ДВОКАНАЛЬНА ІНТЕЛЕКТУАЛЬНА МЕРЕЖЕВА СИСТЕМА ВИЯВЛЕННЯ ВТОРГНЕНЬ НА ОСНОВІ ГЛИБОКОГО НАВЧАННЯ

Анотація

У статті запропоновано двоканальну інтелектуальну систему виявлення мережевих вторгнень, що базується на гібридній архітектурі глибокого навчання та механізмі активних приманок. Система розглядає задачу виявлення вторгнень як задачу класифікації з двома незалежними джерелами доказів: підсистемою аналізу мережевого трафіку та підсистемою поведінкових приманок, результати яких агрегуються у єдиний висновок про стан мережі. Підсистема аналізу трафіку реалізована як ансамбль двох паралельних каналів: нейронної мережі CNN+LSTM, що виявляє складні часові залежності у послідовностях мережевих потоків, та алгоритму Random Forest, що забезпечує стабільну класифікацію поодиноких аномалій. Фінальний вектор ймовірностей формується як зважена комбінація виходів обох каналів. Підсистема приманок генерує скалярний сигнал достовірності загрози на основі стану розгорнутих honeypot-агентів у мережі та асиметрично коригує результати класифікатора: спрацювання приманки суттєво підвищує ймовірності класів атак, тоді як її відсутність вносить лише незначний коригуючий вплив. Вхідний простір ознак формується з агрегованих даних мережевих потоків за протоколами NetFlow, sFlow та IPFIX; для відбору найінформативніших атрибутів застосовується метод рекурсивного виключення на базі Random Forest у поєднанні з аналізом кореляції Спірмена. Систему навчено та протестовано на наборі даних CIC-IDS-2017. Отримані результати показали, що пропонована гібридна система досягла точності 99 %, а також показників повноти та точності на рівні 98 %, що перевищує показники ізольованих моделей CNN+LSTM (97 %) та Random Forest (96 %). Встановлено, що інтеграція сигналу підсистеми приманок дозволяє ескалювати приховані загрози, які класифікатор трафіку початково відносить до невизначених, та суттєво знижує кількість хибно негативних спрацювань у випадках цілеспрямованих атак на внутрішні сегменти мережі.