Методика обнаружения аномалий и кибератак на основе интеграции методов фрактального анализа и машинного обучения

В современных сетях передачи данных для постоянного мониторинга сетевого трафика и обнаружения в нем аномальной активности, а также идентификации и классификации кибератак, необходимо учитывать большое число факторов и параметров, включая возможные сетевые маршруты, времена задержки данных, потери пакетов и новые свойства трафика, отличающиеся от нормальных. Все это является побудительным мотивом к поиску новых методов и методик обнаружения кибератак и защиты от них сетей передачи данных. В статье рассматривается методика обнаружения аномалий и кибератак, предназначенная для использования в современных сетях передачи данных, которая основывается на интеграции методов фрактального анализа и машинного обучения. Методика ориентирована на выполнение в реальном или близком к реальному масштабе времени и включает несколько этапов: (1) выявления аномалий в сетевом трафике, (2) идентификации в аномалиях кибератак и (3) классификации кибератак. Первый этап реализуется с помощью методов фрактального анализа (оценки самоподобия сетевого трафика), второй и третий – с применением методов машинного обучения, использующих ячейки рекуррентных нейронных сетей с долгой краткосрочной памятью. Рассматриваются вопросы программной реализации предлагаемой методики, включая формирование набора данных, содержащего сетевые пакеты, циркулирующие в сети передачи данных. Представлены результаты экспериментальной оценки предложенной методики, полученные с использованием сформированного набора данных. Результаты экспериментов показали достаточно высокую эффективность предложенной методики и разработанных для нее решений, позволяющих осуществлять раннее обнаружение как известных, так и неизвестных кибератак.