МЕТОДИКА ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ АТАК С ПОМОЩЬЮ ФРАКТАЛЬНОГО АНАЛИЗА И МЕТОДОВ МАШИННОГО ОБУЧЕНИЯ Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 621.37.39

DOI: 10.24412/2071-6168-2022-5-166-178

МЕТОДИКА ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ АТАК С ПОМОЩЬЮ ФРАКТАЛЬНОГО АНАЛИЗА И МЕТОДОВ МАШИННОГО ОБУЧЕНИЯ

А.М. Крибель, Р.А. Перов, О.С. Лаута, В.Б. Сычужников

В статье рассмотрена методика выявления компьютерных атак для стационарного и нестационарного трафика. Проведен анализ алгоритмов машинного обучения для выявления аномалий, вызванных компьютерными атаками. Также вычислено минимальное количество пакетов для определения точности данной методики.

Ключевые слова: Аномалии, компьютерные атаки, сеть передачи данных, метод машинного обучения, стационарный временной ряд, самоподобие.

С каждым годом увеличивается число компьютерных атак, направленных на крупные частные компании, государственные организации и критически важные информационные объекты, что может привести к выводу из строя злоумышленниками систем, поддерживающих жизнеобеспечение человечества и возникновению глобальных техногенных катастроф.

Компьютерные атаки представляют собой сложное комплексное воздействие на сеть, в результате которого осуществляется их компрометация киберресурсов и нарушается управление процессами в сети передачи данных. Зачастую этому предшествует долгая и кропотливая работа: компьютерная техническая разведка, поиск характерных уязвимостей и захват информационных активов. Воздействие компьютерных атак возможно за счет использования технологий сбора информации, малоэффективных механизмов защиты, эксплуатации устаревших сетевых служб, протоколов и операционных систем.

Основная часть. С целью обнаружения аномалий в сетевом трафике в условиях компьютерных атак (КА) разработана методика (рис. 1), позволяющий обнаруживать компьютерные атаки, прогнозировать и обнаруживать компьютерные атаки с минимальным количеством ложных срабатываний благодаря применению методов фрактального анализа для нестационарного и методов машинного обучения для стационарного сетевых трафиков [1].

Методика включает в себя следующие этапы:

сбор сетевого трафика;

проверка на стационарность;

подготовка исходных данных;

фрактальный анализ для нестационарного сетевого трафика;

машинное обучение для стационарного сетевого трафика.

Обнаружение аномалий в нестационарном трафике с помощью фрактального анализа. Для выявления аномалий в нестационарном трафике, применяется фрактальный анализ, который главным образом базируется на вычислении и оценки показателя Херста.

Для оценки аномальности предложено использовать не полезное содержимое пакетов, а взять за основу предложение Унтерова Д.С. [2] о том, что информации из заголовков пакетов будет достаточно. В качестве такой информации будем использовать количественные значения передаваемых флагов (меток, указывающих на тип пакета). Анализ [3] также показывает, что для выявления аномального поведения в трафике, достаточно анализировать его основные параметры и нет необходимости изучать содержимое каждого пакета. Примерами аномалий, обнаруженных на основе анализа телеметрии трафика, является внезапное увеличение интенсивности трафика от рабочей станции или изменение структуры в сравнении с обычными ежедневными показателями для данной сети устройства.

Рис. 1. Общая структура и взаимосвязь этапов метода

На рис. 2 представлена блок-схема метода обнаружения аномальной активности в нестационарном сетевом трафике сети передачи данных (СПД).

Рис. 2. Блок-схема обнаружения аномалий в нестационарном трафике

167

Сетевой поток делится на группы и рассчитывается показатель Херста для каждой из групп. Сетевые пакеты помечаются аномальными в том случае, когда нарушается свойство самоподобия в исследуемой группе.

Для проверки эффективности предложенного подхода, сперва он был протестирован на легитимном сетевом трафике (рис. 3).

шшяяш

о 1о го м « 5о so

Time

Time

login)

Рис. 3. Вычисление Hметодом фрактального анализа легитимного UDP трафика.

