Адаптивные методы и средства поверхностного анализа пакетов для обнаружения аномалий в зашифрованном трафике
Новости
Адаптивные методы и средства поверхностного анализа пакетов для обнаружения аномалий в зашифрованном трафике
Аннотация
Массовое шифрование сетевого трафика делает традиционный глубокий анализ пакетов неприменимым, что требует перехода к поверхностному анализу на основе метаданных уровней OSI L2–L4. В данной работе предложен адаптивный подход к обнаружению аномалий в зашифрованном трафике, сочетающий высокопроизводительный сбор статистик, модифицированный жадный алгоритм отбора признаков и динамическую настройку гиперпараметров моделей машинного обучения. Реализация выполнена в виде NDIS-драйвера RuStatExt для Hyper-V Extensible Switch, обеспечивающего агрегацию трафика и извлечение признаков без снижения пропускной способности канала. На основе данных, собранных с более чем 2000 виртуальных машин в промышленной облачной среде, проведено сравнение методов отбора признаков (LASSO, RFE, жадный алгоритм) и моделей (Isolation Forest, Local Outlier Factor, One-Class SVM) при статической и динамической настройке параметров. Наилучший результат F1-меры, равный 0.78, достигнут моделью Isolation Forest с признаками, отобранными предложенным алгоритмом, при статической настройке гиперпараметров, что почти в 2 раза превосходит базовый подход с полным набором признаков. Драйвер не вносит статистически значимых накладных расходов при нагрузке 1 Гбит/с. Результаты подтверждают, что точное обнаружение аномалий возможно без расшифровки трафика, что обеспечивает применимость решения в современных облачных инфраструктурах.
Ключевые слова
Издание
Труды Института системного программирования РАН, том 38, вып. 2, 2026, стр. 21-34.
ISSN 2220-6426 (Online), ISSN 2079-8156 (Print).
DOI: 10.15514/ISPRAS-2026-38(2)-2
Для цитирования
Полный текст статьи в формате pdf
Вернуться к содержанию тома