ОСОБЛИВОСТІ ПРОЄКТУВАННЯ ТА ДОСЛІДЖЕННЯ СИСТЕМИ ВИЯВЛЕННЯ ВТОРГНЕНЬ НА ОСНОВІ СОНІФІКАЦІЇ МЕРЕЖЕВОГО ТРАФІКУ

Анотація

У роботі досліджено особливості проєктування системи виявлення вторгнень (IDS) на основі частотно-часового представлення мережевого трафіку. Актуальність дослідження зумовлена зростанням складності комп’ютерних атак та обмеженнями традиційних векторних підходів до представлення ознак, що ускладнюють виявлення складних аномалій і призводять до підвищеного рівня помилкових рішень.

Запропоновано підхід до перетворення багатовимірного вектора мережевих ознак у дискретний PCM-сигнал із подальшим застосуванням короткочасного перетворення Фур’є для формування спектрограм, які аналізуються за допомогою двовимірної згорткової нейронної мережі. Такий підхід забезпечує структуроване 2D-подання трафіку та підвищує інформативність вхідних даних для задачі класифікації атак.

З метою зменшення впливу дисбалансу класів розроблено сигнатурозбережний адаптивний метод балансування навчальної вибірки, що враховує помилки базової моделі під час формування розширеної множини даних. Додатково формалізовано τ-інтервал невизначеності прогнозу та реалізовано каскадний механізм прийняття рішень із використанням допоміжного класифікатора для перевизначення результатів у критичній зоні. Окрему увагу приділено забезпеченню принципу незалежності тестової вибірки з метою запобігання витоку даних та коректної оцінки узагальнювальної здатності моделі.

Експериментальне дослідження підтвердило доцільність використання частотно-часового представлення трафіку та запропонованих механізмів підвищення точності, що дозволило зменшити рівень хибнонегативних рішень та підвищити стабільність класифікації в умовах дисбалансу класів.