Разбиение 10000 точек на 20 групп

Синей прямой линией обозначен порог, соответствующий границе белого шума (Hurst = 0,5). Точки на втором графике соответствуют номерам групп пакетов (всего 30 точек). Точки на третьем соответствуют scales (всего 12 точек). Количество scales влияет на точность и на длительность работы алгоритма. Чем больше количество scales, тем выше точность, и, наоборот, меньше длительность его работы.

Как видно из рис. 4, мера фрактальности для всех групп пакетов полностью лежит выше отметки 0.5. Это указывает на наличие самоподобных свойств у каждой группы. Кроме того, на третьем графике (логарифмической регрессии) отражен параметр Херста для всего DataFrame, который подтверждает наличие фрактальных свойств и повторяющихся процессов.

Далее проводилось тестирование аномального сетевого трафика, полученного во время проведения DoS атаки и компьютерно-технической разведки. При этом преследовалась цель подбора максимального числа групп разбиения, при котором оцениваемый параметр H будет вычисляться с высокой точностью.

168

Time

» — —г— —— —— 1 —— г | —|

2 3 4 3 6 7 8 9

1од(п)

Рис. 4. Вычисление Нметодом фрактального анализа аномального иБР трафика.

Разбиение 10000 точек на 20 групп

Из рис. 4 видно, что свойство самоподобия нарушается, т.к показатель Херста, на каждом из интервалов, меньше порогового значения 0.5. Это свидетельствует о нарушении фрактальной структуры трафика и наличии в нем аномалий. Следовательно, предлагаемый подход способен обнаруживать аномалии в интервалах (группах), состоящих из 500 сетевых пакетов.

Увеличив количество групп до 30, сокращается временной интервал без потери точности обнаружения аномальной активности в сети (рис. 5).

При анализе 40 групп, каждая из которых состоит из 250 сетевых пакетов, наблюдается проявление свойств самоподобия на некоторых участках (рис. 6).

Такое поведение указывает на ухудшение точности из-за малой выборки сетевых пакетов. Следовательно, такое разбиение является неприемлемым. В качестве оптимального разбиения следует считать предыдущее разбиение, состоящее из 250 сетевых пакетов на интервал. Такое количество пакетов обрабатывается за 0.00125 с, что является существенным достоинством данного подхода.

Обнаружение аномалий в стационарном сетевом трафике с помощью методов машинного обучения. Существует множество способов, которые позволяют определить аномалии [4]. На рис. 7-9 продемонстрирована работа наиболее популярных алгоритмов машинного обучения, протестированных на временных рядах, сгенерированных с помощью модели авторегрессионного интегрированного скользящего среднего.

169

t 125 -

а 50-

4.6258

Time

login)

Рис. 5. Вычисление Нметодом фрактального анализа аномального иВР трафика

Разбиение 10000 точек на 30 групп

ш 100 ш

г

4.6258

Time

log(n)

Рис. 6. Вычисление Нметодом фрактального анализа аномального иВР трафика.

Разбиение 10000 точек на 40 групп 170

*&'%+*)&(%&$('*&#&%$*)+%(&&%%*&)'%%

4 inamj ! Ua^ fjyiM

Time series and detected changes (thresholds drift = 0 02) N changes = 2

Рис. 7. Кумулятивные суммы

Novelty Detection

— tamed frontier

О training observations

t new regular observations

О г«« abnormal observations

-2 ■

-I 0 !

«таг train il/200 . errors novel regular 6У40. errors novel abnormal 2/40

Рис. 8. Метод опорных векторов 171

XI

1/Л

ЖЮТ 813.0! »1111 »14 01 »№»3 »1101 »[И! »16 И ЗШ1 »11«!

Рис. 9. Изолированный лес

Как видно из рисунков, алгоритмы отлично справляются с обнаружением аномальных выбросов. В таком случае, аномалия проявляется в виде нестационарности некоторых наблюдаемых временных рядов. Это не только мгновенные скачки амплитуды измерений, но и медленные тренды, практически невидимые за время наблюдений. Однако, при тестировании вышеуказанных алгоритмов на реальном сетевом трафике, оказалось, что не всегда выбросы являются аномальными.

