Дата публикации: 2022

Дата публикации в реестре: 2024-03-01T13:28:58Z

Аннотация:

Цели. Своевременное обнаружение сетевой разведки позволяет снизить риски информационной безопасности организаций. Исследование проводилось с целью разработки программного модуля обнаружения признаков сетевой разведки с использованием методов машинного обучения. Методы. Основными методами детектирования признаков сетевой разведки являлись: анализ открытых датасетов соответствующего назначения; формирование метрик, характерных для сетевой разведки; разработка набора данных разведки на основе определенных метрик. Исследовалась эффективность методов машинного обучения для задачи классификации. Результаты. Спроектированы топология и тестовый сегмент в корпоративной сети РУП «Белтелеком» для создания датасета. Для детектирования и анализа событий разработано средство мониторинга, результаты работы которого использовались в качестве основы для нового датасета. Реализация метода дерева принятия решений в виде программного кода позволила увеличить скорость работы модуля приблизительно в два раза (0,147 мс). Практические испытания разработанного модуля по- казали факт сработки на все типы сканирования сетей с помощью утилит Nmap и Masscan. Заключение. Анализ датасета методом главных компонент показал наличие пограничной области между событиями легального трафика и трафика сетевой разведки, что положительно сказалось на обучении модели. Изучены и протестированы наиболее перспективные методы машинного обучения с использованием различных гиперпараметров. Наилучшие результаты показал метод дерева принятия решений с параметрами criterion = gini и splitter = random и скоростью работы 0,333 мс.

Тип: Статья