ЗАСТОСУВАННЯ МЕТОДУ KNN З ОЗНАКОВИМ ЗБАГАЧЕННЯМ ДЛЯ ВИЯВЛЕННЯ ІН'ЄКЦІЙ

Анотація

У статті досліджено розширене застосування алгоритму k-найближчих сусідів (KNN) для виявлення ін'єкційних атак у веб-запитах: SQL-ін'єкцій, XSS і командних ін'єкцій. Запропоновано цілісний конвеєр: попередня обробка HTTP-параметрів, символьне й токенне подання запитів, обчислення статистичних і доменно-орієнтованих ознак, формування компактного набору з семи числових ознак та їх поєднання з базовими представленнями. Досліджено вплив метрик і стратегій вагування, і налаштування k, нормалізації та балансування класів.

Експериментальна частина охоплює три публічні набори даних і стратифіковану крос-перевірку. Якість оцінено за показниками accuracy, precision, recall, F1 та ROC-AUC; виконано абляційні експерименти. Результати підтверджують, що базова конфігурація KNN забезпечує конкурентну ефективність для SQLi за низької обчислювальної вартості; розширення ознак стабільно підвищує точність і F1, зменшує хибнопозитивні спрацювання та покращує узагальнення між наборами даних. Перевагою підходу є інтерпретованість через аналіз найближчих сусідів і вагомих ознак, що полегшує аудит безпеки та пояснення практичних рішень.

Практична цінність полягає у простоті впровадження в IDS/WAF, прозорості рішень, детермінованості поведінки та сумісності з потоковою обробкою. Надано рекомендації щодо вибору k, нормалізації, метрик відстані й балансування класів. Зроблено висновок, що поєднання легкообчислюваних ознак і ретельно підібраних гіперпараметрів робить KNN ефективною та пояснюваною основою для виявлення ін'єкцій, придатною для інтеграції як легковаговий модуль і як еталон для подальших гібридних рішень.