На рис. 10-13 изображены протоколы сетевого трафика. Аномальные пакеты помечены красными точками, а легитимные пакеты - зелеными. Как видно из рисунков многие всплески являются легитимными, а отсутствующие всплески - аномальные.

Поэтому остро стоит вопрос по своевременному обнаружению всплесков трафика в СПД, выделению из них аномальных, а также классификации выявленных аномалий с целью прогнозирования факта воздействия КА и выработке эффективных мероприятий противодействия.

5000 «00 3000

ш

Й тл

3000 1000 о

51055

1 |1| .

00 00 05 33 20 11:06:40 1640 22 13 20

Типе (е)

Рис. 10. Отправленные пакеты повторно переданы или отброшены

172

Я Ит

Рис. 11. Количество подключений к серверу

Л 'Лл1г: №

Рис. 12. Состояние параметров ¡ср заголовка за время жизни 1р пакета

|[ТР {с)

Рис. 13. скорость передачи пакетов ЬШсек 173

Обнаружение аномалий с помощью классификаторов. Чтобы оценить эффективности популярных классификаторов, формируется новый датасет содержащий коррелируемые параметры с аномальными запросами. Для этого строится матрица корреляции.

о1боо2юоз®оо5»03141го09боз»ооэ»1мооб» 03401 оо4воо7эоо2Ю2э о г* о 15 019 02002« о 26 о ом 4.14.02« 0220 » о и -о 31 «л -о 35 4 з 4 054 04®оз5 4Э5 4 7&оо9воз9

11D ИКНИ 09-0 0760 М ГО 2* 01? ОМ 0 15 015 017 QOS4OO440O45OO610O75O 0670 0130 0910 044000600764 08® 0940 0730 МЯ C6J0 07» 01М 01ЫЗ 01М 08» 09»О2» 001 02 4О6«<»]ОО55ОО*«07-^Н 02 4 О L® 00 30 002» 01 О11О(»4вОВ60ШО0»ОО41) 01601» 0140006»0864 05»07« 04И 05» 0550 062 0 01 D ОВ СОМ* (М» OS® 01® 02< 083О 1600360054013 019^Вй 01® OOW003«034014 Oil Oil 015 4 00»014ОСЮ«О17 0*4 07 7 0 36-0 0634 174 05» С6» 06® 07500120 0130 0210 05» 06» 01® об; ooi-oojmoiboo5oois oo Мй8оо14оо»созвс4юо290оз1оо4и101?оо11ое22 02® ооюмяянпмюлоол от» 0210 024 02* (ит«тоо44 0224.0» о<м»о21

00484.11 D01340J1 01 00 itffl О® №7ЭСО$В02ЭД09Ю06®06100ВБ0 0130 01в007Ю O3Ill.J®O039O l§-OO34O 0734 Oifl 03» 0390044 006в 006S 02И 03X] 034 004) 03! 0.12-0 120 06Ю 09» OJSO Oi^J - фф 14 4) 040 06» 06® 0530 0630 Ml4 S3 О 43 -0 43 -0 55-0 27 -0 23 4).27-0.11 О 260 09® ОЗЗЮ? 04 Oil 0 35 ЮТ OX -О 05-005 -0 11*33 0 37-0 059033

"Зав, т

? 094 ООО» 0914 1ЫЮ1М ДДО'ЗЗЗО 25 О J94 DM 14 -О НО 0Qt20 014 08*0 17 4 31 О 3 4 4 401Ю01Ю 014С 31)4 53О 124 05SO.11 А5С 327 029 :" !•! -009-009-0 17 02* О J О 19

