Детектирование признаков сетевой разведки с использованием модели дерева решений

Шараев, Н. П.; Петров, С. Н.

Please use this identifier to cite or link to this item: https://libeldoc.bsuir.by/handle/123456789/47168

Title:	Детектирование признаков сетевой разведки с использованием модели дерева решений
Other Titles:	Detection of network intelligence features with the decision tree model
Authors:	Шараев, Н. П. Петров, С. Н.
Keywords:	публикации ученых;сетевая разведка;сетевой трафик;машинное обучение;датасеты;network intelligence;network traffic;machine learning;datasets
Issue Date:	2022
Publisher:	Объединенный институт проблем информатики Национальной академии наук Беларуси
Citation:	Шараев, Н. П. Детектирование признаков сетевой разведки с использованием модели дерева решений / Н. П. Шараев, С. Н. Петров // Информатика. – 2022. – Т. 19, № 1. – С. 19–31. – DOI : https://doi.org/10.37661/1816-0301-2022-19-1-19-31.
Abstract:	Цели. Своевременное обнаружение сетевой разведки позволяет снизить риски информационной безопасности организаций. Исследование проводилось с целью разработки программного модуля обнаружения признаков сетевой разведки с использованием методов машинного обучения. Методы. Основными методами детектирования признаков сетевой разведки являлись: анализ открытых датасетов соответствующего назначения; формирование метрик, характерных для сетевой разведки; разработка набора данных разведки на основе определенных метрик. Исследовалась эффективность методов машинного обучения для задачи классификации. Результаты. Спроектированы топология и тестовый сегмент в корпоративной сети РУП «Белтелеком» для создания датасета. Для детектирования и анализа событий разработано средство мониторинга, результаты работы которого использовались в качестве основы для нового датасета. Реализация метода дерева принятия решений в виде программного кода позволила увеличить скорость работы модуля приблизительно в два раза (0,147 мс). Практические испытания разработанного модуля по- казали факт сработки на все типы сканирования сетей с помощью утилит Nmap и Masscan. Заключение. Анализ датасета методом главных компонент показал наличие пограничной области между событиями легального трафика и трафика сетевой разведки, что положительно сказалось на обучении модели. Изучены и протестированы наиболее перспективные методы машинного обучения с использованием различных гиперпараметров. Наилучшие результаты показал метод дерева принятия решений с параметрами criterion = gini и splitter = random и скоростью работы 0,333 мс.
Alternative abstract:	Objectives. Early detection of network intelligence allows to reduce the risks of information security of organizations. The study was carried out to develop software module for detecting the eatures of network intelligence by machine learning methods. Methods. Analysis of open datasets of appropriate destination; formation of metrics characteristic of network intelligence; development of a dataset based on certain metrics; study of the effectiveness of machine learning methods for classification task. Results. The topology was designed and a test segment was created in the corporate network of RUE "Beltelecom" to create a dataset. A monitoring tool has been developed for detecting and analyzing the events, the results of which were used as the basis for a new dataset. The implementation of the decision tree method in the form of program code allowed to increase the speed of the module by about 2 times (0,147 ms). Practical tests of the developed module have shown the alarm on all types of network scanning using Nmap and Masscan utilities. Conclusion.The analysis of the dataset by principal component method showed the presence of a border area between the events of legal traffic and network intelligence traffic, which had a positive effect on the training of the model. The most promising machine learning methods have been studied and tested using various hyperparameters. The best results were shown by the decision tree method with the parameters criterion = gini and splitter = random and speed as 0,333 ms.
URI:	https://libeldoc.bsuir.by/handle/123456789/47168
Appears in Collections:	Публикации в изданиях Республики Беларусь

Files in This Item:

File	Description	Size	Format
Petrov_Detektirovaniye.pdf		686.97 kB	Adobe PDF	View/Open

Show full item record Google Scholar