SIEM-систему для корреляции.
Заключение
Проведенное исследование показало, что алгоритм Isolation Forest является наиболее сбалансированным решением для задач интеллектуального мониторинга корпоративных сетей в условиях отсутствия размеченных данных. Он обеспечивает высокую скорость обработки многомерных сетевых метрик и достоверное выявление поведенческих аномалий. Внедрение данного подхода позволяет перейти от реактивной модели безопасности к проактивной, существенно сокращая время обнаружения инцидентов (MTTD) и снижая нагрузку на аналитиков информационной безопасности.