■ 017 011 016000541} 413О за О 35 4.36О 3600520051021 4.4 4.454.08»0<

031 0O9OO5®O36QOSOOUO45&e»V429 414OO4IO023407QO91O14 011Щ;''■:. ••ljggO'J 055Щ017 Oil 01H00540 444234334.35 4 36О КО0520051021 0.4 4.454.007009: 1003»07®04®05®01»03^| 025 О - 0930 0260 0440430 03*00*0 0530 244204 20436-0 li-0 15 4,17 025 4 174.0630015016 023 009 ОНООвЗО№403300330073Oil 0164030012

0.11404)00740 130006401 414 О 394 14449^Лк9» 124 01Л.0240 02®011022 0» 0.1» 013 412 41 4.124.0*^Цо 63Л)0264.0$*4 114074.114 124 134419001»0*100660 OS®.02S0 28 D«i»74^Hci Щз0154.044038006»02вОСИ иг 4P>3J1007 0 05 0 0530071002100140 026 0 21 ОО1вОООв0в1вОО*О.О7»ОЗ» Q3».03».03« 0058005t 004».0334 0® ООТвООб

9034017 0 2 ffij JO.14 0 022 4 04 012 0 0 ^Д' 01J007В005»011011 00650081 011000«01*«ИД t,j-iCM00Д6«Т404»0Э40.0т<Ы74.05405810070СЮ70021-0 ЫЗО 0460.013004<

01 008401»01 »005400140660 184 07(0 0430 0» ООвС 01 ЩЯ ИЗ 008 004 41 40770 07»099004403400410 04® 05» 01»00400080073005» 0530 04(00554 0140140170 06® 01

>048 0150 00Л СО Д СОМ »7« 054 00610910 0340 ОЗв ООО4Я07® 131 >073 8 154 ООЯ СО» C4X700SS 062003 014 4 040 03в004в0051)0в| »031 0 17 0 01 О 0>в 0Q3B 0390 0830 084 0114 0530 03BOO7D031 004 |

D .14

D

023 0 084011 0 14 0 0410083 0 53 4 37П

¿022 0 07 011 4 ] 006 ОН 014

0.14 О0440QS40 11 О02»О6*4 414 11^^2841в 0 OS О 085О О? »0550089012

015 0 0450 086О 110ОЗЗО061 -0 43 О 3 4 73 016 0 053008® 07»О49ОМ7О11 Щ! Off ^Жто

019 0 061012 О 15 0 0430 ш о 4S О 4 ВЯ 4 It. 0230 0?! 0114 099)061 С 11 014^4

02В О 07S 009Q. ООП 0174.0130 274 01^^4 17 4 120 02D 009S.04D076 О II 0063{ДО 038 033 0«в

О26 О06В004J)01Ш01W015-0 15 4,1 00140 01» 0341066 01 005303» 0 32 033 041

а26007»01вСООвЮ2»»7® 2'«tuJH-O 17 4 12002« 004В 0410075 0113«.!,О44 018 OAS 048

О 06 0 05500490 06Э00760 0660 07Ю 007S 01« ОСИ 0034 0440 01» 0390 0314 ОМ 014 00» «ЛИ 0274 0430 04S0 014 03J 01100990082011 011 01 0 114 ООвв 01В004« ОО2вО+»07» 04® 03® 03«040001*00110580 04® 04®.0130021 014 013 011 014 006» 05300654 0I0014 0063001W 07» Ов» 05® 05® «70 О6ДО40О 0480 0050 0660 07® 0t® 071

- ~> j 46 014 041; 017 004 -О 464 364 394.43 4 46 4 4J008700860 If 4 41 4 47 4 11 441 ^Л ■ 3d 012 О ЗА 012 031 011 О 03 -С 17 4 41 4 11 4.12 4 14 41500720072 О 16 4.314 1Й4.0824 2в

1В 0 33 03« 012 033 014 003 4 37441 431432 4 344 35006® 063 016 4 33 4 Э74,0в24 28 Щ ■ 016 0*1! О 1? 0042-С 4в 4 54 4 4 4 42 4 44 О 41 009 О 09 02 О 42 О 46 4 11 4 17

