Детектирование и классификация сетевых атак с помощью Splunk Machine Learning Toolkit

Abstract

В современных условиях внедрения цифровых технологий в различные отрасли экономики, цифровизации государственного управления, сфер здравоохранения, образования и науки, роста числа интернет-услуг и используемых мобильных устройств становятся все более актуальными вопросы обеспечения безопасности систем сотовой связи. Становится все труднее обнаруживать многочисленные и сложные угрозы кибербезопасности по мере развития и расширения источников и методов реализации кибератак. Классические подходы обнаружения сетевых атак, которые в значительной степени полагаются на статическое сопоставление, такие как сигнатурный анализ, черные списки или шаблоны регулярных выражений, ограничены в гибкости и являются малоэффективными для раннего выявления аномалий и оперативного реагирования на инциденты информационной безопасности. Для решения данной проблемы предлагается использование алгоритмов машинного обучения, которые могут обеспечить новые подходы и более высокие показатели обнаружения вредоносной активности в сети. В данной работе используется платформа анализа данных Splunk Enterprisе с использованием расширения и дополнительный инструментарий машинного обучения Splunk Machine Learning Toolkit для создания, обучения, тестирования и проверки классификатора сетевых атак. Производительность предложенной модели была оценена с использованием четырех алгоритмов машинного обучения, таких как дерево решений (a decision tree), метод опорных векторов (a support vector machine), случайный лес (a random forest) и двойной случайный лес (a double random forest). Экспериментальные результаты показывают, что все использованные алгоритмы машинного обучения могут эффективно использоваться для обнаружения сетевых атак, а метод двойного случайного леса имеет наилучшую точность обнаружения атак типа «отказ в обслуживании».