Щ 014.006В06» 00730 260.006» 23 4.21 4Л 42Ю007» 0070ОМ 4 25 4.274.0514 15 0 39 037 0 33 04 . ^^^Я Hoai54 О1»04»00030 720007 4 2 418 4 1В4 180 0079O02Q0784 214 234 0440 15 •3 4« 018 015 IH 0 1 0004С07В 00470 274 0214 214.214J14 2100110012 01 4 2S 4.2U.0S14 12

Q26007® 010000002X 007® 24 12002« 044В 04»0750110061.04« 018 ^^ 0 1 0004407В 004W2J40214 214.21 4J14 21001М012 01 4 2S4.2M.0S14 12

1093009101900120214 0314 1100011017 0254 №40214 02®.04в 0070 0084 018014 012 012 016 0 1 0085 01 v 02200174 144.075414414 4 17 4 124 02® 02* 00880 144.150 04® 061

-01G0440U 344 СОЭЯЗВ 4 26 0 5 3 011 -О 1 Г С-016 О 38-3 05I1.0L» 011014 041 033033 С 410 -ЗОМ ОН 034« М■ ^Яо13 02J -01 4 41 4 17 4 2 4 21-0 J40 01»0l70li 4.1В 4 2 4.05421 ) 02®00«006»028ОООЯ02900960 12 0164 063003ВООО®0260 01*ООМ004В 063017 013 014 017 0 06500470 0750022 013 ^Я007 4 11409«07» 07® 07»08® 01«016^354 004011401® 02< 3 02200760 OSbOJiCi col703В4 02® 05900543 01® 02в 00181114 004Й0016 002В 0110 04 0 01 001 004» 00» 008^0044.017021 00: Щ 0290 0»41» 01®.О1940® 00м001«0674 01® 02« 0044 0К 0 264 авю 05® 0634 0*4 034037 oil О ¿4 0 !«4 №44 0*4 D4M ОМ 04« НШ 07М 46 4 3 7 J3 37 4 «В «764 «4 27 4 14 4 2 4 1340 Q ^И^ДЦЦо 06Ю .. ЦД 4 08 □ 2» 014 0 0940 07441»007» 07.ОДНв О П 021 4 3i4.&2».OM>0720 013002»0854344.41 441 4 f.® 00680070 02®.0750 414<Ж0.03вй.Э1^Ш 324 0 24 026 03C4 0G60 0664 I 024 0110064 032

a_i»tjim а_чх_а рол«™

4 314 07»Of®05»022403031 022 4 38 009 4 074 03»,03®05® 0390 04®0590 39431 4 31 44 423 47 4 234 14 4 174 07300: 2iU

4 124 08Д 04» 06» 02® 01S0 IS 4M415 4U1 4.114.01® 04».OS® 0110 ОНО М94 414.12 4.324424214 18 4.214 14 42407ЙС. РЯс jiF 4 354 08» 05» 0674 05 4 ; 5)037 О 32 О I-6 0 083 0 124 0320 054 0484 034 03» 057<i 46 4 34 4 34 4 44 4 214 18 4.314 17 4 2¡4 07®.fl: И

4 1 407»062007» 02® 044036 034 416 0 16 4 114 01® OS® OS® 01Ю04)0.0674 424 154.154454114 18 4.214 124 244 08441 В

15 02® 02HJ07: 904» 04» 07! 4 04 4 044 07" 404 404408

4 050016001 001»003i046»05 О 09 0 0530ОЗЗО 01В0054007 4 0® 0034 001«048004700720064 DOM0070002S 0130 02® 01» 01« ООЗФ 06»06» 02® 042404 4 О 304®016aOiaO]»m3K006»054 09005№03® 01в00«0074 0® 00» 001*048008400770063 0 09 00070рого0124 02® 01» ОТ» 001» 0680 06Ю07® 0474 04 4 о ^^^П >О35ОО111ООО4«07ЮСО4в02Э4 114 17 47140730 04» OQ4GO2W.0t»O37OO5aOl3SSO19 016 016 07 0O9WO70 014008® 12 03S0067417 41407» 07® 07® 0870 01Ю Ollj 41S408» 04® 05» 02» 013011 024 44 0 114.М®.01®.04®.06» 04» 04®.0660 41 4.114 11 4.42 4 25 4 21 4.2S 4.14 4 180 08®.01 Ш] 3 J ttB^BliWlW о J14 028

■ нмммм

4284091005» 0634 030.034Ф37 0 3 4 45 0 164.0590.044.04® 07».0450 04»0784 47 4.38 4 37 4 48 4 27 4 73 4 204 15 4 2 4.114С |Тл ? j:Ж'ТЦ.13006»064

0184 030 06» 009» О К 01® 0790 064 009« 011 Я [10930 174,0230 07!

В <

>098 0 0270 0]® 01В 00®С09» 0590 190 08» 0380 07* COJB D : МО 01» 0164 114 И» 0820 114 05» 0440 05® 04«0 054 01» 0Q440 МО0640 05Л 04» 0440 05» 009»009в 07» Об® 07

О 3K.001D02»06» 0214 033033099012 4 г® 006» 04*0 12403® 02»«7441 4 204 284 374 154 15 4 124.0614 21402® 016029 0 37 026 014 039 0784 01® 01»07582В 02» 41!

11 п ■ » и ! i i и • • ■ t 5 и Л И Ш j И Ш J

г,..., i,,.

Рис. 14. Матрица корреляции

\ I { ^ г s s г

' i в я

Параметр label - индикатор показывающий наличие аномалий. Для удобства выбрано 20 наиболее коррелируемых с аномалиями параметров (рис. 15). Наибольшему воздействию подвергается параметр sttl (рис. 16).

В качестве классификаторов использовались: логистическая регрессия, метод k-ближайших соседей, бэггинг, градиентный бустинг, случайный лес и адаптивный бу-стинг. Для каждой модели подбирались гиперпараметры влияющие на точность классификации (рис.17).

На рис. 18 представлены наиболее значимые параметры, влияющие на точность классификации и оценка эффективности обнаружения аномалий классификаторами.

Несмотря на высокую точность обнаружения КА, современные классификаторы имеют существенный недостаток - большое количество ложных срабатываний. В этом легко убедиться, построив матрицу ошибок первого и второго рода, по которой определялась не только точность, но и количество ложных срабатываний.

Рис. 15. Самые коррелируемые параметры

ям

Time к)

Рис. 16. Время жизни пакета от источника к отправителю

175

In (49h models = П

names = [ LogisticRegression','KHeighborsClassifier', flaggingClassifier', GradientBoostingClassifier','RandomForest

models.append((LogisticRegression(max iter=106G,n jobs=-l)}}

models,append(KNeighborsClassifier(n jobs=-l))

Rodels.append(BaggingClassifier{))

models.append(GradientBoostingClassifier())

models.append(RandomForestClas&ii ier())

models.append(AdaBoostClassifier()I

In |5Q]: params = {

models[0]:{'solver'i ['sag', 'Ibfgs'], 'penalty'; ['11', '12']},

roodelsf1]:{'nneighbors'; list(range(l, 31}},'weights *: ('uniform", 'distance']},

models[2]:('n estimators': list(range(ie, 31))>,

models[3]:{'loss': ('deviance','exponential'], 'learning_rate': [G.l, 6.03, 0.5), 'max_depth': listirange(3, 3fl

models[4j:{'n estimators':list(range(lB, 3fl}), 'max depth": listirange(5, 31})},

models[5]:{'learning rate'; lis;(np.ararige{0.0,2.B,0.1>), 'n estimators' ;list< rar.ge{5B, IBB}}},

In 151]: iaport warnings

warnings.filterwarningsi'ignore')

for name, model ill /ip{names, models):

search = GridSearchCV(estimator=model, param_grid=paramsleodel|, n_jobs=-l, cv=5} search.fitiXjtrain, y_train)

print Г ___ _'J

print('Classificator: '+ str|search,bestestimator})

print('Best parametrs: '+ stг(search.best_params_))

print(1 Best score: '+ str(search.best_score_))

print(' ' )

Рис. 17. Подбор гиперпараметров

Classificator: Log is t icReg res sion( max i te г=Ш6, njobs=-l) Best parametrs: {'penalty': "12", 'solver1: 'Ibfgs'} Best score: 9.8961687849919088

Classificator: KNeighborsClassifierín jobs=-l, n neighbors=l) Best parametrs: {1nneighbors": 1, 'weights': 'uniform'} Best score: 9.999323288799193

Classificator: BaggingClassifier(n estimaters=15) Best parametrs: {'nestimators*: 15} Best score: 9.9995141569933788

Classificator: GradientBoostingClassifier(learning_rate=9.5, max depth=6) Best parametrs: {'learningrate': 0.5, 'loss': 'deviance', 'maxdepth': 6} Best score: 9.9999305932119594

Classificator: RandomForéstelassifier{max depth=23, n estimators=13} Best parametrs: {'max depth': 23, 'n estimators': 13} Best score: 9.9991324294388775

Classificator: AdaBoostClassifier(learning_rate=l.9999999000000001, n_estimators=51) Best parametrs: {'learning_rate': 1.9000000009990091, 'n estimators'; 51} Best score: 9.9999305932110504

Рис. 18. Сравнение точности классификаторов

LogisticRegression

RandomForestClassifier

093 U07

039

Predicted label

L00 000

ш

J-

Predicted label

DecistonTreeClasstfier

098 002

МЗ

/

Рис. 19. Матрица ошибок первого и второго рода логистической регрессии,

случайного леса и дерева решений

Полученные результаты подтверждают тот факт, что проблемой современных классификаторов является плохая способность распознавать неизвестные аномалии (атаки нулевого дня). Также, при тестировании вышеуказанных алгоритмов на реальном сетевом трафике оказалось, что не всегда выбросы являются аномальными; происходят ложные срабатывания. Поэтому острым является вопрос классификации компьютерных атак от ложных срабатываний.

Заключение. В статье разработана методика, позволяющая выявлять аномалии в нестационарном сетевом трафике с помощью фрактального анализа. Проведен эксперимент по нахождению рационального числа пакетов, необходимых для своевременного выявления аномалий с помощью фрактального анализа, с целью достижения своевременности и полноты при обнаружении аномалий в нестационарном трафике. Вычислено оптимальное число пакетов необходимых для выявления аномалий в СПД за интервал времени.

Проведен анализ алгоритмов машинного обучения и классификаторов, предназначенных для выявления КА. Выявлены их недостатки, которые главным образом заключаются в большом количестве ложных срабатываний, а также отсутствии возможности работать в режиме реального времени и обнаружения КА «нулевого дня».

Главным достоинством методики является возможность работы в режиме реального времени, а также возможность работы с любыми видами трафика. Выявление факта воздействия КА производится за несколько микросекунд в зависимости от производительности вычислительной техники.

Список литературы

1. Kotenko I., Saenko I., Lauta O., Kribel A. Ensuring the survivability of embedded computer networks based on early detection of cyber attacks by integrating fractal analysis and statistical methods. Microprocessors and Microsystemsthis link is disabled, 2022, 90, 104459.

2. Саенко И.Б., Лаута О.С., Карпов М.А., Крибель А.М. Модель угроз ресурсам ИТКС как ключевому активу критически важного объекта инфраструктуры // Электросвязь. 2021. № 1. С. 36-44.

3. Карпов М.А., Коцыняк М.А., Нечепуренко А.П. Модель функционирования информационнотелекоммуникационной сети специального назначения в условиях информационного воздействия // Актуальные проблемы защиты и безопасности: Труды XXIV Всероссийской научно-практической конференции РАРАН. В 7-ми томах, Санкт-Петербург. М.: Российская академия ракетных и артиллерийских наук, 2021. С. 458462.

4. Лепешкин О.М., Карпов М.А., Остроумов О.А., Синюк А.Д. Методологический подход управления обеспечением функциональной безопасности и функциональной устойчивости системы связи критически важных объектов и объектов критической информационной инфраструктуры // FISP-2021: Фундаментальные проблемы информационной безопасности в условиях цифровой трансформации: Сборник докладов III Всероссийской научной конференции (с приглашением зарубежных ученых), Ставрополь, 30 ноября 2021 года. Ставрополь: Северо-Кавказский федеральный университет, 2021. С. 105-110.

Крибель Александр Михайлович, адъюнкт, nemo4ka74@,gmail.com, Россия, СанктПетербург, Военная академия связи им. С.М.Буденного,

Перов Роман Александрович, адъюнкт, roma.perov@list. ru, Россия, Санкт-Петербург, Военная академия связи им. С. М. Буденного,

Лаута Олег Сергеевич, д-р техн. наук, профессор, laos-82@yandex.ru, Россия, Санкт-Петербург, Военная академия связи им. С.М.Буденного,

Сычужников Виктор Борисович, старший научный сотрудник, Sych-SPB19@gmail.com, Россия, Санкт-Петербург, Военная академия связи им. С.М. Буденного

METHODS OF DETECTING COMPUTER ATTACKS USING FRACTAL ANALYSIS AND

MACHINE LEARNING METHODS

M.A. Kribel, R.A. Perov, O.S. Lauta, V.B. Sychuzhnikov

Annotation. The article considers the method of detecting computer attacks for stationary and non-stationary traffic. The analysis of machine learning algorithms to identify anomalies caused by computer attacks is carried out. The minimum number of packets to determine the accuracy of this technique is also calculated.

Key words: Anomalies, computer attacks, data transmission network, machine learning method, stationary time series, self-similarity.

Kribel Alexander Mikhailovich, postgraduate, nemo4ka74@,gmail.com, Russia, St. Petersburg, Military Academy of Communications named after S.M.Budyonny,

Perov Roman Aleksandrovich, postgraduate, roma.perov@list.ru, Russia, St. Petersburg, Military Academy of Communications named after S.M.Budyonny,

Lauta Oleg Sergeevich, doctor of technical sciences, professor, laos-82@yandex.ru, Russia, St. Petersburg, Military Academy of Communications named after S.M.Budyonny,

Sychuzhnikov Viktor Borisovich, senior researcher, Sych-SPB19@gmail. com, Russia, St. Petersburg, Military Academy of Communications named after S.M.Budyonny

УДК 004

DOI: 10.24412/2071-6168-2022-5-178-186

ФАКТОРЫ, ВЛИЯЮЩИЕ НА ВЫБОР ОРГАНИЗАЦИОННО-ТЕХНОЛОГИЧЕСКИХ РЕШЕНИЙ ПРИ СТРОИТЕЛЬСТВЕ ЗДАНИЙ ИЗ КРУПНОГАБАРИТНЫХ МОДУЛЕЙ (ЧАСТЬ 2)

Т.К. Кузьмина, Р.Т. Аветисян, А.Т. Мирзаханова

В настоящей работе исследованы факторы, влияющие на принятие организационно-технологических решений на различных этапах объемно-блочного домостроения. В статье представлен экспертный опрос, на основании которого были проведены статистические расчеты. По результатам проведенного исследования была определена наиболее значимая группа факторов, действие которого может оказать наибольшее влияние на качество и безопасность готовой модульной продукции при принятии организационно-технологических решений.

Ключевые слова: крупногабаритное объемно-блочное домостроение, модульное строительство, качество и безопасность готовой модульной продукции.

Объемно-блочное домостроение является перспективным направлением индустриального метода возведения зданий различного назначения. Индустриальный метод производство крупногабаритных объемных блоков позволяет обеспечить высокую степень заводской готовности модуля, качество выпускаемой продукции, сокращение сроков строительства за счет уменьшения числа операций на строительной площадке [1-5]. Крупногабаритное модульное домостроение - гарант качества и высокой производительности труда [6-10].